AIPD
L’acronyme AIPD désigne une Analyse d’Impact relative à la Protection des Données. Un terme équivalent est PIA (Privacy Impact Assessment).
Il s’agit d’une analyse de risques qui doit être réalisée pour les traitements de données personnelles les plus sensibles.
La méthode d’analyse est basée sur la méthode Ebios RM, courante en cybersécurité. L’AIPD présente toutefois la particularité de prendre les impacts psychologiques pour les personnes dont les données personnelles pourraient être compromises.
Réaliser une AIPD nécessite de mettre au tour de la table les Métiers impliqués dans le traitement, le service informatique ou cybersécurité et tout intervenant nécessaire pour analyser au plus juste les risques du traitement au regard des pratiques de l’entreprise. Il s’agit également d’identifier les mesures de sécurité en place et celles à prévoir, pour réduire les risques autant que possible. La CNIL met à disposition un outil gratuit appelé PIA pour réaliser des AIPD.
Enfin, le dirigeant, en tant responsable de traitement, est informé du plan d’action et des risques résiduels. Au-delà du RGPD, l’AIPD contribue à une vision plus précise du portefeuille de risques de l’entreprise.
Clauses contractuelles
Les clauses contractuelles au sens du RGPD encadrent les relations entre l’entreprise responsable de traitement et chacun de ses sous-traitants. Il s’agit d’un document normé qui vient compléter le contrat de service, généralement sous-forme d’une annexe à celui-ci.
L’objectif de ces clauses contractuelles est d’obtenir l’engagement du sous-traitant à traiter les données personnelles qui lui sont confiées dans le cadre du service, dans le respect du RGPD et selon les prescriptions du responsable de traitement.
CNIL
La Commission Nationale Informatique et Libertés (CNIL) est l’autorité française de contrôle concernant le RGPD. Localisée à Paris, elle près de 300 agents, habilités à mener des contrôles sur l’ensemble du territoire.
La CNIL dispose également d’un pouvoir de sanction, qui s’applique de manière graduée, depuis l’avertissement à la sanction financière avec publication.
La CNIL met à disposition des publics particuliers et professionnels une riche documentation pour comprendre le RGPD, connaitre les droits et obligations liés à son application. Cette documentation est consultable sur son site : www.cnil.fr
Consentement
Le RGPD prévoit que, dans certains cas, le consentement doit être obtenu de manière libre, explicite, éclairé et univoque. Cela implique que la personne est a été clairement informée de l’utilisation qui sera faite de ses données personnelles et qu’elle a, suite à cela, donner sans contrainte son consentement.
Le consentement, par définition, n’est valable que s’il est demandé préalablement au traitement des données personnelles.
L’entreprise doit être en mesure de prouver, à tout moment, qu’elle détient les consentements valables et valides des personnes dont elles traitent les données personnelles.
Le consentement est obligatoire pour tout démarchage commercial ou encore la collecte de données dites sensibles.
Données personnelles
La notion de donnée personnelle renvoie à toute information, ou ensemble d’informations, qui permet d’identifier directement ou indirectement une personne.
Par exemple :
- Une adresse email professionnelle de type prénom.nom@entreprise.com permet d’identifier une personne bien spécifique, puisqu’elle révèle à la fois son identité et la rattache à une entreprise par une identification directe.
- Votre plaque d’immatriculation, votre matricule d’entreprise, votre numéro de sécurité sociale ou tout autre numéro d’identification unique sont des données personnelles : il est en effet possible de vous identifier personnellement à la condition toutefois de disposer du fichier faisant correspondre votre identité et ces numéros (identification indirecte).
- Une personne du service informatique, dans la tranche d’âge 40-49 ans, de sexe féminin, avec 4 ans d’ancienneté dans l’entreprise peut également être une donnée personnelle : si une seule personne répond à ces critères, elle peut être identifiée indirectement.
Tous les supports contenant des données personnelles sont concernés : papier, numérique (serveurs, clé USB…) ou encore vocaux (comme pour un centre d’appels par exemple).
Il important de comprendre qu’avec le RGPD, les personnes sont les seuls propriétaires de leurs données personnelles et les organisations en sont désormais les « gérants », avec obligation de protéger ces données et de les utiliser de manière loyale et transparente.
DPO
Le Data Protection Officer (DPO), aussi appelé Délégué à la protection des données, est le coordinateur de la mise en conformité au RGPD. Sa mission est de s’assurer que les droits des personnes concernées sont respectés et ce faisant il contribue à protéger l’organisation dont il dépend des risques financiers et d’image qui découleraient de non-conformités.
Le DPO guide les équipes Métiers pour analyser les traitements de données personnelles et identifier les risques et les mesures correctives à mettre en place. Il s’assure que les demandes d’exercice de droit sont traitées selon les règles établies et accompagne les analyses de risques relatives aux projets présentant des risques importants pour les droits des personnes (appelées AIPD).
Le DPO rend compte au dirigeant, dont la responsabilité est engagée en cas de non-conformité. Le DPO peut être interne à l’entreprise ou externe. Il est déclaré auprès de la CNIL, dont il est le point de contact privilégié notamment en cas de contrôle ou de question.
Dans la plupart des cas, le recours à un DPO n’est pas obligatoire. C’est néanmoins un atout majeur dans la mise en conformité, puis le maintien en conformité, d’une organisation.
Droits (des personnes concernées)
Le RGPD définit 7 droits dont disposent les personnes concernées sur leurs données personnelles :
- Le droit d’être informé,
- Le droit de s’opposer au traitement sous certaines conditions,
- Le droit d’accéder à leurs données,
- Le droit de faire rectifier des données incorrectes,
- Le droit de bénéficier de la portabilité de leurs données,
- Le droit de demander la limitation du traitement.
- Le droit d’obtenir une intervention humaine en cas de prise de décision automatisée (credit scoring par exemple)
Les personnes concernées peuvent exercer leurs droits auprès du responsable de traitement, par tout moyen. Charge à l’entreprise de centraliser et de traiter correctement ces demandes. En cas d’absence de réponse de la part du responsable de traitement ou de réponse inadéquate, la personne concernée pourra déposer une plainte auprès de la CNIL, qui pourra alors déclencher une enquête ou un contrôle.
GDPR
Il s’agit de l’acronyme anglais du RGPD : General Data Protection Regulation.
Information
Le RGPD prévoit qu’en toute circonstance les personnes concernées doivent être informées de la façon sont traitées leurs données personnelles.
Le contenu de cette information est normé. Une information incomplète peut donner lieu à sanctions.
Tout comme pour le consentement, l’entreprise responsable de traitement doit être en mesure de prouver, à tout moment, que l’information adéquate a bien été délivrée aux personnes concernées.
Personne concernée
La personne concernée est l’individu à qui renvoient les données personnelles utilisées. Elle est seule propriétaire de ces données et doit être informée de l’usage qui en fait.
La personne concernée bénéficie de droits sur ses propres données, qu’elle peut exercer auprès de l’organisation qui les détient. Dans le cas où la personne concernée n’obtient pas de réponse ou pas de réponse satisfaisante à sa demande d’exercice de droits, elle peut déposer facilement une plainte auprès de la CNIL, qui pourra alors décider d’enquêter ou de contrôler l’entreprise mise en cause.
Registres
Les organisations qui traitent des données personnelles doivent être en mesure de prouver leurs actions pour réaliser ces traitements en conformité avec les attendus du RGPD. La tenue de registres dédiée est dans tous les cas le moyen le plus efficace de piloter sa conformité et d’en faire la preuve auprès de la CNIL. La forme étant libre, ces registres peuvent prendre la forme d’un fichier traitement de texte ou tableur.
La tenue d’un registre des traitements est obligatoire, sauf pour les entreprises de moins de 250 salariés ne traitant pas de données sensibles à grande échelle. Le registre des traitements décrit chaque traitement de données personnelles, un peu comme un recueil des cartes d’identité de chacun d’entre eux. C’est un outil très utile pour analyser les process et si besoin les simplifier ou les rendre plus performants.
La tenue d’un registre des violations et d’un registre des demandes d’exercices de droits est vivement conseillée, pour piloter et prouver facilement sa conformité. L’organisation doit pouvoir apporter la preuve des actions menées sur ces deux sujets, il donc prudent de tenir de tels registres, en utilisant un fichier traitement de texte ou tableur.
Responsable de traitement
Le RGPD décrit plusieurs situations de responsabilité vis-à-vis des données personnelles.
Le responsable de traitement (RT) personne morale est l’organisation qui collecte et traite des données personnelles pour son propre compte. Le dirigeant est le responsable de traitement personne physique pour le compte de sa société.
D’un point de vue pratique, il est également possible de désigner, lorsque la taille de l’entreprise le nécessite, des responsables de traitement opérationnels – les chefs de service par exemple. Ce rôle n’est pas défini par le RGPD, mais il permet de mettre en place une chaîne de conformité au sein de l’entreprise.
Par exemple, le responsable du service RH, qui gère les données de paie des salariés de l’entreprise, peut être désigné responsable de traitement opérationnel. L’entreprise est le responsable de traitement, représentée par son dirigeant.
Il revient au responsable de traitement de s’assurer de la sécurité des données personnelles depuis leur collecte jusqu’à leur destruction, dans le respect du RGPD. A ce titre, l’entreprise RT doit être particulièrement attentive à l’encadrement contractuelle de ses relations avec les sous-traitants (ST), en signant des clauses contractuelles spécifiques.
RGPD
Le RGPD (Règlement Général sur la Protection des Données) encadre l’utilisation des données personnelles sur le territoire de l’Union européenne. Entré en application e 25 mai 2018, il s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.
Il s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors qu’elle est établie sur le territoire de l’Union européenne ou si son activité cible directement des résidents européens.
Le texte complet du RGPD peut être consulté sur le site de la CNIL : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Sous-traitant (de données personnelles)
Le RGPD décrit plusieurs situations de responsabilité vis-à-vis des données personnelles.
Le sous-traitant (ST) de données personnelles correspond souvent au rôle du prestataire de service qui intervient pour le compte et sur les instructions de l’entreprise responsable de traitement (mission décrite par le contrat). Il ne faut pas oublier d’y inclure les solutions numériques hébergées sur des serveurs externes à l’entreprise (Cloud), telles que les outils bureautiques ou les solutions RH ou encore les CRM.
Le service RH de l’entreprise A gère les données personnelles des salariés de l’entreprise. Pour ce faire, elle a recours à une suite bureautique en ligne X et un logiciel de comptabilité en ligne fourni par son cabinet comptable Y. L’entreprise A est responsable de ces traitements, les prestataires X et Y sont ses sous-traitants.
Traitement (de données personnelles)
Toute opération impliquant des données personnelles, en dehors du cadre privé, est un traitement de données personnelles et doit donc se faire dans le respect du RGPD. Un traitement se définit par sa finalité, qui est l’objectif pour lequel les données personnelles sont traitées. Ainsi, établir une liste des employés pour un service RH ou des adhérents pour une association, créer un fichier clients ou de prospects ou encore gérer une liste de diffusion d’une newsletter sont autant de traitements, définis par leurs objectifs spécifiques.
Violation de données
Une violation de donnée se caractérise par un accès illégitime aux données personnelles, ou par une atteinte à la confidentialité ou à la disponibilité de ces dernières.
Pour les données numériques, il peut s’agir d’une intrusion sur un serveur, le vol d’un ordinateur professionnel, la perte d’une clé USB ou encore d’une cyberattaque par exemple.
Pour les données sur papier, une violation de données peut se caractériser par l’oubli de documents au photocopieur, la perte d’un dossier, l’accès d’un visiteur à des informations personnelles dans un bureau.
Les scénarios sont nombreux. Un incident de sécurité concernant des données personnelles pourra être qualifié de violation après une analyse des risques et des impacts pour les personnes concernées. En cas de violation de données, le responsable de traitement doit procéder à une déclaration préliminaire sur le site de la CNIL dans les 72h suivant la découverte de l’événement.
La traçabilité des actions menées dans le cadre d’un incident de sécurité ou d’une violation est obligatoire. Il est fortement recommandé de tenir un registre spécifique, appelé registre des violations, qui permettra à la fois de piloter la gestion de l’incident et d’apporter la preuve des actions menées en cas de demande de la CNIL.