Juridique

RGPD : comment se mettre en conformité avec le nouveau réglement de protection des données ?

Par Gilles Cayuela, le 17 avril 2018

Le Règlement général sur la protection des données (RGPD) entre en vigueur le 25 mai. À partir de cette date, les entreprises devront prouver leurs efforts de mise en conformité avec ces nouvelles règles européennes qui encadrent l’utilisation des fichiers contenant des données à caractère personnel.

Un ordinateur portable entre deux piles de documents.
Qu’ils soient numériques ou sous format papier, les entreprises doivent renforcer la protection de tous leurs fichiers contenant des données personnelles. — Photo : Hasselblad H5D

Votre PME utilise des fichiers Excel listant ses clients, collecte des données sur ses prospects depuis son site internet, édite des fiches de paie, rassemble des informations sur ses salariés, stocke des CV, diffuse une newsletter ou liste dans un registre le nom des visiteurs qui rentrent dans ses locaux ? Méfiance ! A compter du 25 mai 2018, les entreprises traitants des données personnelles devront se mettre en conformité avec le RGPD, le nouveau règlement européen visant à mieux protéger les innombrables fichiers qui permettent d’identifier une personne.

Dans le cas contraire, la Commission nationale de l'informatique et des libertés (Cnil) pourra sanctionner l’entreprise contrevenante d’une amende « qui pourra atteindre, selon la catégorie de l’infraction, de 10 à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires global », précise Martine Ricouart-Maillet, avocate associée au sein du cabinet TGS France Avocats.

Cartographier ses traitements et tenir son registre

Pour éviter de lourdes sanctions, les entreprises encore à la traîne vont devoir prendre le problème à bras le corps. « La première chose à faire est de réaliser une cartographie de l’ensemble des traitements de données de l’entreprise », explique Maxime Gardereau, senior manager IT au sein du cabinet d’audit et conseil RSM France.

« L’idée, c’est de prioriser les risques et de déclencher des actions sur les traitements les plus critiques. »

Ces traitements doivent être compilés au sein d’un registre qui pourra à tout moment être consulté par la Cnil. « Ce registre des traitements doit comporter des informations sur le responsable des traitements, les destinataires des données et la finalité du traitement : profilage, analyse statistique, conception d’offres commerciales, etc. Il est la preuve légale de la mise en œuvre d’un traitement et permet ainsi de tracer les modifications, évolutions et accès », précise Xavier Leclerc, PDG de DPMS et président de l’Union des Data Protection Officer. Et d’ajouter : « Les traitements ne concernent pas que les données informatiques. Il y a des typologies de traitement qui ne sont pas dans le système d’information comme le contrôle des visiteurs à l’accueil et l’accès par badge ».

Les données sensibles en priorité

Une fois ce registre des traitements établi, l’entreprise va pouvoir identifier les données sensibles de celles qui le sont moins et établir des priorités. « Les entreprises ne pourront pas mener tous les chantiers d’ici le 25 mai. L’idée, c’est donc de prioriser les risques et de déclencher des actions sur les traitements les plus critiques », explique Maxime Gardereau.

Pour les traitements à risques, le RGPD oblige l’entreprise à réaliser une étude d’impact. C’est le cas pour les données dites sensibles comme les origines raciales, les opinions politiques ou religieuses, l’orientation sexuelle, les données sur les infractions et condamnation, les données biométriques ou génétiques et toutes les données relatives à la santé. « Les données sensibles doivent faire l’objet d’un traitement à part avec une étude d’impact mais aussi avec des actions de cryptage ou d’anonymisation », précise Xavier Leclerc.

Le DPO, un nouveau métier dans l’entreprise

L’entrée en vigueur du RGPD va aussi conduire l’entreprise à nommer un pilote qui sera la cheville ouvrière de la mise en conformité et le garant de son maintien dans le temps. Ce pilote porte un nom : le data protection officer (DPO), en français, le délégué à la protection des données. « Ce poste sera obligatoire dans trois cas : si vous êtes une autorité ou un organisme public ; si votre activité de base consiste en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (comme le profilage ou le ciblage publicitaire) ; ou si votre activité implique le traitement à grande échelle de données sensibles (banques, assurances, etc.) », explique Alexandre Aurelle, manager expert en RGPD au sein du cabinet Oresys.

« La majorité des entreprises n’aura donc pas l’obligation de se doter d’un DPO. En revanche, la réalité, c’est que pour maintenir sa conformité, il faudra une personne au sein de l’entreprise qui occupe cette fonction », précise Maxime Gardereau de RSM France. Cette personne référente peut être « le DSI, le DAF, le DRH ou même un binôme responsable juridique et responsable informatique », précise Maxime Gardereau. Une chose est sûre, « cette personne devra avoir une appétence pour le juridique, des compétences IT et aussi des talents d’organisateur et de coordinateur. Le DPO doit être l’émanation de la compréhension du RGPD dans l’entreprise », précise Erik Ghesquière, directeur associé d’Oresys.

Si le dirigeant ne trouve pas le profil idoine en interne pour assurer cette fonction de DPO et ne dispose pas des ressources financières pour embaucher une personne dédiée, il peut alors se tourner vers l’externalisation.

Assurer le respect des droits des personnes

L’une des missions du DPO sera de communiquer et sensibiliser les salariés de l’entreprise aux nouvelles exigences imposées par le RGPD. Pour ce faire, ce dernier peut élaborer une charte de bonnes pratiques pour rappeler les points clés du RGPD, les sanctions en cas d’écart à la loi et les choses à faire ou ne pas faire au sein de l’entreprise en matière de traitement de données.

Outre la protection des données aussi bien vis-à-vis de l’interne que de l’externe, le RGPD accorde une grande importance au consentement et au respect des droits des personnes concernées par les traitements. Un droit qui se matérialisera par une nouvelle obligation pour les entreprises. « Elles devront obtenir le consentement, donné de manière libre et éclairée, des personnes faisant l’objet d’un traitement. Et surtout, elles devront en garder la preuve. Elles devront également garantir le respect du droit à l’oubli numérique (droit de demander l’effacement de ses données, ndlr) et du droit à la portabilité (droit d’obtenir ses données et de les transmettre à une autre entité, ndlr) », expose le PDG de DPMS.


Attention aux contrats avec vos fournisseurs et sous-traitants

A compter du 25 mai 2018, le RGPD introduit la notion de coresponsabilité. Si un fournisseur ou sous-traitant manque à ses obligations, il pourra être poursuivi au même titre que le responsable du traitement. L’article 28 précise que le responsable du traitement des données ne doit faire appel qu’à des sous-traitants qui présentent des garanties sur le plan organisationnel et technique au regard de la conformité. Cet article dicte aussi les précisions que l’on doit trouver dans tous les contrats entre un responsable de traitement et un sous-traitant. D’où la nécessité pour le donneur d’ordres de revoir ses contrats avec ses fournisseurs et sous-traitants en intégrant des clauses rappelant les nouvelles obligations. Avec le RGPD, le responsable de traitement disposera par ailleurs de 72 heures maximum pour notifier à la Cnil une éventuelle violation ou fuite de données.

Un ordinateur portable entre deux piles de documents.
Qu’ils soient numériques ou sous format papier, les entreprises doivent renforcer la protection de tous leurs fichiers contenant des données personnelles. — Photo : Hasselblad H5D