CNIL 7 étapes pour être en conformité

ATTENTION aux nouvelles sanctions !

Le projet de règlement européen qui est sur le point d’être adopté va totalement changer la donne, car il prévoit les sanctions réellement conséquentes.

Pour estimer le plafond vous devez prendre :

  • 10 millions d’euros
  • 4% du chiffre d’affaire global du groupe.

Le plafond sera le plus haut de ces deux nombres ! En fait, en 2010 la Commission européenne en a eu assez que les entreprises ne respectent pas la loi en matière de protection des données personnelles, elle a donc bâti un système qui soit vraiment dissuasif…

Je vous explique tout cela dans cette courte vidéo que j’ai tourné à Miami et qui dure 3 minutes (regardez jusqu’à la fin, il y a un truc vraiment marrant). Notez que les sanctions ont été doublées depuis que j’ai tourné la vidéo (on est passé de 2% à 4% du CA global du groupe) :

Tout ceci pour dire que la protection des données personnelles est un sujet de plus en plus sérieux pour lequel nous allons voir dans les années à venir des sanctions tout à fait significatives. Il est donc essentiel de vous préparer à vous mettre en conformité dès maintenant – d’autant que les obligations actuelles sont en très grande majorité identiques à celles que vous allez retrouver dans le règlement (avec des sanctions en plus).

 

7 étapes simples pour être conforme

Vous avez 7 rendez-vous ! En fait 7 questions que vous devez vous poser à partir du moment ou vous traitez des données personnelles (toute donnée qui permet d’identifier une personne physique directement ou indirectement). Voici un schéma de synthèse qui vous permettra de comprendre étape par étape ce que vous devez faire :

 

Vous traitez vraiment des données personnelles ?

C’est la plus grosse question qui va se poser et à laquelle vous devez répondre, car si vous traitez des données personnelles, la loi va s’appliquer, alors que si vous n’en traitez pas, alors vous n’avez aucun obligation à cet égard !

Qu’est-ce qu’une donnée personnelle

L’enjeu est de comprendre ce que la loi a voulu dire par « données personnelles »… Il ne s’agit pas des données qui me sont personnelles… au sens, par exemple, de mon journal intime ! Tout au contraire, la catégorie des données personnelles d’une point de vue juridique est extrêmement large.

Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne – art. 2 de la loi de 1978)

L’enjeu est très important car si vous ne traitez pas de données personnelles, vous éliminez l’ensemble des risques juridiques d’une traite :

Données directement et indirectement personnelles

En clair, dès lors que vous traitez sur informatique des données qui permettent d’identifier une personne physique, directement ou indirectement la loi s’applique.

  • En fait il faut distinguer deux types : celles qui sont directement personnelles, et celles qui le sont indirectement. Commençons par les premières, ce sont les plus faciles à appréhender. Celles auxquelles on pense le plus souvent immédiatement sont évidemment le nom et le prénom d’une personne.  On peut également ajouter son image (photos ou vidéos permettant de l’identifier directement). On pense moins souvent aux données biométriques (empreinte digitale, image de la rétine, réseau veineux de la main…),qui sont également directement personnelles.
  • Ensuite, les données indirectement personnelles : ce sont des informations qui permettent d’identifier une personne indirectement, c’est-à-dire par référence à un numéro d’identification (ce qui implique nécessairement une table de correspondance). Un des meilleurs exemples que l’on puisse prendre à mon sens est le numéro de sécurité sociale. Mais on peut également penser au numéro client, ou au numéro d’employé. La question de savoir si l’adresse IP est une donnée personnelle a également suscité beaucoup de discussions.

Globalement il existe une gradation des données personnelles (de anonyme à donnée personnelle ) :

  1. Fichiers clients (entreprises) / usagers (administrations)
  2. Fichiers fournisseurs
  3. Annuaire interne
  4. Contrôle d’accès (badgeuses)
  5. Cantine
  6. Fichiers de mauvais payeurs
  7. Site Internet
  8. Logs de serveurs

 

Etape 1 : mettez vos mentions légales CNIL

Un élément très important est de mettre vos mentions légales sur les supports ou s’opèrent la collecte des données personnelles (ex : sur le formulaire). Voici 5 points essentiels à indiquer :

 

Etape 2 : respectez les données sensibles

Vous devez être particulièrement précautionneux si vous collectez les données suivantes car elles sont qualifiées de « sensibles » au sens de la loi informatique et libertés :

  • les origines raciales ou ethniques,
  • les opinions politiques, philosophiques ou religieuses,
  • les appartenances syndicales des personnes,
  • ou qui sont relatives à la santé ou l’orientation sexuelle de celles-ci.
  • Données relatives à des condamnations ou mesures de sûreté

Attention la jurisprudence est très stricte quant à leur interprétation :

« _L’indication du fait qu’une personne s’est blessée au pied et est en congé de maladie partiel constitue une donnée à caractère personnel relative à la santé au sens de l’article 8, § 1, de la directive 95/46 _» (CJCE, 6 nov. 2003).

Si vous traitez ces données, alors vous être face à une véritable problématique CNIL que vous devez analyser précisément car la loi impose de nombreuses contraintes quant à ces données :

  • leur sécurité doit être accrue
  • vous devez justifier de la nécessité de les traiter
  • vous devez recueillir le consentement exprès des personnes avant de procéder à leur traitement
  • etc.).

La simple lecture de ce site de suffira donc pas, vous devez vous former un minimum pour appréhender les problèmes juridiques que vous allez rencontrer. Vous êtes face à un vrai risque juridique vous devez mettre en oeuvre des moyens pour le gérer. La solution au-delà est simplement de ne pas traiter ces données.

Etape 3 : mettez en place la sécurité adéquate

En tant que responsable de traitement vous devez prendre toutes les précautions de sécurité informatique nécessaire pour protéger les données face aux risques qui pèsent sur elles et sur les personnes concernées. La loi l’impose très clairement, sous peine de sanctions pénales (5 ans d’emprisonnement, 300.000€ d’amende) :

le responsable doit «_ prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès_ ».

La CNIL a écrit énormément sur ce sujet, je vous donne 6 recommandations simples de ce qu’il faut faire ou ne pas faire :

 

Etape 4 : vérifiez que vous ne transférez pas les données hors UE

La règlementation a imposé des contraintes spécifiques liées au transfert des données personnes hors de l’Union Européenne. En fait ces règles sont là simplement pour éviter qu’une personne puisse se dédouaner de ses obligations simplement en ouvrant un serveur à l’étranger. L’objectif de la règlementation n’est pas d’interdire totalement les transferts hors UE, mais de s’assurer que, si vous transférez les données, qu’elles puissent bénéficier d’un niveau juridique de protection équivalent. Certains pays ont une règlementation équivalente à celle dans l’UE, auquel cas le transferts est autorisé.

La CNIL tient à disposition la carte des pays à règlementation à même niveau de protection :

Si le pays dans lequel vous souhaitez envoyer les DCP n’est pas sur cette liste, alors il vous reste quelques solutions spécifiques :

  • les BCR (binding corporate rules)
  • les clauses contractuelles types de l’UE
  • le safe harbor – un régime spécifique avec les Etats-Unis
  • et une série d’exceptions prévues par la loi informatique et libertés.

Il est important de s’assurer de savoir où vont les données personnelles que vous collectez car cela entraîne des obligations conséquentes.

 

Etape 5 : assurez-vous de pouvoir respecter les droits des personnes

L’Etape 6 est la plus simple et en fait la plus laxiste puisqu’il est peu probable… que vous y soyez jamais confronté ! En effet, même au sein de société du CAC 40 – qui ont 20 ou 40 millions de clients, les demandes de droit d’accès sont très très rares. Théoriquement les personnes dont les données sont traitées disposent des droits d’accès, de modification etc. Mais en pratique, la procédure est très contraignante à réaliser : il faut obligatoirement fournir une demande signée et accompagnée de sa pièce d’identité. Sans quoi la procédure n’est pas valable et le responsable du traitement n’est pas tenu de répondre… Pour autant, si vous constatez qu’une demande valable a bien été formulée, il est IMPERATIF d’y répondre dans les formes car c’est en général le préalable à un contentieux. En gros si vous voyez arriver quelque chose qui ressemble à ce courrier, il faut (vraiment) le traiter (en mode panique) :

Pour le reste, la procédure de réponse est formalisée et détaillé mais elle est tellement rare que l’on ne rentrera pas dans les détails ici…

 

Etape 6 : Respectez les principes essentiels !

Au-delà de ce que l’on a vu, la loi impose également une série de principes juridiques qui doivent être respectés – je précise qu’il ne s’agit pas de « grands principes » à la manière du « droit au logement pour tous » – mais qu’il s’agit de conditions spécifiques posées par la loi assorties de sanctions pénales la majorité du temps.

On peut simplifier les choses et dire que vous devez traiter les données personnelles de manière raisonnable et totalement transparente.

Vous allez voir qu’au travers des principes énoncés on retrouve cette idée ; voici les conditions imposées par la loi :

  • Loyauté et légalité de la collecte (vous ne pouvez pas aller piquer des données personnelles à droite et à gauche en douce…)
  • Les finalités déterminées, explicites et légitimes (vous devez indiquer pourquoi vous traitez les données et ne pas changer de motif)
  • Proportionnalité (vous ne pouvez pas demander l’origine raciale d’une personne sans une bonne raison. Si vous faites des tests de produits cosmétiques sur des peaux noires, oui, là vous avez une bonne raison et cette information est proportionnée à votre besoin)
  • Exactitude et mise à jour des données (ras)
  • Temporalité (vous devez indiquer une date limite au terme de laquelle vous ne traiterez plus les données – par exemple le temps de la relation clientèle – la « date » peut être variable : relation clientèle + 3 ans, par exemple
  • consentement des personnes au traitement de leurs données (vous ne pouvez pas traiter des données sans le consentement des personnes)

 

Etape 7 : Faites votre déclaration CNIL !

Félicitations ! Vous avez fait le plus dur 🙂

Il ne reste plus qu’à faire votre déclaration à la CNIL, ce qui vous évitera une infraction pénale substantielle, et considérant que la procédure prend 5 minutes, il serait vraiment dommage de vous en passer.

Voici le formulaire que vous devrez remplir (vous pouvez mener la procédure en ligne, elle est assez simple) :

 

Conclusion : vous mettre en conformité étape par étape

Voilà nous avons vu ensemble pas à pas le process qu’il faut mettre en place ! En fait avec un peu de pratique vous pouvez mettre en conformité des traitements de données personnelles très rapidement (pas tous, ceci dit !). La première étape est de recenser les traitements de données personnelles que vous mettez en place dans votre organisation. Puis de noter leur niveau de conformité juridique (par rapport aux 7 étapes que nous avons vues ensemble). Vous pouvez utiliser un fichier Excel simple.

A – Recensez vos traitements

Le premier travail que vous devez mettre en place est de lister de vos traitements de données personnelles ! Voici un exemple de tableau qui vous permet de lister vos traitements ainsi que les actions de conformité que vous avez mené – et en même temps calculer exactement le nombre d’actions qu’il vous reste à mettre en oeuvre. Ce type d’outil permet de suivre ce que vous avez fait et ce qu’il vous reste à faire :

Là vous avez 7 points de conformité dont nous avons parlé, avec les statistiques afférentes ce qui est un bon début ! Personnellement j’ai un tableau beaucoup plus complet qui recense plus de 200 points de conformité CNIL, mais c’est un exemple un peu extrême – et réservé à des traitements très complexes pour lequel la marge d’erreur est quasi nulle) :

IMPORTANT : j’insiste sur le fait que vous n’aurez probablement pas besoin d’aller aussi loin et que dans nombre de cas, il vous suffira de noter simplement les principaux points de conformité ; je vous mets l’exemple du fichier excel simplement pour vous montrer que dans certains cas il faut entrer un peu plus dans le détail (note : ce type de vérification est utile par exemple pour les traitements les plus risqués et les plus complexes, pour lesquels il vous faut impérativement un outil de validation).

B – Mettez chaque traitement en conformité

Là nous avons fait le tour je pense 😉 Une fois que vous avez noté vos principaux traitements dans votre tableur il vous suffit de mettre en place les actions de conformité dont nous avons parlé.

 

J’ai deux invitations pour vous : 

  1. Pour les personnes qui veulent aller plus loin et se former sérieusement à la question,** je vous invite à jeter un oeil à la formation Risques CNIL qui est simple, rapide et qui va a l’essentiel elle vous permettra de cerner rapidement vos risques et de vous faire un plan de bataille pour les éliminer** ; vous pouvez également me contacter directement si vous souhaitez une formation plus longue (2-3 jours) qui aille vraiment dans le détail
  2. Je vous invite également à vous inscrire à ma newsletter (bouton ci-dessous), je donne énormément de contenu gratuit dessus. Que vous soyez juriste, RSSI, CIL, ou que vous ayez des DCP à gérer, cela vous aidera énormément.

A bientôt !

 

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)