GDPR : comment assurer sa conformité au règlement européen

Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité. Le consentement est défini par le règlement de la manière suivante (article 4) :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il existe évidemment une série de cas dans lesquels il est cohérent d’opérer un traitement de données personnelles quand bien même une personne n’y aurait pas consenti. C’est le cas par exemple lorsqu’une personne victime d’un accident de voiture est dans le coma et qu’il est nécessaire de procéder à une greffe (et donc, traiter des données personnelles sans pouvoir lui demander son consentement). D’où l’exception « d » : lorsque le traitement des données est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Le rôle du responsable est alors de s’assurer que chaque traitement s’inscrit bien dans le respect de ces conditions.

Voici quelques exemples :

• newsletter -> consentement
• Cantine -> consentement
• Paye -> obligation légale (noter l’obligation ou les obligations en question)
• Vente en ligne (cgv) -> mesures contractuelles / précontractuelles et obligations légales

Il est important d’avoir une base légale clairement définie pour chaque traitement. Certains outils logiciels vous aident grâce à des traitements pré-rédigés afin que vous disposiez d’un modèle type de traitement avec une base légale déjà pré-remplie. C’est très pratique et cela vous permet de créer votre registre des traitements très rapidement.

3. Éviter de traiter des données sensibles

Le règlement s’inscrit ici encore dans la continuité de la loi informatique et libertés et de la directive de 1995 qui ont adopté une démarche pragmatique centrée autour des risques relatifs au traitement de certaines données, dites sensibles. Celles-ci font l’objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés.

L’article 9 définit cette notion de données sensibles :

« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits »

Attention toutefois à ne pas confondre les données sensibles au sens du GDPR et « les données qui sont sensibles pour l’organisation » – qui n’ont rien à voir (ex : pour une entreprise les données financières sont sensibles alors que celles-ci n’entrent même pas dans le cadre de cette règlementation).

Il existe 10 exceptions permettant d’opérer le traitement de telles données qui sont énumérées à l’article 9.2, donc si vous traitez ces données assurez-vous que vous vous situez dans une de ces exceptions.

4. Afficher les mentions légales

Le règlement impose au responsable de traitement d’informer la personne dont les données sont traitées d’un certain nombre de mentions (les mentions légales).

La mise en place de ces mentions est très importante car cela permet de voir immédiatement le niveau de maturité d’une organisation sur le GDPR. Ainsi, lorsque l’on procède à un audit, ou lorsque la CNIL procède à un contrôle, l’absence de mentions légales est un indicateur qui permet de déterminer immédiatement l’existence de problèmes majeurs au sein de l’organisation.

J’ai écrit un article détaillé sur le sujet (comment rédiger vos mentions légales RGPD, jetez un oeil dessus!).

L’article 13 du règlement définit les informations à indiquer lors de chaque collecte de données personnelles :

• l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
• coordonnées du DPO si DPO
• finalités du traitement – ainsi que la base juridique du traitement (consentement, obligation légale… – art. 6)
• si le traitement est fondé sur « les intérêts légitimes du responsable du traitement » (art. 6.1. f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
• les destinataires ou les catégories de destinataires des données à caractère personnel
• le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

À noter que ces mentions doivent être affichées au moment ou les données sont obtenues (art. 13, alinéa 1).

Il n’y a rien de très complexe ici – autre que de rédiger un texte indiquant l’ensemble des éléments imposés par la loi et de l’afficher pour chaque traitement.

5. Respecter le droit à la portabilité des données

Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d’exporter ses données personnelles dans un format structuré (xml…).

Google nous donne un bon exemple ici d’un service permettant aux utilisateurs d’exporter l’intégralité de leurs informations :

Ce droit est défini par l’article 20 du règlement (qui définit également certaines exceptions et limites) :

Ce droit à la portabilité fait l’objet des droits qui doivent être anticipés lors du choix d’un système informatique : par exemple si vous fournissez des services en ligne, il est nécessaire d’anticiper la possibilité pour les utilisateurs d’exporter leurs données. LinkedIn en donne un bon exemple également à ce titre :

À défaut il est toujours possible de réagir à une demande de droit à la portabilité, mais autant que faire se peut si l’on peut automatiser les choses et donner à l’utilisateur un système clé en main pour qu’il puisse réaliser lui-même un export de ses données, autant le prévoir avant.

6. Mettre en place un registre de conformité

Le règlement impose aux organisations de tracer l’ensemble des traitements de données personnelles mis en oeuvre afin de s’assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de 3 dispositions différentes.

La première est tirée de l’article 5 qui impose l’obligation aux organisations de démontrer que le règlement est bien respecté :

«Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) »

Cette obligation est ensuite reprise à l’article 24, qui prévoit que :

le responsable « met _en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement _».

Or, pour cela, il faut non seulement tracer les traitements mis en oeuvre, mais également tracer le fait qu’ils sont bien conformes à l’ensemble des obligations imposées par le règlement.

La troisième mention est tirée de l’article 30.1 qui mentionne ici spécifiquement la tenu d’un registre de conformité :

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

Le plus simple est, pour ce faire, de recourir à un logiciel qui retrace les traitements mis en oeuvre ainsi que les actions de conformité qui devront être menées par la suite et l’état réel de ces actions.

Conformément aux prescriptions de l’article 30, chaque mention du registre doit indiquer :

• 1. Nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
• 2. Finalités du traitement
• 3. Description des catégories de personnes concernées et des catégories de données à caractère personnel
• 4. Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
• 5. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées
• 6. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
• 7. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1

Dans tous les cas, lister les traitements mis en oeuvre et suivre l’évolution de leur conformité est un minima (feuille Excel / logiciel spécifique sinon).

7. Assurez la sécurité des données personnelles

De longue date, imposer la sécurité des donnée personnelles a été une préoccupation importante du législateur. Dès le départ, des obligations ont été imposées dans la loi informatique et libertés V1 (1978) et V2 (2004), et le règlement européen ne procède, pour l’essentiel, qu’à des mises à jour de ce côté.

Dès les premiers articles, le règlement rappelle que la SSI est un enjeu fondamental :

Art. 5. f (principes essentiels) : les données sont « _traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) _»

Le coeur de l’obligation de sécurité est ensuite défini par l’article 32, qui impose:

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

  <p>
    a) la pseudonymisation et le chiffrement des données à caractère personnel;
  </p>
  
  <div class="page" title="Page 52">
    <div class="layoutArea">
      <div class="column">
        <p>
          b) des moyens permettant de garantir la confidentialité, l&rsquo;intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
        </p>
        
        <p>
          c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l&rsquo;accès à celles-ci dans des délais appropriés en cas d&rsquo;incident physique ou technique;
        </p>
        
        <p>
          d) une procédure visant à tester, à analyser et à évaluer régulièrement l&rsquo;efficacité des mesures techniques et organisation­nelles pour assurer la sécurité du traitement.
        </p>
      </div>
    </div>
  </div>
</div>

Le texte n’entre évidemment pas dans les détails techniques des mesures qui doivent être mises en oeuvre, sinon que de dire qu’une étude de risque doit être entreprise, de laquelle doivent ressortir des mesures de sécurité appropriées aux besoins.

En termes opérationnels, cela signifie d’analyser les besoins de sécurité de chaque traitement mis en oeuvre et mettre en place les mesures adéquates.

Il est important néanmoins dans cette classification de conserver une visibilité sur les impacts que peut avoir le traitement et utiliser une grille de classification en termes de risques afin de prévoir les mesures adéquates :

<td valign="top">
  <p align="center">
    <span style="color: #000000; font-family: Helvetica; font-size: small;"><b>Impact limité</b></span>
  </p>
</td>

<td valign="top">
  <p align="center">
    <span style="color: #000000; font-family: Helvetica; font-size: small;"><b>Impact important</b></span>
  </p>
</td>

<td valign="top">
  <p align="center">
    <span style="color: #000000; font-family: Helvetica; font-size: small;"><b>Impact critique</b></span>
  </p>
</td>

<td valign="top">
  <span style="color: #000000; font-family: Helvetica; font-size: small;">Les personnes impactées connaissent des désagréments significatifs qui sont surmontables malgré des difficultés. Ex : frais financiers, refus d’accès à des services ou des prestations commerciales, opportunités perdues, comptes bloqués, augmentation de coûts, dysfonctionnements de comptes, profilage abusif &#8211; par exemple sur des données sensibles.</span>
</td>

<td valign="top">
  <span style="color: #000000; font-family: Helvetica; font-size: small;">Les personnes impactées subissent des désagréments significatifs surmontables, mais avec des difficultés réelles. Ex : interdiction bancaire, dégradation de biens, perte d’un emploi, séparation ou divorce, pertes financières significatives, interdiction d’examen. </span>
</td>

<td valign="top">
  <span style="color: #000000; font-family: Helvetica; font-size: small;">Les personnes impactées subissent des conséquences très significatives et irréversibles, ou insurmontables. Ex : décès, dettes très importantes, impossibilité de retravailler, impossibilité de se reloger, affectation psychologique de longue durée, perte d’un lien familial</span>
</td>

8. Maintenez un registre des violations de données personnelles et des procédures de notification à la CNIL et à personne concernée

Une innovation importante opérée par le règlement réside dans la nouvelle obligation de notification des violations de données personnelles à la CNIL. Sauf cas exceptionnels, le responsable du traitement doit notifier à la CNIL toute violation de données personnelles sous 72h :

Encore une fois le GDPR impose au responsable de traitement de tenir un registre des violations de données personnelles à cet effet, que la CNIL puisse consulter à tout moment.

La notion de violation de données personnelles est (heureusement) définie à l’article 4 :

«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

Cette obligation est calée sur la même obligation qui était imposée aux opérateurs de communications électroniques dans l’article 34 bis de la loi informatique et libertés, à la différence notoire qu’elle s’applique aujourd’hui à l’ensemble des responsables de traitements.

En cas de violation des DCP le responsable du traitement devra communiquer à la CNIL les éléments d’informations suivants :

3.   La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

La seconde obligation notable à ce sujet est l’obligation de notifier la violation de sécurité à la personne concernée elle-même. Le législateur a assurément souhaité taper là ou cela fait le plus mal en cas d’incident de sécurité, à savoir à imposer à l’organisation défaillante de communiquer directement aux victimes elles-mêmes.

L’obligation est imposée par l’article 34 :

Il y a deux éléments importants à retenir ici :

• la nécessité de solliciter la CNIL en cas de violation de DCP
• la tenue d’un registre à cet effet (même vide au départ)

9. Nommez un DPO

Pierre angulaire de la conformité, le règlement européen a conservé la fonction du DPO (data privacy officer) qui existait déjà dans la loi française (CIL) autant que la directive européenne. Le responsable du traitement est tenu de désigner un DPO dans 3 cas :

Ces dispositions ont beaucoup fait l’objet de modifications pendant la période de négociation du règlement européen (au départ toute organisation de moins de 250 personnes devait nommer un DPO). Aujourd’hui le scope de la nomination obligatoire a été substantiellement réduit, mais considérant les sanctions et le travail nécessaire pour se mettre en conformité il est très vivement conseillé d’en disposer (en témoignent les nominations massives de postes ces six derniers mois).

  <blockquote>
    <p>
      informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d&rsquo;autres dispositions du droit de l&rsquo;Union ou du droit des États membres en matière de protection des données;
    </p>
    
    <p>
      contrôler le respect du présent règlement, d&rsquo;autres dispositions du droit de l&rsquo;Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s&rsquo;y rapportant;
    </p>
    
    <p>
      dispenser des conseils, sur demande, en ce qui concerne l&rsquo;analyse d&rsquo;impact relative à la protection des données et vérifier l&rsquo;exécution de celle-ci en vertu de l&rsquo;article 35;
    </p>
    
    <p>
      coopérer avec l&rsquo;autorité de contrôle;
    </p>
    
    <p>
      faire office de point de contact pour l&rsquo;autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l&rsquo;article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
    </p>
  </blockquote>
</div>

  <blockquote>
    <p>
      une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l&rsquo;intérêt légitime poursuivi par le responsable du traitement;
    </p>
    
    <p>
      une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;
    </p>
    
    <p>
      une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et
    </p>
    
    <p>
      les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.
    </p>
  </blockquote>
</div>

  <p>
    Côté obligations, la loi fait l&rsquo;objet de modifications assez substantielles et prévoit un mécanisme en cascade afin d&rsquo;autoriser ou d&rsquo;interdire un transfert hors UE :
  </p>
</div>