Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

GDPR / RGPD - Livre Blanc - Aion Solutions

60 vues

Publié le

Un guide pratique pour comprendre les objectifs et les implications du règlement européen n° 2016/679 relatif à la protection des personnes physiques, à l’égard du traitement de leurs données à caractère personnel (GDPR / RGPD) et initier les bonnes mesures pour s'y conformer.

Publié dans : Internet
  • Soyez le premier à commenter

GDPR / RGPD - Livre Blanc - Aion Solutions

  1. 1. GDPR, le guide pratique pour bien démarrerDécembre 2017 Livre blanc Ce qu’il faut savoir sur Le Règlement Général sur la Protection des Données n° 2016/679
  2. 2. 2 Mise en perspective du GDPR Les 3 objectifs du règlement européen Des changements majeurs pour les entreprises Un dossier complexe à mettre en œuvre Zoom sur le DPO – Data Protection Officer 6 étapes pour se conformer au GDPR Comment démontrer sa conformité Mémo - Les définitions clés 3 7 8 11 14 17 26 29
  3. 3. 3 Livre blanc GDPR, le guide pratique pour bien démarrer Mise en perspective du GDPR Le règlement européen n° 2016/679 relatif à la protection des personnes physiques, à l’égard du traitement de leurs données à caractère personnel, constitue une avancée majeure du système juridique encadrant la protection de la vie privée. Ce règlement remplace la directive 95/46/CE sur la protection des données personnelles qui constituait le texte européen de référence depuis 1995… bien avant l’émergence des géants d’Internet, GAFA et consorts. Face aux progrès technologiques fulgurants (big data, internet des objets, intelligence artificielle…) qui transforment nos sociétés et nos vies en favorisant un environnement numérique de plus en plus omniprésent et pervasif, l’Union Européenne a adopté ce nouveau règlement avec l’objectif de « redonner aux citoyens le contrôle de leurs données personnelles ». Le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016 et ses dispositions seront directement applicables dans l'ensemble des 28 États membres de l'Union européenne à compter du 25 mai 2018. L’application du règlement aura également un impact extraterritorial dans la mesure ou les sociétés non-européennes qui traitent des données personnelles de résidents européens devront s’y conformer (article 3 du règlement). En cas de non-conformité au GDPR, les sociétés s’exposent à de lourdes sanctions ! Le règlement donne aux régulateurs le pouvoir d'infliger des sanctions financières allant jusqu'à 4% du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu) en cas de non-respect (article 83(6) du règlement).
  4. 4. 4 Livre blanc GDPR, le guide pratique pour bien démarrer Par son étendue et face aux lourdes sanctions financières encourues, les obligations définies par le GDPR ne peuvent être ignorées d’aucune organisation. Le sujet du traitement des données à caractère personnel doit être pris au sérieux, ce dont veut nous faire prendre conscience le législateur. Au-delà de l’aspect contraignant, il faut donc y voir une conscientisation et un véritable changement d’état d’esprit à adopter vis-à-vis de ces données particulières qui nous sont confiées. La responsabilité à l’égard de ces données est en définitive une preuve de respect des personnes, citoyens, usagers, clients : elle permet d’établir un lien de confiance, ce qui représente pour les organisations un atout à valoriser.
  5. 5. 5 Livre blanc GDPR, le guide pratique pour bien démarrer ▪ Le GDPR est le texte de référence européen en matière de protection des données à caractère personnel ▪ Applicable dans l'ensemble des États membres de l'UE à compter du 25 mai 2018 ▪ Sanctions jusqu’à 20 millions d'euros ou 4% du CA annuel mondial de l'entreprise ▪ Objectifs : ▪ Renforcer le droit des personnes ▪ Responsabiliser les entreprises réalisant des traitements ▪ Renforcer la coopération avec les autorités protectrices des données personnelles L’application du règlement ayant un impact extraterritorial, dans la mesure ou les sociétés non-européennes qui traitent des données personnelles de résidents européens devront s’y conformer (article 3 du règlement), le règlement européen a un réel impact pour des entreprises internationales du monde entier. En raison de la portée mondiale du règlement, nous préférons le terme anglais GDPR - General Data Protection Regulation, au terme français RGPD - Règlement Général sur la Protection des Données. Nous utilisons donc l’acronyme GDPR dans l’ensemble de nos documents. En bref
  6. 6. 6 Le sujet du traitement des données à caractère personnel doit être pris au sérieux, ce dont veut nous faire prendre conscience le législateur.
  7. 7. 7 Les 3 objectifs du règlement européen Le GDPR s’appliquera dès mai 2018 à toute entreprise européenne qui collecte, traite et stocke des données personnelles. Ce règlement, à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. Le texte vise trois objectifs : • Renforcer les droits des personnes physiques • Responsabiliser les entreprises qui traitent les données à caractère personnel • Consolider les pouvoirs des autorités européennes en renforçant la coopération entre les autorités protectrices de données personnelles Le GDPR a un véritable intérêt pour les citoyens des 28 pays membres de l’UE. Il renforce l’information sur l’usage des données, uniformise les règlements concernant la protection des données et instaure la possibilité du droit à l’oubli à l’échelle européenne. Ce règlement répond au besoin en matière de transparence, et rassure les clients des entreprises. Du point de vue des entreprises responsables de traitement, une simple déclaration à l’autorité de contrôle (comme la CNIL pour la France) ne suffit plus. Il s'agit à partir de maintenant d'être en mesure de prouver à n’importe quel moment, que les données à caractère personnel sont protégées et impossible à utiliser en cas de vol. Le nouveau règlement européen met donc l'entreprise face aux risques concrets et aux défis de la cyber-sécurité. Pour toutes les entreprises manipulant des données personnelles (donc quasiment l’intégralité des entreprises), le nouveau règlement européen constitue l’un des changements majeurs de ces dernières années. Livre blanc GDPR, le guide pratique pour bien démarrer
  8. 8. 8 Livre blanc GDPR, le guide pratique pour bien démarrer Des changements majeurs pour les entreprises Les objectifs du GDPR se déclinent en une série de changements majeurs pour les entreprises concernant : de nouveaux droits des personnes physiques, la responsabilisation des organisations effectuant des traitements de données à caractère personnel, et des obligations légales vis-à-vis des autorités de contrôle. Nouveaux droits des personnes physiques • Le droit à l’oubli • Le droit d’accès, de modification, d’effacement • Le droit à la portabilité des données • Le droit à l’opposition de toute opération marketing Responsabilisation des entreprises • La responsabilité en matière de traitement de données (principe « d’accountability » avec des sanctions lourdes pour les contrevenants) • La gestion des consentements des personnes concernée (y compris des enfants) • L’information des personnes concernées quant aux traitements de leurs données • La documentation de toutes les mesures et procédures utiles pour assurer la protection des données • La protection des données par les concepts de « Privacy by design & by default » • L’évaluation obligatoire d’impact des risques sur la protection des données dans certains cas • La notification de violations de données à l’autorité de contrôle et aux personnes concernées en cas de risque réel d’atteinte à la protection de leur vie privée, dans un délai de 72h • La nomination d’un délégué à la protection des données (DPO) est obligatoire pour certaines entreprises • Le transfert international de données en dehors de l’Union Européenne sous des conditions strictes • Même si votre entreprise n’est pas dans l’UE, la réglementation s’applique Pouvoir des autorités européennes • Un mécanisme de « guichet unique » Un nouveau guichet unique Européen est créé pour les entreprises. Cela signifie que les entreprises, en cas de traitement transfrontalier, ne devront faire face qu’à une autorité de surveillance unique pour l’ensemble de l’Europe et non pas au sein de chaque état. Ceci rend plus simple et moins coûteux les échanges des entreprises au sein de l’UE.
  9. 9. 9 Livre blanc GDPR, le guide pratique pour bien démarrer Le GDPR impose de nouvelles normes et obligations pour les entreprises qui n’ont que peu de temps pour s’y préparer. Or, des études faites au printemps 2017 sont inquiétantes : plus de 50% des entreprises affirment qu’elles ne seront pas prêtes à temps. Les raisons évoquées : pas assez ressources, difficulté à prioriser les chantiers, manque de compréhension, trop de complexité…
  10. 10. 10 Une imbrication étroite entre le légal, la technologie et l’usage qui implique la collaboration des expertises.
  11. 11. 11 Livre blanc GDPR, le guide pratique pour bien démarrer La protection des données à caractère personnel est un dossier complexe. Né des avancées des technologies de l’information et de la communication, dont les progrès ont bouleversé l’économie et la société, l’usage des données à caractère personnel n’a fait que croître jusqu’à se banaliser. Les risques encourus par un usage malveillant ou abusif de ce type particulier de données ont suscité logiquement l’intérêt du législateur pour aboutir à des mesures juridiques dans un but de protection des personnes. Il apparait donc une imbrication étroite entre le légal, la technologie et l’usage de ces technologies, créant une complexité qui nécessite des compétences expertes et pluridisciplinaires. Le dossier est donc à la fois légal et technologique, tout en recouvrant des aspects organisationnels essentiels. En effet, il est souvent nécessaire d’impliquer de nombreux contributeurs internes dans l’organisation, ainsi que des sous-traitants externes pour couvrir le champ complet des traitements de données. A titre d’exemple, le recueil et le traitement des données personnelles dans les organisations incombent à des acteurs tels que : • Les ressources humaines et les services généraux pour les données collaborateurs, • Le marketing et le commerce pour les données clients et prospects, • Le service informatique pour nombre de fonctions support, • Des prestataires externes et des services de traitement et de stockage dans le cloud en mode SaaS. En plus de ces nombreux intervenants, il faut également prévoir de rendre compte de l’avancement des travaux en lien avec les données personnelles auprès des instances de direction et animer des sessions de sensibilisation et de formations pour des collaborateurs. En conclusion, le GDPR ne peut être pris comme un dossier uniquement juridique, organisationnel ou technique. Il doit être pris dans son ensemble en recourant à une approche holistique ne négligeant aucun des 3 domaines d’expertise nécessaires : • Le domaine juridique • Le domaine organisationnel • Le domaine technique Un dossier complexe à mettre en œuvre
  12. 12. 12
  13. 13. 13 Livre blanc GDPR, le guide pratique pour bien démarrer Légale En premier lieu, la problématique est d’ordre légal, puisqu’il s’agit de répondre à des obligations légales définies dans le GDPR. Des compétences juridiques avancées dans le domaine de la protection des données à caractère personnel sont donc requises. En outre le règlement, ou du moins ses critères d’application, vont évoluer dans le temps : il faut être en mesure de suivre les nouveaux développements du règlement européen à partir de sa mise en application. Organisationnelle Chaque organisation est unique par sa culture, son activité et ses pratiques. Il est nécessaire d’évaluer précisément , par le biais d’un audit, la nature et le fonctionnement de chaque organisation pour comprendre à quelles obligations légales elle doit se conformer et par quels moyens elle y parviendra. Il est également nécessaire de créer une véritable culture des données à caractère personnel chez tous les intervenants en lien avec ces données pour favoriser leur coopération au sein de l’organisation. Technique Au-delà des procédures et de l’acculturation des organisations, la plupart des mesures à mettre en œuvre pour se conformer au GDPR seront de nature technologique. Pour faire face au cyber- risque, il existe un ensemble de bonnes pratiques et d’outils. Pour répondre de manière adéquate aux obligations du règlement européen, il faut donc avoir une bonne compréhension de l’environnement technologique, des pratiques et des outils à disposition. Comme dans le domaine juridique, une veille constante est nécessaire. Une triple problématique…
  14. 14. 14 Livre blanc GDPR, le guide pratique pour bien démarrer Zoom sur le DPO Data Protection Officer Une nouveauté majeure du GDPR sur laquelle il est important de s’arrêter est la création de la fonction de Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO). La nomination d’un DPO est imposée à toutes les instances publiques et à toutes les entreprises privées effectuant des traitements de données personnelles systématiques ou à grande échelle. Il ne suffit pas ici de changer l’intitulé de poste de votre correspondant informatique et liberté (CIL) pour satisfaire cette nouvelle exigence, mais bel et bien de mettre en œuvre une véritable gouvernance transverse et indépendante autour de la protection des données personnelles au sein de votre organisation. Le DPO a comme missions et prérogatives : • D’informer l’organisation et le personnel de leurs obligations en matière de gestion des données personnelles, • De superviser la mise en œuvre et le suivi des initiatives de mise en conformité au GDPR, • D’être le point de contact et de centralisation de toutes les demandes d’application des droits des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, etc.), • De coopérer avec l’autorité de contrôle, • De participer à l’élaboration des analyses d’impacts, obligatoires pour certains types de traitements (profiling, données sensibles, etc.). 3 cas de désignation obligatoire : 1. Le responsable de traitement est une autorité ou un organisme public ; 2. Les activités de base du responsable de traitement le conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle ; 3. Les activités de base du responsable de traitement le conduisent à traiter à grande échelle des données dites « particulières » ou relatives à des condamnations pénales et infractions. Fait intéressant : la désignation d’un DPO est un moyen d’attester de la conformité d’une organisation au GDPR (selon le considérant 77 du règlement).
  15. 15. 15 La désignation d’un DPO est un moyen d’attester de la conformité d’une organisation au règlement européen.
  16. 16. 16 Une méthodologie rigoureuse, étape par étape, est nécessaire pour couvrir tous les aspects du GDPR et pourvoir attester de sa conformité.
  17. 17. 17 6 étapes pour se conformer au GDPR Livre blanc GDPR, le guide pratique pour bien démarrer Plusieurs autorités de contrôle ont publié des guides par étapes afin de mener à bien un projet de mise en conformité au GDPR. Allant de quelques étapes à une douzaine, ils listent de façon détaillée les points d’attention et les opérations indispensables pour arriver à une conformité démontrable. Le guide en 6 étapes de l’autorité de contrôle française, la CNIL, nous parait le mieux structuré pour mener correctement son projet sans se perdre dans les détails. Voici le 6 étapes préconisées : 1. Désigner un pilote 2. Cartographier vos traitements de données 3. Prioriser les actions 4. Gérer les risques 5. Organiser les processus internes 6. Documenter la conformité
  18. 18. 18 Livre blanc GDPR, le guide pratique pour bien démarrer 1. Désigner un pilote Pour piloter la gouvernance des données à caractère personnel et la mise en conformité au GDPR, il faut un responsable compétant et indépendant, disposant d’une mission claire et des moyens nécessaires pour y aboutir. Ce pilote peut être une personne formée interne à l’organisation, par exemple le CIL (Correspondant Informatique et Libertés), ou une personne externe, par exemple un consultant spécialisé dans la protection des données à caractère personnel. Désignez au besoin un DPO (Data Protection Officer)* ou une personne qui est responsable du respect des règles de protection des données. Évaluez la place que cette personne occupe au sein de la structure et de la politique de votre entreprise ou organisation afin d’éviter tout conflit d’intérêt et de pouvoir justifier de son indépendance. * Le GPDR requiert pour certaines entreprises et organisations qu’elles désignent un délégué à la protection des données (DPD/DPO), par exemple pour les autorités publiques ou les sous-traitants dont la tâche consiste à observer régulièrement et systématiquement des personnes concernées, ce à grande échelle. Il est important que, soit une personne de l’organisation, soit un conseiller externe soit responsable du respect des principes de protection des données et que cette personne ait les connaissances, l’implication et la compétence de le faire. Vous devez dès lors juger si votre entreprise ou organisation a l’obligation de désigner un tel délégué. Mission du DPO : • Être en capacité d’imposer la loi et de remonter l’importance des sujets de données personnelles au top management • Éviter d’être en position de conflits d’intérêt et d’agir indépendamment des personnes qui définissent les traitements • Être en mesure de comprendre la législation et ses principes clés • Identifier les nouveaux cas et anticiper les non conformités au plus vite
  19. 19. 19 Livre blanc GDPR, le guide pratique pour bien démarrer 2. Cartographier vos traitements de données personnelles Recenser tous les traitements de votre activité de façon précise et méthodique est indispensable pour mesurer concrètement l’impact du GDPR sur votre organisation. La tenue d'un registre des traitements vous permet de faire le point. Documentez les différents types de traitements de données que vous effectuez et identifiez le fondement légal pour chacun d’entre eux. De nombreuses entreprises et organisations n’ont peut-être pas défini à l’époque un fondement légal pour les traitements de données qu’elles réalisent. En vertu de la législation actuelle, les conséquences pratiques sont peu nombreuses voire inexistantes. Le GPDR change toutefois la donne car les droits de la personne concernée peuvent différer selon la base légale du traitement de données. L’exemple le plus parlant est le fait que la personne concernée dispose d’un droit renforcé pour demander la suppression de ses données si son consentement était à la base du traitement. Il est important de préciser dans la déclaration de confidentialité le fondement légal qui a été choisi pour le traitement de données et d’indiquer également ce fondement chaque fois que l’on répond à une demande d’accès. Vérifiez donc quels traitements de données vous effectuez, déterminez la base légale et documentez vos démarches avec soin, à la lumière de l’exigence de responsabilité. 3. Prioriser les actions à mener Mesurer les écarts entre vos pratiques actuelles et le GDPR. Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions en fonction des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
  20. 20. 20 Livre blanc GDPR, le guide pratique pour bien démarrer Si votre entreprise ou organisation traite déjà des données à caractère personnel, vous devez fournir certaines informations aux personnes concernées, comme l’identité du sous-traitant et la manière dont il utilisera les données. Ces informations sont généralement communiquées sous la forme d’une déclaration de confidentialité. Le GDPR requiert que cette déclaration de confidentialité soit complétée par de nouveaux types d’information. Il faudra ainsi désormais communiquer le fondement légal du traitement de données et les délais pendant lesquels vous conserverez les informations, préciser si vous échangez les données en dehors de l’Union européenne et prévoir la possibilité pour la personne concernée de porter plainte auprès de l’autorité de contrôle si elle estime que ses données à caractère personnel sont traitées à tort. Le GDPR requiert que ces informations soient communiquées de manière concise, dans une langue compréhensible et claire. Évaluez vos contrats existants, principalement avec des sous-traitants, et apportez les changements nécessaires en temps utile. Le GPDR crée un système intelligent qui établit le rapport entre le responsable du traitement et les sous-traitants. Il détermine même les conditions qui s’appliquent aux activités de sous-traitance. Pour approfondir ces conditions, vous devez évaluer les contrats existants et apporter les modifications nécessaires. Le GPDR souligne l’importance des mesures de sécurité applicables aux banques de données. En cas d’outsourcing, il est également important d’évaluer si les mesures de sécurité qui étaient prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du GPDR. Si votre entreprise ou organisation est active au niveau international, vous devez déterminer de quelle autorité de contrôle vous relevez. Le GPDR prévoit un règlement quelque peu complexe pour déterminer quelle autorité de contrôle prend la direction des opérations lors de l’examen d’une plainte à caractère international, par exemple lorsqu’un traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de file est déterminée selon l’endroit où l’entreprise ou l’organisation a son établissement principal ou selon l’établissement où sont prises les décisions relatives aux traitements de données. Pour un siège principal traditionnel, on peut le déterminer assez facilement.
  21. 21. 21 Livre blanc GDPR, le guide pratique pour bien démarrer Cela se complique dans le cas d’entreprises ou d’organisations complexes, implantées sur plusieurs sites, où les décisions relatives à différentes activités de traitement sont prises à divers endroits. Pour savoir clairement quelle autorité de contrôle est en charge de votre entreprise ou organisation, il est conseillé d’établir à quel endroit votre organisation prend ses décisions les plus importantes quant aux traitements de données. Cela vous permettra de déterminer votre « établissement principal » et donc aussi l’autorité de contrôle compétente. 4. Gérer les risques Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d'impact sur la protection des données (en anglais, Data protection impact assessment ou Privacy Impact Assessment). De manière générale, réaliser un PIA est une bonne pratique pour s’assurer de créer un traitement conforme au GDPR et respectueux de la vie privée, que celui-ci soit susceptible ou non d’engendrer des risques élevés sur la vie privée. Le PIA doit être réalisé avant la mise en œuvre du traitement. C’est un processus itératif, les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement. Mener un PIA est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes concernées (Article 35 du RGPD).
  22. 22. 22 Livre blanc GDPR, le guide pratique pour bien démarrer 5. Organiser les processus internes Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire). Familiarisez-vous avec les notions de « protection des données dès la conception » et « d’analyse d’impact relative à la protection des données », mieux connues sous les termes suivants : « Privacy by design » et « Privacy impact assessment ». Examinez la manière dont vous pouvez mettre en œuvre ces concepts dans le fonctionnement de votre entreprise ou organisation. Ils peuvent être liés à d’autres processus organisationnels tels que la gestion des risques et la gestion des projets. Évaluez d’ores et déjà les situations où il sera nécessaire de réaliser de telles analyses. Qui s’en chargera ? Qui doit y être associé ? L’analyse se fera-t-elle de manière centrale ou de manière locale ? Intégrer dès le début la protection des données et, dans ce cadre, réaliser une analyse d’impact font partie des « bonnes pratiques » d’une entreprise ou organisation. Il ne s’agissait auparavant que d’une exigence implicite des principes de protection des données. Le GDPR en fait une exigence légale claire. À noter que vous ne devez pas systématiquement réaliser une analyse d’impact. Celle-ci n’est requise que dans des situations à haut risque, par exemple lorsqu’une nouvelle technologie est mise en œuvre ou lorsqu’une opération de profilage peut entraîner des effets considérables pour les personnes concernées. Lorsque le PIA indique que le traitement de données comporte un « risque élevé », il est nécessaire d’obtenir l’avis de l’autorité de contrôle » quant à la licéité du traitement à la lumière du GDPR.
  23. 23. 23 Livre blanc GDPR, le guide pratique pour bien démarrer Vous devez vérifier si les procédures actuelles dans votre entreprise ou organisation prévoient tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie électronique. Le GDPR prévoit notamment les droits suivants pour la personne concernée : • Information et accès aux données à caractère personnel • Rectification et suppression des données • Objection à l’encontre de pratiques de marketing direct • Objection à l’encontre de prises de décision automatisées et de profilage • Portabilité des données Le droit de portabilité des données est une nouveauté. Il s’agit d’une forme améliorée de l’accès où la personne concernée a le droit d’obtenir les données à caractère personnel la concernant dans un format structuré, couramment utilisé et lisible électroniquement. La plupart des entreprises et organisations le font déjà, mais si vous utilisez encore des impressions papier ou une forme électronique inhabituelle, c’est de nouveau le bon moment pour revoir votre copie. Prévoyez une mise à jour de vos procédures d’accès existantes et réfléchissez à la manière dont vous traiterez désormais les demandes d’accès eu égard aux nouveaux délais du GPDR. Le GDPR prévoit de nouvelles règles qui déterminent la manière d’agir à l’égard de demandes d’accès. Dans la plupart des cas, il faudra donner suite à la demande d’accès dans les 30 jours et ce gratuitement. Des demandes manifestement non fondées ou excessives peuvent être facturées ou refusées. Si votre entreprise ou organisation veut être en mesure de refuser des demandes d’accès, vous devez adapter la politique et les procédures en conséquence. Vous devez donner à la personne concernée qui demande l’accès certaines informations complémentaires comme les délais de conservation des informations et le droit de faire rectifier des données inexactes. Si votre entreprise ou organisation traite un grand nombre de demandes d’accès, les modifications prévues par le GPDR auront un impact considérable.
  24. 24. 24 Livre blanc GDPR, le guide pratique pour bien démarrer Il faut qu’au niveau logistique, toutes les demandes puissent être traitées dans le délai prévu et que la personne concernée reçoive les informations nécessaires. Une réflexion approfondie doit être menée à ce sujet. À terme, il peut se révéler rentable de développer un système grâce auquel la personne concernée peut consulter elle-même les données en ligne. Les entreprises et organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en ligne. Evaluez la manière dont vous demandez, obtenez et enregistrez le consentement et apportez les modifications nécessaires. Le GDPR mentionne les termes “consentement” et “consentement explicite”. La distinction n’est pas très claire, étant donné que le consentement doit dans les deux cas être libre, spécifique, éclairé et univoque. Prévoyez des procédures adéquates pour détecter, rapporter et analyser des fuites de données à caractère personnel. Évaluez pour ce faire les différents types de données à caractère personnel que vous conservez et documentez celles qui relèveraient de l’obligation de déclaration si une fuite de données survenait. Dans certains cas, vous devez informer directement la personne concernée faisant l’objet de la fuite de données, par exemple lorsque la fuite peut donner lieu à des pertes financières personnelles. Toutes les fuites de données ne devront pas être signalées à l’autorité de contrôle – seules celles pour lesquelles il est probable que la personne concernée subira une quelconque forme de dommages, par exemple suite à un vol d’identité ou à la violation d’une obligation de secret. 6. Documenter la conformité Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
  25. 25. 25
  26. 26. 26 Livre blanc GDPR, le guide pratique pour bien démarrer Comment démontrer sa conformité Une documentation complète et détaillée permettra de démontrer sa mise en conformité ainsi que le respect des obligations du règlement européen. Au cas par cas, elle comprendra certains éléments nécessaires ou non, en fonction de la situation de l’organisation. Voici un aperçu de la documentation à constituer : Les documents concernant la fonction de DPO  Fiche de poste ou Lettre de mission du DPO  Contrat de services pour DPO externe ou mutualisé Les documents concernant vos traitements de données personnelles  Registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants)  PIA, Analyse d’impact sur la protection des données pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes  L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)
  27. 27. 27 Livre blanc GDPR, le guide pratique pour bien démarrer Les documents concernant l’information des personnes  Mentions d’information  Déclaration de confidentialité  Procédures/Modèles de Recueil du Consentement des personnes concernées  Procédures relatives aux Droits des Personnes concernées Les éléments contractuels qui définissent les rôles et les responsabilités des intervenants  Contrats, clauses sous-traitant  Procédure interne en cas de violation de données  Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base. Les documents de suivi dans le temps  Plan de vérification et de suivi
  28. 28. 28
  29. 29. 29 Mémo Les définitions clés Donnée à caractère personnelle (DCP) En anglais « personal data » Toute information permettant d’identifier directement ou indirectement une personne physique (nom, coordonnées, e-mail, n° de contrat, plaque d’immatriculation, photo,…). Ce règlement, à destination des entreprises, veut simplifier, harmoniser et renforcer la protection des données personnelles. Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale; Personne concernée En anglais « data subject » Toute personne qui peut être identifiée, directement ou indirectement, par l’intermédiaire de données à caractère personnelle. Toute personne qui peut être identifiée, directement ou indirectement, par le biais d’un identifiant (par exemple un nom, un numéro d’identification, des données de localisation, …) ou d’un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. En d’autres termes, une personne concernée est un utilisateur final dont les données à caractère personnel peuvent être recueillies. Définition officielle de « personne concernée » dans l’article 4.1 du GDPR. Fichier de données à caractère personnel Tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés constitue un fichier de données à caractère personnel. Traitement de donnée à caractère personnelle (TDCP) En anglais « processing » Toute opération effectuée sur des données à caractères personnelle quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, verrouillage, effacement ou destruction, transmission, …). L'article 4 du règlement définit un traitement Livre blanc GDPR, le guide pratique pour bien démarrer
  30. 30. 30 Livre blanc GDPR, le guide pratique pour bien démarrer comme " toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;" Finalités d'un traitement (objectifs d’un traitement) En anglais « purposes of processing » Objectif principal d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements, gestion des clients, enquête de satisfaction, surveillance des locaux, etc. Responsable de traitement (RT) En anglais « controller » Organisation, Entreprise, organisme, autorité, personne physique professionnelle qui détermine les finalités ou objectifs (le pourquoi) et les moyens (le comment) du traitement. Sous-traitant (ST) En anglais « processor » Organisation, Entreprise, organisme, autorité, personne physique professionnelle qui traite des DCP pour le compte du RT. Délégué à la Protection des Données (DPD) En anglais « Data Protection Officer (DPO) » Le délégué à la protection des données au sein d’une organisation, entreprise, organisme, autorité... a pour rôle de veiller à ce que celle-ci protège convenablement les données à caractère personnel des personnes concernées, conformément à la législation en vigueur. Définition officielle de « délégué à la protection des données » ainsi que des informations sur la sélection et les responsabilités du délégué à la protection des données, dans les articles 37, 38 et 39 du GDPR. Autorité de contrôle Autorité nationale en charge du respect des législations portant sur les données personnelles (Exemple : en France : la CNIL, au Luxembourg : la CNPD, en Belgique : la CPVP, etc.)
  31. 31. 31 Livre blanc GDPR, le guide pratique pour bien démarrer A propos de Data Protection Services® par Aïon Solutions Data Protection Services, de la société Aïon Solutions, est une offre de services dédiée à la conformité au GDPR, regroupant les compétences d’une équipe pluridisciplinaire composée de juristes spécialisés et d’experts en technologies de l’information. Cette offre comprend les services de DPO externes certifiés, les prestations de mise en conformité au GDPR et de suivi, ainsi que la gestion de la documentation justifiant de cette conformité*. Des options couvrant les cyber-risques viennent compléter notre offre afin d’offrir un service complet clé en main. * Avec le concours du cabinet juridique NNA Legal, partenaire d’Aïon Solutions, nous avons élaboré une méthode structurée en 6 étapes incluant les préconisations de 3 autorités de contrôle européenne de référence (CNIL, CNPD, CPVP). Notre checklist exhaustive permet de balayer tous les aspects à traiter dans un processus de mise en conformité au GDPR. De plus, afin d’agir avec précaution sur certains aspects encore peu détaillés du GDPR, nous nous appuyons sur les travaux du G29 (Groupe de travail Article 29 sur la protection des données). Le G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée. Les principales missions du groupe de travail sont : 1) Conseiller la Commission européenne et lui donner un avis autorisé, sur toute mesure communautaire ayant une incidence sur les droits et libertés des personnes physiques à l'égard du traitement des données à caractère personnel et de la protection de la vie privée ; 2) Promouvoir une application uniforme des directives européennes au moyen de la coopération entre les autorités de contrôle de la protection des données ; 3) Émettre des recommandations, des règles d'entreprise contraignantes, destinées au grand public.
  32. 32. www.aion-solutions.lu Construisons ensemble les expériences digitales de demain

×