RGPD et protection des données
Domaines d’expertise > RGPD et protection des données
Le RGPD et la protection des données à caractère personnel contribuent à la réalisation d’un espace de liberté, de sécurité, de justice, de progrès économique et social, à la consolidation et à la convergence des économies au sein de l’Union européenne, ainsi qu’au bien-être des personnes physiques. Ils contribuent au respect de la vie privée et familiale, du domicile et des communications, de la liberté de pensée, de conscience et de religion, de la liberté d’expression et d’information, de la diversité culturelle, religieuse et linguistique, de la liberté d’entreprise, du droit à un recours effectif et d’accéder à un tribunal impartial.
RGPD et protection des données
Des traitements de données à caractère personnel sont constamment mis en œuvre par les entreprises et collectivités territoriales. Ils sont indispensables à leur fonctionnement dans le contexte de la société de l’information.
Or, les données personnelles sont des informations permettant d’identifier individuellement, de manière directe ou indirecte, des personnes physiques. Elles sont susceptibles d’affecter leurs droits et libertés, nécessitant en conséquence une protection particulière. Au sein de l’Union européenne, le Règlement UE 2016/679 (dit RGPD) encadre les conditions de traitement des données à caractère personnelle et succède à la Directive 95/46/CE afin d’adapter le droit aux évolutions des technologies et des sociétés. Le RGPD s’inscrit dans la continuité de la loi N°78-17 (dite Loi Informatique et Libertés) et renforce le contrôle par les personnes physiques sur leurs données.
Entré en vigueur le 25 mai 2018, le RGPD s’applique à toute organisation, publique et privée, qui traite des données à caractère personnel dès lors qu’elle est établie sur le territoire de l’Union européenne ou que son activité cible des résidents européens.
Comment recenser ses traitements de données ?
L’identification de l’ensemble des activités de traitement de données à caractère personnelle mises en œuvre par l’organisme permet de disposer d’une vision macro de son fonctionnement.
Il s’agit également d’une obligation consacrée par l’article 30 du RGPD pour tous les organismes et quelle que soit leur taille.
Ce recensement dont la forme est libre, doit en tout état de cause comprendre a minima l’ensemble des informations suivantes :
le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données;
les finalités du traitement; une description des catégories de personnes concernées et des catégories de données à caractère personnel;
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale;
dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
Comment
recenser ses
traitements
de données ?
L’identification de l’ensemble des activités de traitement de données à caractère personnelle mises en œuvre par l’organisme permet de disposer d’une vision macro de son fonctionnement.
Il s’agit également d’une obligation consacrée par l’article 30 du RGPD pour tous les organismes et quelle que soit leur taille.
Ce recensement dont la forme est libre, doit en tout état de cause comprendre a minima l’ensemble des informations suivantes :
les finalités du traitement; une description des catégories de personnes concernées et des catégories de données à caractère personnel;
les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales;
le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale ;
dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données; dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.
Le registre de traitements participe à la documentation de la conformité de l’organisme et constitue un excellent outil de pilotage puisqu’il permet de déduire un plan d’action de mise en conformité.
En effet, il permet à l’organisme de déterminer si les caractéristiques de certains traitements ne sont pas conformes (par exemple si les données sont conservées sans délais d’effacement) et donc les mesures à mettre en œuvre.
Ainsi, chaque fiche du registre permet notamment de vérifier que les données sont bien pertinentes et nécessaires à la finalité de leur traitement. Le cas échéant, l’organisme pourra alors procéder à la suppression d’une partie des données qu’il traite et établir une politique de traitement des données plus appropriée.
Comment organiser ses processus internes ?
L’établissement et l’organisation des politiques relatives à la protection des données participe à la documentation de la conformité de l’organisme, au même titre que le registre des traitements.
Ces processus internes doivent avoir pour finalité de garantir la protection des données traitées par l’organisme, ils doivent être adaptés aux risques, et permettre une adaptation à l’évolution de ce risque.
Ils doivent ainsi prendre en considération l’ensemble des évènements qui peuvent survenir au cours de la vie des traitements mis en œuvre par l’organisme, compte tenu de l’état des connaissances, des coûts de mise en œuvre, de la nature, de la portée, du contexte et de la finalité de ces traitements. Peuvent participer à ce corpus documentaire des processus internes les documents suivants :
– Politique de gestion des risques ;
– Politique de gestion de crise ;
– Politique de gestion des accès et des habilitations ;
– Politique de gestion des traces ;
– Politique de gestion des fournisseurs ;
– Politique de sauvegarde ;
– Politique de gestion des incidents ;
– Plans de continuité et de reprise des activités ;
– Politique de sécurité physique et environnementale ;
– Politique de gestion des actifs ;
– Programme de contrôle ;
– Programme de supervision ;
– Politique d’archivage et de destruction ;
– Politique d’utilisation du SI ;
– Politique terminaux mobiles et télétravail ;
– Fiches des postes (RSSI, DSI et DPO) ;
– Politique de cloisonnement des réseaux ;
– Politique de cryptographie ;
– Cadre d’interopérabilité ;
– Cadre de transfert des données ;
– Guide de gestion des projets ;
– Modèle de contrat de sous-traitance ;
– Catalogue des outils autorisés ;
– Référentiel d’authentification ;
– Référentiel WEB ;
– Référentiel traces ;
– Charte utilisateur ;
– Charte administrateur ;
– Charte prestataire ;
– Charte de confidentialité ;
– Politique de gestion documentaire ;
– Politique de gouvernance du SMSI ;
En tout état de cause, les politiques internes doivent obligatoirement prendre en compte la protection des données personnelles dès la conception des traitements (minimisation de la collecte des données au regard de la finalité du traitement, durée de conservation des données proportionnée au regard de la finalité du traitement, information des personnes concernées, recueil du consentement des personnes concernées le cas échéant, sécurité et confidentialité des données, rôle et responsabilité des acteurs impliqués dans le traitement…).
Comment contractualiser ses traitements de données ?
Les traitements de données impliquant plusieurs acteurs doivent obligatoirement être contractualisés dans les conditions prévues par le RGPD. Les conditions de contractualisation des traitements dépendent du rôle des différents acteurs sur le traitement concerné.
Ainsi, si un organisme traite les données exclusivement pour le compte et sur instruction d’un autre organisme qui a déterminé les finalités et une partie substantielle des moyens de ce traitement, il sera qualifié de sous-traitant de ce second organisme.
En ces conditions, l’organisme sous-traitant devra obligatoirement présenter des garanties suffisantes afin que le traitement réponde aux exigences du RGPD et garantisse la protection des droits des personnes dont les données sont traitées. Ce traitement sera obligatoirement régi par un contrat ou un autre acte juridique liant le sous-traitant à l’égard du responsable du traitement, définissant l’objet et la durée du traitement, sa nature et sa finalité, le type de données et les catégories de personnes concernées, ainsi que les droits et obligations des parties.
Par principe, ce contrat de sous-traitance doit a minima prévoir que le sous-traitant :
Ne traite les données que sur instruction du responsable du traitement ;
Veille à ce que son personnel s’engage à respect la confidentialité des données ;
Prend toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adapté au risque ;
Ne recrute pas un autre sous-traitant sans l’autorisation du responsable du traitement, et se porte garant devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations ;
Aide le responsable du traitement à donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits sur les données les concernant ;
Aide le responsable du traitement à garantir ses obligations en matière de sécurité des données, notification à la CNIL d’une violation de données, communication à la personne concernée d’une violation de données, analyse d’impact relative à la protection des données et de consultation préalable de la CNIL lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé ;
Selon le choix du responsable du traitement, supprime toutes les données ou les renvoie au responsable du traitement au terme de la prestation, et détruit les copies existantes ;
Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations, et permettre la réalisation d’audits.
Veille à ce que son personnel s’engage à respect la confidentialité des données ;
Prend toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adapté au risque ;
Ne recrute pas un autre sous-traitant sans l’autorisation du responsable du traitement, et se porter garant devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations ;
Aide le responsable du traitement à donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits sur les données les concernant ;
Aide le responsable du traitement à garantir ses obligations en matière de sécurité des données, notification à la CNIL d’une violation de données, communication à la personne concernée d’une violation de données, analyse d’impact relative à la protection des données et de consultation préalable de la CNIL lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé ;
Selon le choix du responsable du traitement, supprime toutes les données ou les renvois au responsable du traitement au terme de la prestation, et détruit les copies existantes ;
Met à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations, et permettre la réalisation d’audits.
Lorsque plusieurs acteurs déterminent conjointement tout ou partie des finalités et des moyens du traitements, ils seront qualifiés de responsables conjoints du traitement.
En ces conditions, ils doivent définir par voie d’accord et de manière transparente leurs obligations respectives. Les grandes lignes de cet accord doivent être mises à la disposition des personnes concernées, par exemple sur le site internet des organismes concernés.
Enfin, lorsque plusieurs acteurs déterminent seuls les finalités et les moyens du traitement, ils seront qualifiés de responsables distincts du traitement. Toutefois, si ce traitement nécessite la transmission de données d’un responsable de traitement à un autre, cette transmission doit également être encadrée, notamment afin de garantir sa licéité (information des personnes concernées, recueil de leur consentement le cas échéant…).
Une attention particulière doit être portée à l’encadrement des transferts de données hors de l’Union européenne, nécessitant une analyse systématique de leur licéité, et en tant que de besoin le recours à des clauses contractuelles types, des règles d’entreprises contraignantes ou des certifications.
Désigner un délégué à la protection des données
Le délégué à la protection des données (ou Data Protection Officer, DPO, DPD) succède au Correspondant Informatique et Libertés depuis l’entrée en vigueur du RGPD. Il a pour mission d’informer et de conseiller les organismes traitant des données sur les obligations qui leur incombent en vertu du RGPD et de la Loi Informatique et Libertés.
Le DPO constitue le point de contact privilégié entre l’organisme qui l’a désigné et les personnes dont les données sont traitées par cet organisme, ainsi que la CNIL notamment dans le cadre de ses contrôles, concernant toutes les questions relatives à la protection des données au sein de l’organisme.
Sa désignation est obligatoire lorsque les activités de traitement de données :
– Sont effectuées par une autorité publique ou un organisme public ; ou
– Consistent en un suivi régulier et systématique des personnes à grande échelle ; ou
– Consistent à traiter à grande échelle des catégories particulières de données ou relatives à des condamnations pénales et des infractions.
En tout état de cause, la désignation d’un DPO est recommandée pour tous les organismes afin de disposer d’un accompagnement permanent en protection des données, et ainsi faciliter le maintien en conformité au RGPD de l’organisme (mise à jour du registre des traitements, contractualisation des traitements, conseils relatifs à la protection des données par défaut et dès la conception, gestion des violations…)
En effet, le délégué est obligatoirement désigné sur la base de ses qualités professionnelles et en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données. Sa capacité à exercer ses missions de manière indépendante et confidentielle, tout en faisant directement rapport au niveau le plus élevé de sa direction est indispensable.
Pour cette raison, le DPO peut être un membre du personnel de l’organisme l’ayant désigné où exercer ses missions sur la base d’un contrat de service (avocat ou consultant) afin de garantir son indépendance.
Nos services
Le Cabinet Bouchara & Avocats vous accompagne et conseille afin de mettre en conformité votre organisme au RGPD et aux lois des Etats membres de l’Union européenne relatives à la protection des données, et de maintenir cette conformité dans le temps.
Conseil et assistance
Nous vous accompagnons et vous conseillons en matière de : - Audit de la conformité des organismes, sites internet et applications au RGPD et aux lois des Etats membres de l’Union européenne relatives à la protection des données,
– Validation des projets de traitements de données à caractère personnel,
– Violations de données à caractère personnel (évaluations du risque pour les droits et libertés des personnes concernées, notifications aux autorités de contrôle des Etats membres de l’UE, communications aux personnes concernées),
– Contrôles des autorités des Etats membres de l’UE (représentation, supervision, réponse aux mises en demeure),
– Formalisation de processus internes (Politique de confidentialité, Charte informatique, Politique de gestion des accès, Politique de sauvegarde, Plan de continuité et de reprise d’activité…),
– Réalisation et mise à jour des registres des traitements,
– Réponse aux demandes d’exercice de droit et réclamations des personnes concernées,
– Analyses d’impact relatives à la protection des données et consultations préalables des autorités de contrôle des Etats membres de l’UE,
– Certifications et labélisations.
Négociation et rédaction
Négociation et rédaction de :
-Accords de traitements de données (Data Protection Agreement / DPA),
-Règles d’entreprises contraignantes (Binding Corporate Rules / BCR),
– Codes de conduites.
Représentation
Nous vous représentons dans le cadre de contentieux relatifs à la protection des données personnelles et notamment :
-Recours contre les lignes directrices, recommandations et sanctions des autorités de contrôle des Etats membre de l’UE,
-Procédures contre les responsables de traitement et sous-traitants pour le compte de personnes concernées dont les droits et libertés n’ont pas été respectés,
-Responsabilité liée au non-respect de contrats de sous-traitance ou de responsabilité conjointe,
-Nous représentons également des organismes qui ne sont pas établis dans l’Union européenne.
Formation et sensibilisation
Nous proposons des formations à la protection des données personnelles.