La mise en conformité au RGPD, de la TPE au grand groupe international

Visuel pour l'article RPGD : Passer à l'action en 4 étapes

Artisans, PME, freelance, start-up, Multinationale… Quelle que soit la taille de votre entreprise, vous êtes dans l’obligation de vous soumettre au RGPD dès l’instant où vous traitez les données personnelles de ressortissants européens.

Bien que le RGPD s’applique à chacune de ces structures, la mise en conformité se fait proportionnellement à l’activité et aux moyens dont chacune dispose.
Une TPE, composée de 3 personnes, n’a bien entendu pas les mêmes obligations qu’un géant du numérique. Le seul critère à prendre en compte est le volume ou la sensibilité des données traitées et non pas la taille ou le nombre d’employés.

 

Depuis le 25 mai 2018, collecter et traiter des données personnelles implique avant tout d’informer les personnes sur ce qu’on fait de leurs données et de respecter leurs droits.
En tant que responsable d’un traitement de données, ou en tant que sous-traitant, il est nécessaire de prendre des mesures pour garantir une utilisation de ces données respectueuse de la vie privée.

Seules les activités non soumises à la législation de l'UE, celles liées à la défense nationale par exemple, ne sont pas concernées.

 

RPGD : Passer à l'action en 4 étapes

Quels sont les fondamentaux communs à toutes les structures ?

Cartographier les données

La mise en conformité commence pour toutes les entreprises par un socle commun : l’audit de conformité et une cartographie des traitements mis en place au sein de l’organisation. Une première étape qui permet de connaitre l’existant en termes de procédures et de moyens, et ainsi dresser une liste des traitements mis en œuvre par l’organisme.

L’audit permet d’identifier les mesures à appliquer afin d’atteindre la conformité au RGPD. Ces mesures, bien qu’étant les mêmes pour tous (sécuriser les lieux de stockage des données, prévoir des procédures de réponse aux demandes des utilisateurs, prévoir une durée de conservation des données, etc.), ne seront pas appliquées de la même façon selon les données traitées ou la taille de la structure. Il s’agit ici de faire le tri dans vos données.

Protéger le droit des personnes

Comme précisé, l’objectif premier du règlement européen est de protéger le droit des personnes. C’est la grande bascule du RGPD. Celle de redonner le contrôle des informations personnelles aux personnes concernées.

Il est donc nécessaire de fournir aux personnes concernées une information claire et complète des modalités du traitement : destinataires, finalité, durée de conservation des données, droits offerts, etc. Et ce, sur chaque formulaire visant à collecter des données.

Dans un objectif de transparence et d’information, le RGPD exige que les organismes responsables de traitements de données à caractère personnel se responsabilisent et documentent également leurs procédures et méthodes.  

Coresponsabilité entre le responsable de traitement et sous-traitant

Le texte oblige toute entreprise à s’assurer que le « sous-traitant » qui gère tout ou une partie du traitement impliquant des données à caractère personnel a pris en compte et mis en œuvre les exigences RGPD.

Tous les acteurs sont donc responsables à leur niveau d’éventuelles pertes ou dégradation de données, et peuvent entrainer, le cas échéant, la responsabilité de leur client, donneur d’ordre.

C’est à ce moment que le RGPD doit être perçu comme un véritable avantage concurrentiel, la conformité au RGPD devenant un critère de choix de ses partenaires commerciaux.  

TPE-PME

La mise en conformité a un coût. Il peut représenter un investissement important pour les TPE et PME. Que ce soit au niveau des ressources humaines, de temps et de budget. Cependant, au-delà de la menace de la sanction financière ou de l’impact réputationnel, il est indispensable que les entreprises de petite taille se mettent en conformité.

En tant que sous-traitant, ces entreprises doivent fournir des preuves et des garanties de leur conformité à leur client. Pour les TPE et PME, l’enjeu est de mettre en place, à moindre coût, les mesures indispensables pour que la conformité devienne un critère de compétitivité.

 

Registre de traitements : Les entreprises de moins de 250 salariés n’ont pas d’obligation de tenir un registre sauf pour :

  • Les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;
  • Les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
  • les traitements qui portent sur catégories particulières de données visées à l’article 9 et 10 du RGPD des données sensibles (exemple : données de santé, infractions, biométrie etc.).

Sécurité

L’exigence de sécuriser entre les espaces de stockage de données n’est évidemment pas interprétée de la même façon entre un géant du web possédant ses propres data centers et faisant face à des risques d’espionnage industriel et de sabotage, et le coiffeur d’un village qui conserve dans une armoire les agendas sur lesquels ils notent ses rendez-vous.

Il sera demandé aux TPE d’assurer la sécurité des données face aux risques (physiques et virtuels) qui pèsent sur les entreprises de taille modeste : on parle surtout ici de fuites de données (accidentelles ou non. Par exemple un cambriolage, ou encore un ancien employé qui part avec une base de données) et de ruptures de service (problème informatique et/ou chute du système).

Cela revient donc à sécuriser les locaux, installer des moyens de contrôle d’entrée, ainsi que de sécuriser les archives et les postes de travail.  

Les ETI et les grands groupes : le registre des traitements

Ces mêmes règles s’appliquent aux organismes de taille plus importante, à leur échelle. Les risques sont de nature différente et ne sont pas appréciés de la même manière, étant donné le volume extrêmement conséquent de données personnelles qui peut être exploité. Ici, le risque est moins la perte ou l’effacement accidentel de donnée, mais plutôt le vol ou le blocage des données contre rançon, ainsi qu’un fort risque réputationnel.

En effet, les sanctions de la CNIL sont rendues publiques, et les scandales de fuites de données massives sont très régulièrement relayées par les réseaux sociaux ou la presse.

Ici, la documentation est donc un élément central de la conformité. Chaque procédure doit être écrite et consultable, toujours dans un objectif d’information et d’auto-responsabilisation des acteurs. Les mentions d’information et des différentes politiques appliquées (gestion des données, conservation des données) devront être facilement accessibles et compréhensibles.

Il est très important d’apporter un soin particulier, au sein des grandes structures, dans la mise en place des circuits d’application des demandes de de particuliers. Concrètement, cela revient à s’assurer qu’une réponse est apportée à chaque intéressé, et cela dans les délais imposés par les textes.

Du fait du caractère massif de leurs traitements de données, les grandes structures sont soumises à de nombreuses requêtes d’utilisateurs, et chaque oubli peut mener à une dénonciation à la CNIL, menant elle-même à un contrôle de conformité et donc une potentielle sanction ! Chaque procédure et chaque opération doit être enregistrée, afin de se prévaloir d’éventuels contrôles.

C’est dans cette optique de transparence et de documentation que les responsables de traitement doivent tenir un registre des traitements qu’ils exploitent. Ce registre contient la liste des traitements de données - de la collecte à la destruction des données, chaque exploitation de données est documentée.  

Un DPO, pour qui ? Pour quoi ?

Le Data Protection Officer (DPO) est un le chef d’orchestre de la mise en conformité. Employé de la structure, ou consultant externe, son rôle est de conseiller le responsable de traitement, et de faire en sorte que l’organisation respecte la règlementation en matière de protection des données. Le DPO est obligatoire pour :

  • Tous les organismes publics,
  • Les organismes dont les activités de base les amènent à réaliser un suivi à grande échelle régulier et systématique des personnes, ou à traiter à grande échelle des données dites "sensibles".

Le RGPD ne définit pas la notion de traitement à grande échelle mais le G29 (Groupe des autorités européennes de protection) en donne une interprétation très large. Il est conseillé cependant, même lorsque son entreprise ne rentre pas dans les critères, de nommer un DPO afin d’être guidé et conseillé dans le processus complexe de mise en conformité. Il permet à toute entreprise, quelle que soit sa taille, d’endosser le rôle l’interface avec les personnes concernées et de vous assister lors des contrôles).

Le RGPD, du fait de son universalité, est donc évidemment soumis à interprétation. Les mêmes règles s’appliquent à tous. C’est alors du ressort du DPO et du responsable de traitement de faire de la gestion du risque, et d’évaluer le degré d’effort à apporter à la mise en conformité à la réglementation en matière de protection des données.  

 

Alexis Cornilleau, Juriste

CNIL : Les amendes avant et après RGPD (Partie 2)

Dans la première partie, nous avons pu constater que l’arrivée du règlement sur la protection des données a donné lieu à une inflation des sanctions. Dans cette deuxième partie, Benjamin s’est penché sur les motivations de la sanction.  

04 – Une pluralité de manquements ?

Défaut de proportionnalité

Il est invoqué lorsque les données traitées sont jugées excessives au regard des buts poursuivis par l’organisme. Par exemple, un organisme peut être sanctionné pour filmer en continu ses salariés à leurs postes de travail. Le nombre, l’emplacement ou encore l’orientation des caméras sont des éléments pris en compte par la CNIL dans son appréciation.

Défaut d'information

Il est invoqué lorsque les personnes ne sont pas informées sur l’usage qui est fait de leurs données ou sur les modalités de leurs traitements, ou bien ces informations sont fournies d'une façon qui n’est pas concise, transparente, compréhensible et aisément accessible.
Par exemple, un organisme peut être sanctionné pour ne pas informer les personnes des durées de conservation des données.

Non coopération avec la CNIL

L’organisme contrôlé s’oppose à l’action de la CNIL et ne prend aucune mesure afin de faciliter sa tâche. Par exemple, le défaut de réponse aux correspondances adressées par la CNIL ou encore l’entrave aux procédures de contrôle sont des comportements sujets à sanctions par la CNIL.

Sécurité insuffisante

L’organisme contrôlé n’a pas, compte tenu de sa situation et de ses traitements, mis en œuvre des moyens techniques et organisationnels permettant de garantir un niveau de sécurité suffisant. Par exemple, ne pas mettre en place un système d’authentification permettant de contrôler les accès aux données, ou bien ne pas protéger l’accès aux armoires et tiroirs contenant des dossiers papiers, peut être en fonction de la taille et de l’activité de l’organisme une pratique dite « sanctionnable. »

Non-respect des durées de conservation

L’organisme contrôlé n’a pas respecté le principe de limitation de la conservation des données personnelles. Par exemple, un organisme peut être sanctionné lorsqu’il ne respecte pas une durée qu’il a lui-même défini, ou en conservant sans aucune limitation de durée les données qu’il est amené à traiter.

Défaut de base légale

L’organisme contrôlé n’a pas respecté le principe de licéité, c’est-à-dire qu’il traite des données personnelles sans aucune justification prévue par la loi. Par exemple, un organisme peut être sanctionné lorsqu’il envoie de la publicité commerciale par mail à des prospects sans leur consentement.

Non-respect des droits des personnes

L’organisme contrôlé ne permet pas aux personnes concernées d’exercer leurs droits. Par exemple, un organisme peut être sanctionné lorsqu’il ne donne aucune suite aux demandes d’accès ou de suppression des données formulées par ses clients ou utilisateurs.

 

#FOCUS : TOP 4 DES ÉVOLUTIONS DES MOTIFS DE SANCTIONS

La CNIL est en mesure de sanctionner un organisme pour un ou plusieurs manquements constatés lors d’un contrôle.
Chaque sanction pécuniaire comporte donc plusieurs motifs de sanction.
Depuis 2013, on constate 4 variations importantes concernant les motifs de sanction prononcés.

Sécurité insuffisante

19%
Entre 2013 et 2015

39%
Entre 2016 et 2019

Cette augmentation s’explique par l’augmentation du nombre de sites web contrôlés et sanctionnés par la CNIL, un ou plusieurs défauts de sécurité étant systématiquement constatés.

Défaut d'information

31%
Entre 2013 et 2015

12%
Entre 2016 et 2019

Cette baisse peut s’expliquer par la baisse du nombre de sanctions pécuniaires concernant les systèmes de vidéosurveillance. Le défaut d’information est un manquement souvent prononcé pour ces traitements.

Non coopération avec la CNIL

16%
Entre 2013 et 2015

7%
Entre 2016 et 2019

Cette baisse peut s’expliquer par le gain de légitimité dont la CNIL a pu bénéficier au fil des années, en se positionnant petit à petit en tant que « gendarme de la donnée ». Ce phénomène s’est s’amplifié à l’annonce de l’adoption du RGPD et de de nouvelles sanctions pécuniaires.

Défaut de proportionnalité

16%
Entre 2013 et 2015

10%
Entre 2016 et 2019

Cette baisse peut s’expliquer par la baisse du nombre de sanctions pécuniaires concernant les systèmes de vidéosurveillance. Après 2016, ce manquement n’est quasiment jamais rencontré en dehors des problématiques de vidéosurveillance.

05 – Les sites web dans le viseur de la CNIL ?

Les données traitées sur les sites web et applications constituent les traitements les plus sanctionnés par la CNIL. Véritable aspirateur à données, ils sont amenés à manipuler un volume énorme de données : des identifiants à des numéros de cartes bancaires, en passant par des photos ou des localisations.
De ces données collectées en sont déduites de nouvelles : relations, passions, comportements, situation économique, santé… La CNIL a donc contrôlé et sanctionné de nombreux organismes éditant et/ou développant des sites web et/ou applications mobiles.

Sécurité insuffisante

#1
Par exemple, une sécurité insuffisante s’illustre par une authentification par mot de passe trop souple, l’absence de règles d’authentification à un compte, l’accès sans aucun contrôle via une adresse URL à un compte client, l’absence de chiffrement des données, l’indexation des données dans un moteur de recherche… Toutes ces failles de sécurité permettent à des personnes malveillantes d’extraire et de rassembler des données personnelles censées être protégées.
Lorsque cela arrive, on appelle ça une violation de données. Ainsi, 6 sanctions pécuniaires sur 10 prononcées par la CNIL à l’encontre des sites web et applications avaient pour origine une violation de données.

Non-respect des durées de conservation

#2
Par exemple, certains organismes refusent ou rencontrent des difficultés à mettre en place un système de purge automatique des données concernant des comptes inactifs, ce qui amène à un dépassement des durées de conservation. Aussi, d’autres organismes fixent des durées de conservation différentes que celles prescrites au sein des normes simplifiées de la CNIL, servant aujourd’hui de référentiels.

Défaut de base légale

#3
Par exemple, certains organismes n’informent pas les internautes du caractère commercial de certaines lettres d’information, tandis que d’autres ne mettent pas en place sur le formulaire d’inscription du site une case à cocher dédiée à l’expression du consentement à la collecte et au traitement des données sensibles. Dans ces deux situations, le consentement n’est pas éclairé, car la personne concernée n’est pas correctement informée lorsqu’elle a le choix de consentir ou non.

#FOCUS : ÉVOLUTION DES MONTANTS AVANT ET APRÈS 2018

L’année 2018 est une année qui a connu deux périodes différents : l’avant et l’après RGPD. Néanmoins, les décisions rendues par la CNIL pendant cette année avaient pour fondement la directive européenne de 1995, et non le RGPD. La CNIL a pour autant fait preuve d’une sévérité accrue, au regard des statistiques. Ainsi, on constate une augmentation de plus de 650% par rapport à la moyenne des années cumulées avant 2018.

L’année 2019 est l’année des premières sanctions CNIL prises sur le fondement du RGPD, la première étant en janvier 2019, soit 7 mois après l’entrée en application du règlement en mai 2018. Si on constate une baisse du nombre de sanctions à l’égard des sites web et application, leur montant continue à augmenter.
 

06 – La vidéosurveillance « surveillée » par la CNIL ?

Dans les transports en commun, les magasins, les immeubles d'habitation, les bureaux, la rue… il est aujourd’hui difficile d'échapper aux caméras installées en France. Et la CNIL est justement restée vigilante sur les pratiques en la matière.

Sur l’ensemble des sanctions pécuniaires prononcées à l’égard des systèmes de vidéosurveillance entre 2013 et 2019, la CNIL n’a utilisé que 4 motifs de sanction différents : le défaut d’information, le défaut de proportionnalité, la non-coopération avec la CNIL et la sécurité insuffisante. La répartition de ces motifs de sanction est plutôt équilibrée, ce qui révèle que les organismes sont confrontés aux mêmes difficultés concernant la mise en place d’un système de vidéosurveillance.

Défaut d'information

De nombreux organismes sont conscients de l’obligation d’informer leurs salariés et clients de l’existence d’un système de vidéosurveillance, mais ne s’y soumettent pas correctement. Ainsi, afficher à certains endroits un panneau portant la mention "local placé sous vidéosurveillance" ne suffit pas.
La base légale, la finalité, les modalités d’exercice des droits, les coordonnées de contact, la durée de conservation… Toutes ces informations doivent figurer sur l’affiche ou la pancarte, présente à l’entrée ou de manière visible dans la zone surveillée.

Défaut de proportionnalité

Un nombre trop élevé de caméras ou des orientations trop intrusives suffisent à caractériser un défaut de proportionnalité. Le nombre, l’emplacement, l’orientation, les périodes de fonctionnement des caméras ou la nature des tâches accomplies par les personnes concernées lorsqu’elles sont salariées, sont autant d’éléments à prendre en compte lors de l’installation du système.
Par ailleurs, le placement sous surveillance permanente d’un salarié ne peut être possible qu’en fonction de la nature de la tâche qu’il accomplit : la manipulation d’objets de grande valeur, la manipulation de sommes d’argent (la caméra doit davantage filmer la caisse que le caissier), zones sujettes à des vols ou des dégradations…

Sécurité insuffisante

Les principales mesures à prendre se situent au niveau de l’accès aux images enregistrées. La plupart des organismes contrôlés prenaient peu de précaution à cet égard, le logiciel permettant de visualiser les images filmées par le dispositif de vidéosurveillance étant accessible sans identifiant ni mot de passe.
Ce dernier doit notamment respecter les recommandations de la CNIL en termes de complexité, et être changé régulièrement. Les personnes habilitées à y accéder doivent être limitées à certaines fonctions (direction et/ou sécurité par exemple).

Non coopération avec la CNIL

La conformité à la Loi Informatique et libertés des systèmes de vidéosurveillance a été ignorée par de nombreux organismes, jusqu’à refuser de se soumettre aux règles de contrôle de la CNIL. Plus de la moitié des sanctions concernant la vidéosurveillance est concernée.
Depuis juin 2017, aucune sanction pécuniaire n’a été prononcée sur ce motif, ce qui laisse imaginer que les organismes ont été suffisamment sensibilisés sur le traitement de données que représente un système de vidéosurveillance, sur sa sensibilité au regard des droits et libertés des personnes, et aussi sur le rôle de la CNIL, désormais légitime à juger de la conformité d’un tel système.

#FOCUS : EVOLUTION DES MONTANTS AVANT ET APRES 2018

L’année 2019 est l’année des premières sanctions prises sur le fondement du RGPD, la première étant en janvier 2019, soit 7 mois après l’entrée en application du RGPD en mai 2018. Pour la vidéosurveillance, une seule sanction a été prononcée par la CNIL mais son montant dépasse à lui seul le seuil annuel atteint jusqu’à maintenant.
L’organisme visé a été sanctionné suite à différents dépôts de plaintes de salariés. Sur la vidéosurveillance, on assiste à une véritablement inflation des sanctions.

Source : cnil.fr/opendata
Benjamin BARATTA - Consultant RGPD

CNIL : Les amendes avant et après RGPD (Partie 1)

Visuel pour l'article "CNIL : LES AMENDES AVANT ET APRES LE RGPD (PARTIE 1)"

La transposition en droit national du règlement européen sur la protection des données a-t-elle véritablement changé la donne au regard des sanctions infligées aux entreprises non respectueuses du règlement ? Doté d’un pouvoir coercitif depuis plus de quinze ans, la CNIL investit d’année en année son rôle de gendarme de la donnée.
Benjamin, Consultant GDPR Rating a minutieusement analysé de 2013 à 2019, quel manquement, comment et pourquoi, la CNIL a cloué au pilori. Restitution.

01 – Un pouvoir de sanction à prendre au sérieux ?

Créée en 1978, la CNIL a été doté avec la loi du 6 août 2004 de la faculté de prononcer des sanctions pécuniaires. Ces sanctions sont prononcées en fonction :

  • De la gravité du ou des manquements au règlement européen
  • Des avantages tirés par l’entreprise à ne pas respecter la réglementation
  • Du caractère intentionnel ou non des manquements
  • Des mesures prises afin d’y remédier
  • De la coopération avec les différents organes de la CNIL et de la catégorie de données concernées.

Avec l’entrée en application du RGPD, et l’augmentation du montant maximal des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire annuel, la CNIL a désormais un pouvoir coercitif fort.

11 077
C’est le nombre de plaintes qui ont été déposées auprès de la CNIL en 2018, soit une augmentation de 32,5% par rapport à l’année précédente.

02 – Une inflation des sanctions ?

Moyenne des montants des sanctions par année
Ce calcul ne tient pas compte de l’amende de 50 millions d’€ à l’encontre de GOOGLE

245%
Entre 2013 et 2014

La société GOOGLE a été condamnée pour la première fois le 3 janvier 2014. À l’époque le montant maximal était de 150 000€. Cette amende gonfle la moyenne de 2014.
Cette même année, la Commission et le Parlement européen sont en pleine réflexion sur le RGPD.

231%
Entre 2017 et 2018

En trois ans, les effets du RGPD se font ressentir. Dès 2018, la CNIL inflige des amendes dont les montants sont inédits (250 000€, le 07 mai 2018) ou sanctionne plus sévèrement certains manquements.

107%
Entre 2018 et 2019

En 2019, l’ancien plafond des amendes de 150 000€ est définitivement oublié, la CNIL prononce même une sanction de 50 millions d’€ (non incluse dans la moyenne pour ne pas biaiser le résultat) à l’encontre de GOOGLE LLC.

03 – Une diversification de traitements concernés ?

 

Traitements sanctionnés entre 2016 et 2019
Traitements sanctionnés entre 2013 et 2015

Sites web/
applications mobiles

Les sites web et applications mobiles récoltent autant de données qu’elles en diffusent. Certains de ces sites web et application permettent à l’utilisateur de créer, gratuitement ou non, un compte afin de bénéficier de plus de services en ligne, qui accroit de manière industrielle la collecte de données.

Depuis 2014, la CNIL est en mesure de contrôler en ligne les sites web, applications ou cloud public afin de vérifier notamment la proportionnalité des données collectées, la gestion des traceurs (dont les Cookies), les mentions d’information ou encore la sécurité du site ou de l’application.

4 amendes
Entre 2013 et 2015

Moyenne : 19 500€
+ grande : 50 000€
- grande : 3 000€

15 amendes
Entre 2016 et 2019

Moyenne : 125 000€
+ grande : 400 000€
- grande : 10 000€

Services numériques des GAFAM

 

Les données, les grandes firmes en sont friandes ! Mais quand GOOGLE, AMAZON, FACEBOOK, APPLE ou encore MICROSOFT tombe dans les filets de l’autorité de régulation, en général, les sanctions pécuniaires prononcées à leur égard atteignent en général le plafond maximal. La raison ?
La plupart du temps, les manquements concernent plusieurs services à la fois, dû à leur caractère transversal : moteur de recherche, boite mail, réseau social, système d’exploitation, e-commerce, hébergement et lecture de vidéos/musique…

En janvier 2014 la première amende de la CNIL à l’encontre d’un GAFAM (GOOGLE) a été prononcé. Elle a atteint le plafond maximal autorisé : 150 000€. Depuis cette date, la société GOOGLE LLC a été condamnée deux fois.
En 2016 pour ne pas avoir donné droit à des plaignants de ne plus figurer dans les résultats du moteur recherche, et en 2019 à la suite de plaintes collectives déposées par les associations spécialisées dans la défense des droits et libertés sur internet (record pour la CNIL avec 50 millions d’euros). FACEBOOK a été condamné une fois en 2017 à la suite d’un contrôle des locaux par la CNIL.

1 amende
Entre 2013 et 2015

Moyenne : 150 000€

3 amendes
Entre 2016 et 2019

Moyenne : 12 600 000€
+ grande : 50 000 000€
- grande : 100 000€

Surveillance des salariés

 

Les données personnelles sont générées par l’ensemble des moyens utilisés par un employeur pour contrôler l’activité de ses salariés (enregistrement des appels, contrôle des horaires, géolocalisation des véhicules, analyse de la navigation web, enregistrement des frappes de clavier…). Ainsi que pour assurer la sécurité des biens et personnes (vidéosurveillance).

Dans les années qui ont précédé celle de l’adoption du RGPD, on constate que la CNIL a prononcé plusieurs amendes à l’encontre de dispositifs de surveillance des salariés. En effet, la non-conformité de ces dispositifs, notamment la vidéosurveillance utilisée pour contrôler l’activité des salariés alors qu’elle ne doit être réservée qu’à assurer la sécurité des biens et personnes, est une pratique courante.
La CNIL a effectué beaucoup de sensibilisation à ce sujet, car elle reçoit régulièrement des plaintes de salariés concernant une vidéosurveillance abusive (caméras en surnombre, salariés filmés constamment, lieux de repos/privés filmés…).

 

9 amendes
Entre 2013 et 2015

Moyenne : 8 111€
+ grande : 10 000€
- grande : 3 000€

3 amendes
Entre 2016 et 2019

Moyenne : 10 033€
+ grande : 20 000€
- grande : 1 000€

Autres traitements

 

Les données personnelles peuvent être collectées et traitées pour diverses finalités. Pour ces 3 sanctions ne rentrant dans aucune des catégories de traitements précédentes, les données étaient regroupées dans des bases de données utilisées à des fins de prospection et/ou de gestion clientèle.

2017

Un ancien patient souhaite consulter son dossier médical. Le cabinet médical qui le détient n’accède pas à sa demande.
Il est donc sanctionné à hauteur de 10000€.
Montant motivé par la non-coopération avec les services de la CNIL et par le fait d’avoir priver pendant plusieurs mois le plaignant du bénéfice de ses droits.

2018

Un locataire se plaint de recevoir un courrier de la Présidence d’un Office de gestion et location de logements sociaux dont le sujet est un message politique qui sort donc du cadre des finalités propres aux activités et missions d’un bailleur social. La société a été sanctionnée à hauteur de 30 000 €, notamment au regard du nombre important de personnes concernées (environ 16 000 logements sociaux).

2019

Une personne souhaite mettre fin, sans succès, à la prospection commerciale téléphonique intempestive qu’elle subit. La société avait été sanctionné à hauteur de 500 000€, notamment au regard du manque de coopération de l’organisme avec la CNIL, de la pluralité des manquements en cause ainsi que de leur persistance et de leur gravité.

Source : cnil.fr/opendata
Benjamin BARATTA - Consultant RGPD

RGPD : entreprises, qu’est-ce qui vous attend en 2020 ?

Cette nouvelle année signe pour les entreprises et les organisations la fin de la période transitoire accordée par la CNIL pour qu’elles se mettent en conformité. En 2020, l’autorité de régulation pourrait donc durcir le ton. Les montants des amendes de la CNIL sont, en effet, en forte augmentation depuis 2018, année de l’entrée en application du RGPD.

 

2020, sous le signe de la sécurité

Il est possible que la CNIL soit moins indulgente car, comme a prévenu l’autorité de régulation, 2020 signe la « fin de la période de transition accordée aux entreprises ». Et cette année, les organisations devront particulièrement être attentives à la sécurité des données car c’est la thématique la plus sanctionnée en 2019. Aussi bien organisationnelle que technique, la sécurité ne se limite pas à l’informatique.
Par exemple : protéger les fichiers et dossiers papiers contenant des données personnelles dans des tiroirs/placards verrouillés, installer un dispositif permettant d’être alerté en cas d’effraction, ou encore séparer physiquement du reste des locaux la salle de votre serveur informatique sont des actions aussi importantes que de mettre en place un système d’authentification sur les postes de travail, tenir à jour l’antivirus ou sécuriser son réseau informatique.

Le top 3 des manquements les plus sanctionnés par la CNIL en 2019

Pour rappel, en 2019, la moyenne des montants des sanctions financières avoisinait les 275000€, soit une augmentation de 107% par rapport à la moyenne de 2018 (sans tenir compte de la sanction de janvier 2019 à l’encontre de Google à hauteur de 50 millions d’euros).

 

Gestion des cookies : plus que 6 mois pour se mettre en conformité

Le RGPD impose aux acteurs du web de recueillir l’accord de l’internaute avant d’installer des cookies sur son terminal. Cette obligation, née au 25 mai 2018, change les règles en matière de cookies et de traceurs.
Cependant, le gendarme de la donnée a décidé d’accorder une période transitoire jusqu’à l’été 2020 afin que les acteurs concernés aient le temps de se mettre en conformité. Durant cette période de transition, la poursuite de la navigation (desktop ou mobile) comme expression du consentement sera donc considérée par la CNIL comme acceptable.
Une décision qui a poussé plusieurs associations à saisir le conseil d’Etat afin de dénoncer ce qu’elles considèrent comme une méconnaissance du droit à la protection des données personnelles des internautes, et une « autorisation à la CNIL à ignorer le RGPD ».
À l’automne 2019, le Conseil d’Etat a rejeté cette requête, estimant l’échéance raisonnable puisque, à terme, la CNIL imposera finalement une obligation de conformité sans appel à l’issue de ce délai. Et d’autant « qu’une application stricte et des sanctions n’aurait pas accéléré la mise en conformité des acteurs. » Jusqu’à l’été, la CNIL continuera d’accompagner les entreprises.

Municipales : attention au mélange des genres !

En prévision des municipales de 2020, la CNIL a présenté un plan d’actions afin de s’assurer du respect du RGPD lors de l’utilisation des données personnelles des concitoyens par les candidats dans le cadre de leur communication politique.
Ce plan d’actions passe notamment par la mise à jour de fiches, qui présentent très clairement le cadre et les limites à l’utilisation de données personnelles lors des campagnes pré-électorales.
La CNIL a ainsi formellement rappelé les règles aux différentes factions politiques. Elle a également mise à disposition une plateforme de signalement, sur son site, de toute pratique qui s’avèrerait non conforme à la réglementation sur la protection des données.
La surveillance de la prospection politique est d’ailleurs au programme de la politique de contrôle de la CNIL.

Réseaux sociaux : attention Bercy vous surveille !

L’administration fiscale et douanière entend renforcer la lutte contre la fraude fiscale par la surveillance et la collecte de données accessibles sur les réseaux sociaux et les sites de mise en relation de personnes (comme “leboncoin” par exemple).
Cette lutte 2.0, proposée à titre expérimental pour une durée de trois ans, permettra aux agents de l’administration fiscale de collecter automatiquement et massivement des données telles que la vente de produits de luxe sur Ebay ou des photos d’une piscine nouvellement construite postées sur Instagram.
Cette surveillance de masse soulève des questions en matière de protection des données personnelles. Si la CNIL ne s’oppose pas fondamentalement au procédé, elle émet des réserves quant à l’intrusion dans la vie privée que peut entrainer le dispositif.
De son côté, le Conseil constitutionnel approuve cette nouvelle forme de surveillance à condition que les données collectées soient librement accessibles sur un service de communication au public en ligne, et qu’elles aient été manifestement rendues publiques par les utilisateurs.

Vidéosurveillance : Pensez aux bonnes pratiques

Plusieurs établissements scolaires ont été épinglés par la CNIL au cours de l’année 2019 pour l’usage excessif de la vidéosurveillance. Pour que la vidéosurveillance soit respectueuse du cadre légal et des droits des personnes filmées, certaines règles sont à respecter.
Tout d’abord, l’installation d’un dispositif de vidéoprotection doit être justifié par un intérêt légitime. Il peut s’agir de la protection des biens et des personnes, de la lutte contre la dégradation d’un établissement ou contre les violences entre élèves pour les établissements scolaires.
Seules les personnes habilitées dans le cadre de leur fonction peuvent visionner les images enregistrées. Dans l’idéal, ces personnes doivent avoir été formées aux règles de protection des données et plus particulièrement aux problématiques de la vidéosurveillance.
La durée de conservation des images doit être en lien avec l’objectif poursuivi par la mise en place du dispositif. Le plus souvent, elle n’excède pas 1 mois.
Par ailleurs, les personnes susceptibles d’être filmées doivent être informées, par le biais d’un affichage lisible, que le lieu est placé sous vidéosurveillance.
Certaines formalités doivent être accomplies en fonction du lieu où se trouve le système de vidéoprotection. S’il est situé sur un lieu ouvert au public, il convient d’obtenir l’autorisation de la préfecture du département concerné. S’il est situé sur un lieu de travail, les représentants du personnel doivent être informés et consultés avant toute installation.

Marine Ravry, Benjamin Baratta, Alexis Cornilleau, consultants GDPR Rating

Vous vous demandez à quoi ressemble le registre de la CNIL ?

Miniature pour l'article "à quoi ressemble le registre de la CNIL ?"

Et bien ne vous posez plus la question ! Le gendarme de la donnée vient de publier un registre détaillé de ses activités de traitement. L’occasion de revenir sur qu’est-ce qu’un registre de traitement ? À quoi ça sert ? Que doit-il contenir ?
 
C’est par souci de transparence et de pédagogie que la CNIL vient de publier son registre de traitements. L’autorité de régulation souligne que ce document n’est pas prescriptif et qu’il va au-delà du minimum exigé par les textes. Ce qu’il contient est donné à titre indicatif et et selon votre propre activité, le registre ne présentera pas les mêmes éléments.

On peut ainsi retrouver au sein d’un document unique, l’ensemble des éléments utiles à l’information des personnes concernées par les traitements que l’autorité de contrôle met en œuvre. La CNIL précise que ces éléments sont repris pour les mentions RGPD portées au niveau des téléservices ou en interne (gestion des ressources humaines, gestion des fournitures, gestion du support informatique, etc.).

La CNIL dispose d’un outil de pilotage de ses activités de traitement.
Cette publication s’inscrit également dans une démarche pédagogique à l’attention des responsables de traitement pour faciliter l’interprétation de certaines notions du RGPD en donnant des exemples concrets (par exemple sur les bases légales).
 
Le registre de la CNIL
 

Un registre des activités de traitements ça sert à quoi ?

Prévu par l’article 30 du règlement européen, le registre de traitement constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de la conformité d’une organisation au RGPD. Le registre doit pouvoir être mis à la disposition de l’autorité de contrôle sur simple demande.
 

Que permet le registre au DPO, ou au référent de l’organisation ?

Il permet au DPO, le délégué à la protection des données, de :

Recenser les traitements de données personnelles mis en oeuvre sous la responsabilité de l’organisme public ou privé

Se poser les bonnes questions, avec les différents services de l’organisation, sur la finalité des fichiers mis en place, la minimisation des données recueillies, leur sensibilité, leurs conditions de conservation, leurs destinataires, et d’évaluer les risques

Rassembler les informations nécessaires à l’information des personnes identifiées dans les traitements de données de l’organisme

De définir un plan d’action « conformité RGPD »
 

Que contient un registre de traitement ?

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

Ce registre comporte toutes les informations suivantes :

Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
 

Les finalités du traitement

Une description des catégories de personnes concernées et des catégories de données à caractère personnel

Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées

Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
 

Le cas du sous-traitant

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

Ce registre comprenant :

Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données

Les catégories de traitements effectués pour le compte de chaque responsable du traitement

Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts, les documents attestant de l’existence de garanties appropriées

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles devra figurer dans le registre.

Ces obligations ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du règlement européen.
 
Vous avez besoin d’être accompagné pour définir vos chantiers prioritaires ? Les équipes de GPPR Rating sont là pour vous aider

Dominique Cozzi, Journaliste

Site internet et RGPD : les 4 points de vigilance

Visuel à l'affiche pour l'article "Site internet et RGPD : les points de vigilance"

Que vous possédiez un site e-commerce, un site institutionnel, ou encore simplement un site vitrine, vous devez protéger les données personnelles de vos utilisateurs ou visiteurs. Même si la CNIL a décidé de se montrer « souple » jusqu’à l’été 2020, il est nécessaire d’initier des démarches de mise en conformité afin d’éviter les sanctions financières et celles qui pourraient entacher votre réputation.

Depuis 2014, la CNIL est en mesure de contrôler votre site web, à distance, sans aucun avertissement préalable, de manière aléatoire ou suite à une plainte déposée par un internaute. Le gendarme de la donnée peut ainsi vérifier si les mentions d’information sont bien présentes, si les collectes de données personnelles se font dans les règles, si la sécurité du site est assez forte… en somme vérifier si vous appliquez à la lettre le RGPD.

En moins de 5 ans, près de 13 000 plaintes concernant des sites web ont été adressées à la CNIL, et plus de 400 contrôles ont été effectués. Depuis l’entrée en vigueur du RGPD en 2018, 7 sanctions à l’encontre de sites internet ont été prononcées. Le montant des sanctions varie de 30 000 à 400 000 euros € selon le ou les manquement(s) constaté(s).

Pourtant, la mise en conformité d’un site web n’est ni la démarche la plus difficile, ni la plus onéreuse. Dans la plupart des cas, il est facile de ramener son site sur le chemin de la conformité.

Voici quatre points essentiels sur lesquels il est nécessaire d’être très vigilant :

 

Point 1 : attention au profilage (in)volontaire

Le profilage est aujourd’hui très répandu dans le monde du e-commerce. Il désigne « toute forme de traitement automatisé de données personnelles afin d’évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le rendement au travail, la localisation ou les déplacements de cette personne. ».

Le profilage peut rapidement constituer un traitement de données à risques, en particulier si :

  • Il traite des données sensibles comme celles portant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé, les données génétiques, les données biométriques, les données concernant la vie sexuelle ou l’orientation sexuelle de la personne. Par exemple, vous effectuez un traitement à risque si vous récoltez ces données via les réseaux sociaux et que vous les intégrez dans votre profilage en ligne.
  • Il se base sur des données issues de traitements différents, et procède à un croisement ou une combinaison d’ensemble de données qui dépasse les finalités initiales. Par exemple, c’est le cas si vous envoyez à vos clients des offres commerciales personnalisées à partir de leur historique de navigation, les informations récoltées par les cookies, leurs historiques de commandes, leurs achats sur les sites partenaires, leurs programmes de fidélité, ou encore leurs données issues des réseaux sociaux.
  • Il traite les données de personnes considérées « vulnérables » au sens du RGPD : les enfants, les personnes sous tutelle ou sous curatelle, les personnes malades… Par exemple, c’est le cas si vous souhaitez cibler une partie de votre clientèle en fonction de ces critères.

Si un ou plusieurs de ces critères sont remplis, alors le profilage constitue un traitement à risque qui nécessite un encadrement particulier. Cette procédure particulière, c’est l’Analyse d’Impact sur la Protection des Données (AIPD), aussi appelé PIA, pour Privacy Impact Assessment. Il s’agit d’analyser les risques qui pèsent sur vos données : une attaque informatique, un accès non autorisé à vos serveurs, une disparition de vos données…

 

Point 2- Prospecter oui mais dans les règles !

Une grande partie de vos prospects se sont inscrits à vos lettres d’information et d’offres commerciales via votre site web. Mais certaines règles sont à respecter lorsque vous procéder à l’envoi de mails.

Par principe la prospection commerciale par mail est soumise au principe de l’opt-in, c’est-à-dire que la personne doit avoir donné son consentement à recevoir des mails.

Il existe cependant 3 exceptions à ce principe :

  • Dans le cadre d’une relation B2B (entre professionnels)
  • Dans le cadre d’une prospection non-commerciale (par exemple, une association à but non lucratif ou une fondation). A savoir : la promotion de votre société, même sans référence à la vente de produits ou services, constitue une prospection commerciale.
  • Dans la cadre d’une relation B2C (entre un professionnel et un particulier) seulement si cette personne a déjà acheté un produit ou service auprès de ce professionnel. La prospection ne peut concerner que des produits ou services analogues. Par exemple, des livres et des films sont des produits analogues, car ils appartiennent tous les deux à la catégorie des produits culturels.

 

Dans ces 3 hypothèses précises, sans aucune action de sa part, la personne est réputée avoir donné son consentement à recevoir de la prospection, mais elle doit toujours avoir le moyen de le retirer : c’est l’opt-out.

Pour récupérer valablement le consentement de la personne à recevoir de la prospection commerciale, une case à cocher doit être présentée sur votre site internet, avec l’intitulé « En cochant cette case, je consens à la réception des newsletters et offres commerciales de la part de la société X ». Si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Une seconde case à cocher doit être prévue si vous proposez à votre utilisateur de recevoir de la prospection commerciale de vos partenaires. Un exemple d’intitulé : « En cochant cette case, je consens à la réception de la prospection commerciale de la part des partenaires commerciales de « X ». Pour consulter la liste de ces partenaires, vous pouvez consulter la Politique de confidentialité ». Là encore, si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Qu’il s’agisse d’un opt-in ou d’un opt-out, la personne doit toujours avoir le moyen de retirer son consentement via, par exemple, un lien « se désabonner » en bas des mails, et/ou via son espace personnel dans les paramètres.

Dans une logique de documentation RGPD, une liste doit recenser la date d’opposition et l’adresse mail de la personne qui s’est opposée à recevoir de la prospection commerciale. Ces données doivent être conservées au minimum trois ans à compter de l’exercice du droit d’opposition, et ne peuvent en aucun cas être utilisées à d’autres fins.

 

Point 3 – Données des mineurs = vigilance rouge

Au sens du RGPD, les enfants appartiennent à la catégorie des personnes vulnérables, c’est-à-dire que le traitement de leurs données constitue un risque élevé. Il y a là une réelle volonté de protéger les enfants face à certaines techniques commerciales et marketing qui peuvent s’avérer agressives.

Quelques conseils lorsque vous traitez les données des enfants :

  • Lorsque votre site web s’adresse en particulier à des mineurs, les mentions d’informations doivent être rédigées dans des termes simples et clairs. L’exigence de transparence vis-à-vis des personnes n’est pas à prendre à la légère quand il s’agit d’enfants ;
  • Toute forme de profilage est à effectuer avec précautions : la publicité personnalisée ou comportementale ne doit pas être réalisée ni avec la même intensité, ni avec la même fréquence que celle des adultes (moins de données collectées, moins de mails envoyés…) ;
  • Le RGPD impose une obligation de célérité lorsque le droit à l’effacement est exercé par une personne mineure, ou une personne majeure dont les données étaient traitées pendant son enfance ;
  • En France, lorsqu’un mineur souhaite bénéficier d’un service en ligne, alors son consentement n’est valide que s’il est âgé de 15 ans ou plus. S’il est plus jeune, le traitement n’est licite que si le consentement est donné ou autorisé par le dépositaire de l’autorité parentale, via par exemple la récupération de l’adresse mail du responsable et de l’envoi d’un mail de validation.

 

Point 4 – La sécurité, votre nouveau reflexe

Une bonne sécurité passe avant tout par de bons réflexes. Par exemple :

  • Utiliser lorsque c’est possible des moyens de stockage chiffrés, c’est à dire rendre les données incompréhensibles à toute personne non autorisée à y avoir accès.
  • Signaler immédiatement tout incident de sécurité, comme la prolifération d’un code malveillant ou le dysfonctionnement d’un serveur informatique.
  • Cloisonner les données personnelles par rapport au reste du système d’information afin de réduire la possibilité de les corréler et de provoquer une violation de sécurité.

À l’inverse, de mauvais réflexes peuvent détériorer voire détruire votre sécurité. Il convient d’éviter de :

  • En interne, conserver les mots de passe par défaut. Et pour vos clients, imposer des mots de passe trop souples.
  • Sur un site web, ne pas mettre en place de règles d’authentification à destination de vos clients lorsqu’ils souhaitent accéder à leur espace personnel.
  • Stocker les données personnelles sur un fichier non protégé, comme par exemple un fichier Excel enregistré sur le bureau.

 

À ce sujet, la CNIL a mis en ligne un top 5 des problèmes de sécurité les plus récurrents des sites web.

 

Bien évidemment, les différentes thématiques que nous venons d’aborder ne suffisent pas à mettre en conformité votre site web. D’autres actions sont à effectuer.

Pour des conseils et des explications sur les cookies et technologies de traçage utilisées par votre site web, les mentions d’information, la gestion des comptes client ou encore la politique de confidentialité, GDPR Rating vous invite à consulter en replay son webinar sur la mise en conformité RGPD des sites web, disponible ici.

En effet, ce webinar vous permettra de dégager vos chantiers prioritaires pour remettre votre site web sur le chemin de la conformité, et ainsi éloigner les sanctions de la CNIL !

Benjamin Baratta, Consultant RGPD

Recueil du consentement : Pas de sanction jusqu’à l’été 2020

Visuel pour l'article "Recueil du consentement : Pas de sanction jusqu’à l’été 2020"

Le Conseil d’Etat vient de rejeter le recours, présenté par plusieurs associations, qui demandait de mettre fin au délai accordé par la CNIL aux sites web. Jusqu’à l’été 2020, il est donc toujours autorisé de recueillir le consentement des internautes de façon implicite, afin de suivre leur activité.

 

Depuis l’entrée en vigueur du RGPD, les sites web sont susceptibles d’être sanctionnés dans le cas où ils déposent un traceur sur la machine de l’utilisateur sans avoir, au préalable obtenu son consentement explicite.

Cependant, le gendarme de la donnée a décidé de prolonger la période transitoire jusqu’à l’été 2020 afin que les acteurs concernés aient le temps de se mettre en conformité. Durant cette période de transition, la poursuite de la navigation (desktop ou mobile) comme expression du consentement sera donc considérée par la CNIL comme acceptable.

Toutefois, le Conseil d’État dans sa décision précise que la CNIL conserve son pouvoir de sanctions en cas de manquements graves et rappelle qu’il existe d’autres autorités judiciaires compétentes pour punir les infractions comme le juge pénal ou civil.

En effet, le code pénal (article 226-16 à 226-64) sanctionne lourdement un grand nombre d’infractions, qui dépendent des compétences de la CNIL. De plus, au civil, le juge peut être reconnu compétent pour ordonner à une entreprise de cesser une atteint au RGPD.

 

À regarder, Webinar : comment mettre son site web en conformité ?

 

Pour les associations de défense des libertés individuelles, comme celle de la quadrature du net, le Conseil d’Etat « autorise la CNIL à ignorer le RGPD ».

L’association va plus loin puisqu’elle estime que la CNIL « démissionne » et se demande « à quoi sert encore l’autorité administrative puisqu’il faut se tourner directement vers la justice en cas d’atteinte à la vie privée ? »

La CNIL devrait mener une concertation avec les acteurs du numérique (annonceurs, éditeurs de contenus, prestataires mais aussi représentants de la société civile) afin d’élaborer d’ici début 2020 « une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement ».

 

Dominique Cozzi, Journaliste

RGPD : 5 bonnes pratiques quand on recrute

Visuel pour l'article sur les bonnes pratiques du recrutement vis à vis du RGPD

Droit à l’oubli, à la rectification, portabilité… Depuis l’entrée en vigueur du règlement européen, les candidats reprennent la main sur leurs données.

Désormais, les recruteurs ont l’obligation de les informer de ce qu’ils font avec leurs informations personnelles. Un casse-tête pour les entreprises qui ont pris la mauvaise habitude d’utiliser les données des candidats à leur insu.

Toutefois, il est possible d’ajuster sa politique de recrutement en mettant en place quelques bonnes pratiques. Suivez le guide, Flavie Badreau, consultante GDPR-Rating !

 

1-Vérifier ses relations contractuelles avec ses prestataires

De nombreuses sociétés font appels à des prestataires spécialisés pour leur process de recrutement tels que les cabinets de chasse ou des sociétés réalisant des tests techniques ou de personnalité.

Il est important de mettre à jour ses relations contractuelles avec ses prestataires afin de déterminer les responsabilités de chacun vis-à-vis des traitements de données personnelles réalisés.

La société se doit notamment de s’assurer que le cabinet de recrutement recueille les données de manière licite et que les personnes concernées sont bien informées.

Lorsqu’une société fait appel à un prestataire pour réaliser des tests auprès de ses candidats, elle doit préciser au sein du contrat quel sera le sort des résultats (interdiction de conservation pour le prestataire, autorisation sous une durée limitée…).

 

2 – Informer correctement ses candidats

L’article 13 du RGPD impose d’informer les personnes concernées par le traitement de données personnelles.

Ainsi, il est recommandé de délivrer en deux exemplaires une fiche récapitulative contenant l’ensemble des informations obligatoires telles que notamment l’identité du responsable de traitement, les coordonnées du DPO, les destinataires potentiels, les finalités poursuivies et les droits des personnes ainsi que leurs modalités d’exercice.

N’hésitez pas à fournir la lettre en deux exemplaires à faire signer afin de conserver une preuve de la fourniture des informations.

 

3- Pendant l’entretien, attention aux données sensibles

Si lors de la signature du contrat de travail, des données sensibles sont automatiquement collectées (numéro de sécurité sociale) au moment de l’entretien, leur collecte est prohibée. Aussi, on évite les questions portant sur l’appartenance syndicale ou la santé.

Pour les postes ouverts aux travailleurs en situation de handicap, le recruteur privilégiera les questions sur les besoins spécifiques d’aménagements du poste plutôt que des questions sur la nature du handicap bien évidemment défendues à ce stade.

Le recruteur doit toujours garder à l’esprit que le candidat peut exercer son droit d’accès et donc aura la possibilité de lire le compte-rendu de l’entretien. Attention à toujours être mesuré et factuel afin de ne noter que des éléments pertinents, adéquats et non excessifs.

De manière générale et afin de minimiser les données, le recruteur se contentera d’informations déclaratives (diplômes, certifications…) et demandera les preuves papiers au moment de la signature du contrat.

 

4- Limiter la durée de conservation

Avoir une CV thèque conforme au RGPD ne signifie pas de devoir supprimer l’ensemble de sa base de données. Par défaut, la CNIL indique que la conservation du dossier du candidat non retenu est de deux ans notamment pour permettre de recontacter le candidat en cas de futur poste à pourvoir correspondant à son profil.

En revanche, cette information doit impérativement être communiquée au candidat (via la fiche d’information par exemple) afin que celui-ci ait la possibilité de s’y opposer. En cas de refus de conservation, le recruteur doit supprimer toutes les données qu’il détient sur la personne.

Ainsi, si vous utilisez un outil, attention à bien intégrer par défaut des règles de suppression des données au bout de deux ans ainsi qu’à prévoir la possibilité de détruire les données à tout moment si nécessaire.

 

5- Déterminer les destinataires des données et sécuriser l’accès aux données

Peu importe la taille de la société, les données personnelles collectées dans le cadre du processus de recrutement ne doivent être à disposition que des personnes légitimes. Ainsi, s’il est compréhensible que l’ensemble de l’équipe recrutement ait accès à la base de données, cela se justifie bien moins pour l’équipe commerciale.

Une gestion des habilitations strictes doit être mise en place pour les outils utilisés avec des niveaux d’accès selon le poste du membre de l’équipe recrutement (stagiaire, responsable du service…).

Les managers métiers intervenant dans le processus pour les entretiens techniques auront bien sûr besoin de consulter le CV et le compte-rendu du premier entretien.

Il est alors conseillé de leur mettre à disposition pour une durée limitée les documents nécessaires afin de ne pas multiplier les lieux de stockage du document dans l’idée de respecter les durées de conservation prédéfinies.

 

Flavie Badreau, Consultante GDPR Rating

RGPD: un an après, seule une entreprise sur 3 est conforme

Visuel pour l'article "RGPD: un an après, seule une entreprise sur 3 est conforme"

Il semblerait que les entreprises ont surestimé leur capacités à répondre aux exigences du règlement européen sur la protection des données. Interrogées avant l’entrée en vigueur du RGPD en mai 2018, elles étaient 78% (source) à estimer qu’elles pouvaient atteindre la conformité à la date butoir. Un an et demi après, dans une étude menée par le même institut, le Capgemini Research Institute, elles ne sont que 28% à se déclarer conformes.

 

Les principaux enseignements de l’étude

  •  Les sociétés ont des difficultés à respecter leurs objectifs initiaux
  •  Près de 81% des entreprises se déclarant conformes constatent des répercussions positives sur leur réputation et leur image

 

L’étude « Championing Data Protection and Privacy – a Source of Competitive Advantage in the Digital Century » montre que les entreprises progressent plus lentement que prévu, freinées par différents obstacles comme la complexité des exigences réglementaires, les coûts de mise en application et le manque de flexibilité de leurs systèmes existants.

Afin d’atteindre l’objectif de conformité, les organisations tendent à investir dans la protection et la confidentialité des données, afin d’assurer leur conformité aux règlements d’aujourd’hui et de demain.

Cependant, il est intéressant de noter que 92% des entreprises conformes affirment avoir obtenu un avantage compétitif, alors qu’elles étaient 28% seulement à s’y attendre l’année dernière.

 

Les entreprises prennent du retard

Alors que le RGPD est en application depuis plus d’un an, un grand nombre d’entreprises sont encore dans le flou quant à leur niveau de conformité. 28% des entreprises interrogées affirment être conformes, et seul 30% des entreprises se déclarent être « presque conformes »*.

Sur la question de la conformité, les entreprises américaines sont en tête de file (35%), suivies de près par les entreprises britanniques et allemandes (33%) ; les entreprises espagnoles (21%), italiennes (21%) et suédoises (18%) ferment la marche.

 

 

 

* Dans cette étude, le terme « conforme » désigne l’évaluation de conformité telle que déclarée par les entreprises interrogées.

 

Quels sont les principaux freins rencontrés ?

Selon les dirigeants interrogés, les initiatives de conformité sont principalement freinées par leurs anciens systèmes IT (38%), la complexité des exigences à respecter (36%) et le coût prohibitif des projets de conformité (33%).

 

 

De plus, les entreprises ont déjà reçu un nombre considérable de demandes de la part des personnes concernées : 50% des entreprises américaines concernées par le RGPD indiquent avoir reçu plus de 1 000 demandes, une tendance que l’on retrouve en France (46%), aux Pays-Bas (45%) et en Italie (40%).

 

 

Même si les entreprises peinent à atteindre la conformité, elles réalisent des investissements significatifs pour pouvoir faire face aux coûts élevés qu’elle représente : d’ici 2020, 40% pensent dépenser plus d’un million de dollars en frais juridiques, et 44% dans la mise à niveau de leurs outils technologiques.

Par ailleurs, les organisations doivent faire face à un nouveau challenge – l’adoption de nouvelles législations dans différents pays hors de l’Union européenne.

 

Verbatim

Zhiwei Jiang, directeur général des activités Insights & Data de Capgemini :

« Cette enquête met en lumière les difficultés auxquelles les entreprises se heurtent sur le chemin de la conformité, mais aussi les avantages pour celles qui réussissent.

Un grand nombre de dirigeants s’est montré très optimiste l’année dernière. Ils prennent maintenant conscience de l’ampleur des investissements et des changements organisationnels requis pour atteindre la conformité, qu’il s’agisse de déployer des technologies avancées soutenant la protection des données ou de sensibiliser leurs salariés aux bonnes pratiques à adopter….

 …Mais ces efforts porteront leurs fruits : les chefs de file constatent des améliorations qui dépassent toutes leurs attentes dans le domaine de la satisfaction et de la confiance client, de la motivation de leurs équipes, de la réputation de leur entreprise et de leur chiffre d’affaires. Ces réussites représentent une source d’inspiration pour ceux qui ont pris du retard sur leur conformité. »

 

Les avantages d’être conformes

La plupart des dirigeants ayant atteint la conformité indiquent avoir constaté des améliorations en termes de :

  • confiance client (84%),
  • d’image de marque (81%)
  • et de motivation des employés (79%).

 

 

Ils ont également signalé des changements positifs secondaires :

  • dans le domaine des systèmes IT (87% contre 62% lors des prévisions de 2018),
  • de la cybersécurité (91% contre 57%),
  • ou encore du changement et de la transformation organisationnels (89% contre 56%).

 

La technologie joue un rôle clé chez les entreprises conformes

L’étude révèle un écart technologique significatif entre les organisations conformes et les retardataires dans la mise en œuvre de leur programme de conformité au RGPD. Les entreprises conformes au RGPD utilisent davantage les technologies telles que les plateformes Cloud (84% contre 73% pour les entreprises non conformes), le chiffrement des données (70% contre 55%), l’automatisation robotique des processus (35% contre 27%) et l’archivage des données industrialisé (20% contre 15%).

 

 

De plus, 82% des sociétés conformes affirment avoir fait les démarches nécessaires afin de s’assurer que leurs fournisseurs technologiques respectent bien la réglementation applicable en matière de protection des données, contre 63% seulement chez les entreprises non conformes.

La majorité (61%) des sociétés conformes auditent leurs sous-traitants pour vérifier leur conformité dans le domaine de la protection des données. Les sociétés non conformes ne sont que 48% à le faire.

 

Méthodologie

L’étude a été menée auprès de 1 100 cadres supérieurs, occupant un poste de directeur ou de niveau supérieur, dans huit secteurs : assurance, banque, biens de consommation, utilities, télécommunications, services publics, santé et distribution. Ils travaillaient pour des entreprises dont le siège se trouve en France, en Allemagne, en Italie, aux Pays-Bas, en Norvège, en Espagne, en Suède, au Royaume-Uni, aux Etats- Unis et en Inde. Capgemini a également réalisé des entretiens avec des leaders et experts du secteur, pour étudier l’état actuel et l’impact de la règlementation sur la confidentialité des données.

(1) Capgemini Research Institute, « Seizing the GDPR Advantage: From mandate to high-value opportunity » (« Tirer parti du RGPD : comment une obligation réglementaire peut devenir génératrice de plus-value »), mai 2018

 

Dominique COZZI – Journaliste

 

À lire également :

RGPD : la CNIL simplifie son modèle de registre de traitements pour les PME

La CNIL dresse le premier bilan

Les entreprises n’ont aucun intérêt à contourner le règlement !

Purge des données : le cauchemar des DSI

Marketing: le RGPD est-il une opportunité ou une contrainte?

Visuel pour l'article "GDPR : opportunité ou contrainte"

C’est la grande question que tout le monde se pose depuis l’arrivée du règlement européen. En générant de nouvelles pratiques, en demandant de consommer mieux les données des utilisateurs, le RGPD s’avère être un vecteur d’amélioration de l’expérience client. C’est l’enseignement que tire Marketo, éditeur de logiciels d’automatisation marketing.

 

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil : https://www.gdpr-rating.eu/fr/services/