L’ère du Règlement Général sur la Protection des Données (RGPD), règlement n°2016/679, a commencé ! Il apporte de nombreux changements pour les organismes et les particuliers. Mathias Avocats a élaboré 10 étapes clés, s’appliquant aux responsables du traitement et aux sous-traitants, pour votre mise en conformité.

Sensibiliser

Afin d’être en conformité avec le RGPD, il faut pleinement comprendre ses enjeux et les nouvelles obligations qui en découlent. Il convient ainsi de sensibiliser et d’informer chaque collaborateur, car chacun à son niveau participe à la conformité de l’entité, des fondamentaux du RGPD (ex : formations, réunion, fiches pratiques…). Il convient également d’assurer une coopération entre chaque département ou service afin que la mise en conformité se fasse le plus efficacement et rapidement possible.

Faire le point

La cartographie de l’ensemble des traitements mis en œuvre est un élément fondamental de la mise en conformité de tout organisme. Elle va permettre de mesurer l’impact du RGPD sur l’activité de l’organisme.

En outre, la cartographie des traitements sera également le point de départ du registre des activités de traitement (article 30 du RGPD). Ce dernier est un outil de pilotage de la mise en conformité et recense toutes les informations clés du traitement (ex : finalité du traitement, personnes concernées, identité des sous-traitants…). A ce titre, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en ligne un modèle de registre des activités de traitement et un modèle simplifié pour les très petites entreprises et les petites et moyennes entreprises.

A l’occasion de cette cartographie, il convient de porter une attention particulière au fondement de licéité du traitement (article 6 du RGPD) et à l’âge des personnes concernées. En effet, les conditions ne sont pas les mêmes pour les enfants, âgés de moins de 16 ans, et pour les adultes.

La cartographie n’est pas le seul outil dont dispose les organismes souhaitant se mettre en conformité. La tenue d’audit, tant techniques que juridiques, permet de déterminer son niveau de conformité et documenter sa mise en conformité. En outre, ils peuvent également être utilisés pour identifier les risques.

Identifier et gérer les risques

Le RGPD introduit un nouvel outil de gestion des risques, à savoir l’analyse d’impact relative à la protection des données (en anglais, Data Protection Impact Assessment ou DPIA). Le registre des activités de traitement ainsi que les audits sont des outils importants lorsque le responsable du traitement effectue un DPIA.  

Bien que le DPIA ne soit obligatoire que dans certains cas, il convient d’en faire une bonne pratique au sein de l’entité. Il permet de recenser les mesures protectrices et/ou correctives mises en place pour chaque traitement et d’évaluer la gravité des risques. En pratique, le responsable de la sécurité des systèmes d’information ou RSSI sera un expert technique incontournable pour déterminer les mesures à mettre en œuvre.

Assurer les droits des personnes

Les personnes concernées ont de nouveaux droits sous le RGPD : droit à la portabilité des données, le droit à la limitation du traitement et le droit à l’effacement. Pour chaque nouveau droit, il convient de prévoir une procédure correspondante assurant l’exercice effectif de ce droit. Pour rappel, toute demande d’exercice d’un droit de la part d’une personne concernée doit obtenir une réponse dans le délai d’un mois.

Par exemple, le droit à la portabilité des données impose que les données à caractère personnel faisant l’objet de la demande de portabilité soient transmises dans un format structuré, couramment utilisé et lisible électroniquement. Le responsable du traitement doit s’assurer que ces conditions seront respectées.

Réviser sa documentation

Soulignons qu’il convient de repenser son approche à la protection des données à caractère personnel sous le RGPD. En effet, le principe d’accountability est désormais l’un des principaux piliers de la conformité. Les entités doivent donc être en mesure de démontrer leur conformité par le biais de divers documents (ex : politique de protection des données, registre des activités de traitement…).

Les entités doivent réviser l’ensemble de leurs documents, procédures ou mesures existantes afin de les actualiser au regard des exigences du RGPD (ex : bandeau cookie, contrats de prestataires, politique cookies…). A l’occasion de cette révision, il convient de garder à l’esprit les changements qu’apporte le RGPD au consentement. Il doit être libre, spécifique et éclairée et ne peut résulter d’une manifestation « tacite ». Le Groupe de travail de l’article 29 (G29) a publié des lignes directrices sur le consentement expliquant les conditions qui s’y rattachent.

rgpd-refonte-autorites-controle-mathias-avocats

En outre, toute mesure ou procédure doit incorporer la protection des données à caractère personnel dès la conception et par défaut (notions de privacy by design et privacy by default).

Repenser sa relation avec le sous-traitant

Le sous-traitant devient un véritable gardien des données à caractère personnel sous le RGPD. Il se voit en effet directement imposer des obligations notamment en matière d’accountability et de sécurité des données. A ce titre, il convient de repenser sa relation contractuelle avec le sous-traitant et de respecter les exigences du RGPD à cet égard.

L’article 28, 3° du RGPD énonce une liste non-limitative de clauses contractuelles qui doivent impérativement figurer dans le contrat entre le responsable du traitement et le sous-traitant. Ces derniers sont libres d’ajouter d’autres clauses tant pour les droits que pour les obligations. La CNIL a publié un Guide du sous-traitant contenant notamment des exemples de clauses contractuelles de sous-traitance.

Repenser sa relation avec le sous-traitant impose notamment de réviser sa clause de responsabilité. Le sous-traitant peut voir sa responsabilité engagée pour tout manquement contractuel ou non-respect des dispositions du RGPD qui lui sont applicables.

Implanter de nouvelles procédure

Cette étape doit notamment être considérée conjointement avec celle concernant les droits de personnes (étape 4). En effet, l’entité doit vérifier qu’elle dispose de procédures permettant aux personnes concernées d’exercer effectivement leurs droits. Cela suppose une révision complète des procédures existantes. En outre, il convient de revoir toutes les mentions d’information afin de s’assurer qu’elles exposent clairement et simplement les droits ainsi que la manière de les exercer.

L’entité doit également mettre en œuvre des procédures spécifiques – l’une pour l’autorité de contrôle (article 33 du RGPD)  et l’autre pour les personnes concernées (article 34 du RGPD) – lors d’une violation de données à caractère personnel. Elle doit être capable de détecter et de résoudre rapidement toute violation ainsi que de communiquer les informations essentielles concernant la violation et les mesures correctrices mises en place.

Organiser les procédures de révision

La mise en conformité d’un organisme est un exercice continu. Ainsi, il convient de prévoir des procédures de révision régulières de tous les documents ou procédures portant sur la protection des données à caractère personnel (ex : firewall, politique cookies, procédure de gestion des droits…). En outre, une révision régulière de la documentation permet à l’entité d’adopter les bons réflexes et d’anticiper une potentielle violation de données à caractère personnel.

Désigner un Délégué à la Protection des Données

Le Délégué à la protection des données (en anglais Data Protection Officer ou DPO) est un acteur indépendant, dont la désignation est obligatoire pour certains organismes (article 37 du RGPD).

Il est le chef d’orchestre de la conformité de l’organisme l’ayant désigné. A ce titre, il doit être associé à toutes les questions relatives à la protection des données à caractère personnel et l’organisme doit lui fournir les ressources nécessaires à l’exercice de ses missions. Soulignons que le DPO peut être une personne interne à l’organisme ou externe. Mathias Avocats

Penser au niveau international

Le RGPD distingue plusieurs traitements à l’échelle internationale :

Les traitements transfrontaliers qui ont lieu dans plusieurs Etats membres de l’Union européenne (UE). Si tel est le cas, il est impératif que l’entité détermine quelle autorité de contrôle est compétente, appelée « autorité de contrôle chef de file » sous le RGPD (considérants 124 à 128 du RGPD et articles 56 et 60 du RGPD). Le G29 a publié des lignes directrices sur l’autorité chef de file afin de guider les responsables du traitement et les sous-traitants.

Les transferts de données à caractère personnel vers un pays tiers ou une organisation internationale (Chapitre V du RGPD). L’organisme qui transfère des données hors de l’UE doit prévoir des garanties supplémentaires et s’assurer que le transfert respecte scrupuleusement les conditions du RGPD. Il existe trois types de transferts sous le RGPD et chacun répond à des conditions qui lui sont propres. Par exemple, un responsable du traitement souhaitant transférer des données vers les Etats peut s’appuyer sur le Privacy Shield. Les entités sont également invitées à consulter la carte de la protection des données mise en ligne par la Cnil afin de déterminer quel type de transfert est possible.

Mathias Avocats se tient à votre disposition pour vous accompagner dans votre mise en conformité et accompagne déjà certains de ses clients dans leurs démarches. Nous proposons également des formations sur mesure dont les programmes peuvent être dédiés à une structure, un secteur d’activité spécifique ou un public particulier.