Règlement de Protection des données personnelles

"Qu'est-ce qu'on fait, maintenant?"

Vous vous apprêtez à lancer une démarche de vérification de la conformité de vos traitements en vue du 28 mai prochain, mais vous ne savez pas par quoi commencer…

Voici quelques étapes :

  1. Checker les traitements existants et les modalités de recueil du consentement.

1.1 Pour être conforme, un traitement devra respecter l’une des six bases légales prévues par le Règlement et le responsable de traitement devra être en mesure d’indiquer aux personnes concernées sur quelle base légale repose le traitement de données mis en place.

Il lui appartiendra donc d’anticiper la question afin de connaitre, pour chaque traitement, la base légale qui justifie ledit traitement ainsi que les obligations et conséquences qui en découlent.

1.2 L’une de ces bases légales peut être le consentement de la personne concernée.

Le RGPD définit le consentement de la manière suivante : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement.

De cette définition découle la forme acceptable du consentement de la personne, qui doit être recueilli distinctement d’autres informations :

  • « Manifestation de volonté libre » : la personne doit pouvoir retirer son consentement avec autant de facilité qu’elle l’a donné ; en outre, son consentement ne doit pas avoir été conditionné par de mauvaises raisons ou sous la pression.
  • «Manifestation de volonté spécifique » : le consentement doit être donné pour chaque finalité. Par ailleurs, le consentement au traitement de données doit être clairement identifiable : il ne doit pas se confondre avec le consentement aux CGU, par exemple.
  • « Manifestation de volonté éclairée et univoque » : la personne doit avoir obtenu toutes les informations nécessaires, notamment sur la finalité du traitement, avant de donner son consentement.
  •  « Un acte positif clair » : le consentement doit être donné au moyen d’un acte positif ce qui écarte de facto toute case pré-cochée ou toute acceptation par défaut.

Ainsi, le paramétrage technique devra être pensé très en amont.

Le Règlement insistant beaucoup sur la nécessité de documenter les décisions prises, il appartiendra au responsable de traitement d’être en mesure de rapporter la preuve qu’il a bien respecté chacun des points précédents.

  1. Il y a fort à craindre que les traitements mis en œuvre après une décision d’autorisation de la CNIL soient désormais soumis à une analyse d’impact ( appelée DPIA pour Data Protection Impact Assessment) : il s’agit d’une analyse de risques orientée uniquement vers ceux ayant potentiellement un impact sur la liberté et les droits des personnes.

L’analyse d’impact n’est obligatoire que pour les traitements présentant un risque élevé : traitements de données sensibles, traitements à grand échelle, etc…

Elle aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au RGPD.

D’après la CNIL, une DPIA contient à minima :

  • une description systématique des opérations de traitement envisagées et les finalités du traitement, y compris, le cas échéant, l'intérêt légitime poursuivi par le responsable du traitement;
  • une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • une évaluation des risques sur les droits et libertés des personnes concernées et ;
  • les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du règlement.

Les traitements mis en œuvre après la réalisation d’une norme simplifiée et une déclaration normale devront être analysés, pour vérifier s’ils sont conformes et déterminer s’ils nécessitent une DPIA.

  1. Il s’agira enfin de mettre à jour les mesures de sécurité.

Le RGPD impose au Responsable de traitement de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Cette obligation est à la fois très vague et très large.

Le règlement donne quelques pistes, comme la pseudonymisation, l’anonymisation et le chiffrement.

Les deux premières sont des procédés de masquage des informations ; Les entreprises préfèreront peut-être l’usage du chiffrement avec une fonction réversible permettant de masquer les informations non utiles pour un traitement particulier, par exemple pour les processus de sauvegarde.

Le règlement prévoit également, à la charge des entreprises :

- Des moyens permettant de garantir la confidentialité, l’intégrité et la disponibilité des données ;

- Des moyens permettant la résilience des systèmes, c’est-à-dire la disponibilité des données même en cas de panne ;

- Des moyens visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures prises en application des obligations précédentes pendant tout leur cycle de traitement : collecte, utilisation, mise à disposition, stockage, destruction.

***

Outre la mise en œuvre de ces étapes, il sera primordial, en interne, de documenter, les actions de mise en conformité, afin de pouvoir les justifier, en cas de contrôle par les autorités : c’est le principe d’accountability, qui est un des principes clé du RGPD.