Site internet et RGPD : les 4 points de vigilance

Visuel à l'affiche pour l'article "Site internet et RGPD : les points de vigilance"

Que vous possédiez un site e-commerce, un site institutionnel, ou encore simplement un site vitrine, vous devez protéger les données personnelles de vos utilisateurs ou visiteurs. Même si la CNIL a décidé de se montrer « souple » jusqu’à l’été 2020, il est nécessaire d’initier des démarches de mise en conformité afin d’éviter les sanctions financières et celles qui pourraient entacher votre réputation.

 

Depuis 2014, la CNIL est en mesure de contrôler votre site web, à distance, sans aucun avertissement préalable, de manière aléatoire ou suite à une plainte déposée par un internaute. Le gendarme de la donnée peut ainsi vérifier si les mentions d’information sont bien présentes, si les collectes de données personnelles se font dans les règles, si la sécurité du site est assez forte… en somme vérifier si vous appliquez à la lettre le RGPD.

En moins de 5 ans, près de 13 000 plaintes concernant des sites web ont été adressées à la CNIL, et plus de 400 contrôles ont été effectués. Depuis l’entrée en vigueur du RGPD en 2018, 7 sanctions à l’encontre de sites internet ont été prononcées. Le montant des sanctions varie de 30 000 à 400 000 euros € selon le ou les manquement(s) constaté(s).

Pourtant, la mise en conformité d’un site web n’est ni la démarche la plus difficile, ni la plus onéreuse. Dans la plupart des cas, il est facile de ramener son site sur le chemin de la conformité.

Voici quatre points essentiels sur lesquels il est nécessaire d’être très vigilant :

 

Point 1 : attention au profilage (in)volontaire

Le profilage est aujourd’hui très répandu dans le monde du e-commerce. Il désigne « toute forme de traitement automatisé de données personnelles afin d’évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le rendement au travail, la localisation ou les déplacements de cette personne. ».

Le profilage peut rapidement constituer un traitement de données à risques, en particulier si :

  • Il traite des données sensibles comme celles portant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé, les données génétiques, les données biométriques, les données concernant la vie sexuelle ou l’orientation sexuelle de la personne. Par exemple, vous effectuez un traitement à risque si vous récoltez ces données via les réseaux sociaux et que vous les intégrez dans votre profilage en ligne.
  • Il se base sur des données issues de traitements différents, et procède à un croisement ou une combinaison d’ensemble de données qui dépasse les finalités initiales. Par exemple, c’est le cas si vous envoyez à vos clients des offres commerciales personnalisées à partir de leur historique de navigation, les informations récoltées par les cookies, leurs historiques de commandes, leurs achats sur les sites partenaires, leurs programmes de fidélité, ou encore leurs données issues des réseaux sociaux.
  • Il traite les données de personnes considérées « vulnérables » au sens du RGPD : les enfants, les personnes sous tutelle ou sous curatelle, les personnes malades… Par exemple, c’est le cas si vous souhaitez cibler une partie de votre clientèle en fonction de ces critères.

Si un ou plusieurs de ces critères sont remplis, alors le profilage constitue un traitement à risque qui nécessite un encadrement particulier. Cette procédure particulière, c’est l’Analyse d’Impact sur la Protection des Données (AIPD), aussi appelé PIA, pour Privacy Impact Assessment. Il s’agit d’analyser les risques qui pèsent sur vos données : une attaque informatique, un accès non autorisé à vos serveurs, une disparition de vos données…

 

Point 2- Prospecter oui mais dans les règles !

Une grande partie de vos prospects se sont inscrits à vos lettres d’information et d’offres commerciales via votre site web. Mais certaines règles sont à respecter lorsque vous procéder à l’envoi de mails.

Par principe la prospection commerciale par mail est soumise au principe de l’opt-in, c’est-à-dire que la personne doit avoir donné son consentement à recevoir des mails.

Il existe cependant 3 exceptions à ce principe :

  • Dans le cadre d’une relation B2B (entre professionnels)
  • Dans le cadre d’une prospection non-commerciale (par exemple, une association à but non lucratif ou une fondation). A savoir : la promotion de votre société, même sans référence à la vente de produits ou services, constitue une prospection commerciale.
  • Dans la cadre d’une relation B2C (entre un professionnel et un particulier) seulement si cette personne a déjà acheté un produit ou service auprès de ce professionnel. La prospection ne peut concerner que des produits ou services analogues. Par exemple, des livres et des films sont des produits analogues, car ils appartiennent tous les deux à la catégorie des produits culturels.

 

Dans ces 3 hypothèses précises, sans aucune action de sa part, la personne est réputée avoir donné son consentement à recevoir de la prospection, mais elle doit toujours avoir le moyen de le retirer : c’est l’opt-out.

Pour récupérer valablement le consentement de la personne à recevoir de la prospection commerciale, une case à cocher doit être présentée sur votre site internet, avec l’intitulé « En cochant cette case, je consens à la réception des newsletters et offres commerciales de la part de la société X ». Si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Une seconde case à cocher doit être prévue si vous proposez à votre utilisateur de recevoir de la prospection commerciale de vos partenaires. Un exemple d’intitulé : « En cochant cette case, je consens à la réception de la prospection commerciale de la part des partenaires commerciales de « X ». Pour consulter la liste de ces partenaires, vous pouvez consulter la Politique de confidentialité ». Là encore, si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Qu’il s’agisse d’un opt-in ou d’un opt-out, la personne doit toujours avoir le moyen de retirer son consentement via, par exemple, un lien « se désabonner » en bas des mails, et/ou via son espace personnel dans les paramètres.

Dans une logique de documentation RGPD, une liste doit recenser la date d’opposition et l’adresse mail de la personne qui s’est opposée à recevoir de la prospection commerciale. Ces données doivent être conservées au minimum trois ans à compter de l’exercice du droit d’opposition, et ne peuvent en aucun cas être utilisées à d’autres fins.

 

Point 3 – Données des mineurs = vigilance rouge

Au sens du RGPD, les enfants appartiennent à la catégorie des personnes vulnérables, c’est-à-dire que le traitement de leurs données constitue un risque élevé. Il y a là une réelle volonté de protéger les enfants face à certaines techniques commerciales et marketing qui peuvent s’avérer agressives.

Quelques conseils lorsque vous traitez les données des enfants :

  • Lorsque votre site web s’adresse en particulier à des mineurs, les mentions d’informations doivent être rédigées dans des termes simples et clairs. L’exigence de transparence vis-à-vis des personnes n’est pas à prendre à la légère quand il s’agit d’enfants ;
  • Toute forme de profilage est à effectuer avec précautions : la publicité personnalisée ou comportementale ne doit pas être réalisée ni avec la même intensité, ni avec la même fréquence que celle des adultes (moins de données collectées, moins de mails envoyés…) ;
  • Le RGPD impose une obligation de célérité lorsque le droit à l’effacement est exercé par une personne mineure, ou une personne majeure dont les données étaient traitées pendant son enfance ;
  • En France, lorsqu’un mineur souhaite bénéficier d’un service en ligne, alors son consentement n’est valide que s’il est âgé de 15 ans ou plus. S’il est plus jeune, le traitement n’est licite que si le consentement est donné ou autorisé par le dépositaire de l’autorité parentale, via par exemple la récupération de l’adresse mail du responsable et de l’envoi d’un mail de validation.

 

Point 4 – La sécurité, votre nouveau reflexe

Une bonne sécurité passe avant tout par de bons réflexes. Par exemple :

  • Utiliser lorsque c’est possible des moyens de stockage chiffrés, c’est à dire rendre les données incompréhensibles à toute personne non autorisée à y avoir accès.
  • Signaler immédiatement tout incident de sécurité, comme la prolifération d’un code malveillant ou le dysfonctionnement d’un serveur informatique.
  • Cloisonner les données personnelles par rapport au reste du système d’information afin de réduire la possibilité de les corréler et de provoquer une violation de sécurité.

À l’inverse, de mauvais réflexes peuvent détériorer voire détruire votre sécurité. Il convient d’éviter de :

  • En interne, conserver les mots de passe par défaut. Et pour vos clients, imposer des mots de passe trop souples.
  • Sur un site web, ne pas mettre en place de règles d’authentification à destination de vos clients lorsqu’ils souhaitent accéder à leur espace personnel.
  • Stocker les données personnelles sur un fichier non protégé, comme par exemple un fichier Excel enregistré sur le bureau.

 

À ce sujet, la CNIL a mis en ligne un top 5 des problèmes de sécurité les plus récurrents des sites web.

 

Bien évidemment, les différentes thématiques que nous venons d’aborder ne suffisent pas à mettre en conformité votre site web. D’autres actions sont à effectuer.

Pour des conseils et des explications sur les cookies et technologies de traçage utilisées par votre site web, les mentions d’information, la gestion des comptes client ou encore la politique de confidentialité, GDPR Rating vous invite à consulter en replay son webinar sur la mise en conformité RGPD des sites web, disponible ici.

En effet, ce webinar vous permettra de dégager vos chantiers prioritaires pour remettre votre site web sur le chemin de la conformité, et ainsi éloigner les sanctions de la CNIL !

Benjamin Baratta, Consultant RGPD

Recueil du consentement : Pas de sanction jusqu’à l’été 2020

Visuel pour l'article "Recueil du consentement : Pas de sanction jusqu’à l’été 2020"

Le Conseil d’Etat vient de rejeter le recours, présenté par plusieurs associations, qui demandait de mettre fin au délai accordé par la CNIL aux sites web. Jusqu’à l’été 2020, il est donc toujours autorisé de recueillir le consentement des internautes de façon implicite, afin de suivre leur activité.

 

Depuis l’entrée en vigueur du RGPD, les sites web sont susceptibles d’être sanctionnés dans le cas où ils déposent un traceur sur la machine de l’utilisateur sans avoir, au préalable obtenu son consentement explicite.

Cependant, le gendarme de la donnée a décidé de prolonger la période transitoire jusqu’à l’été 2020 afin que les acteurs concernés aient le temps de se mettre en conformité. Durant cette période de transition, la poursuite de la navigation (desktop ou mobile) comme expression du consentement sera donc considérée par la CNIL comme acceptable.

Toutefois, le Conseil d’État dans sa décision précise que la CNIL conserve son pouvoir de sanctions en cas de manquements graves et rappelle qu’il existe d’autres autorités judiciaires compétentes pour punir les infractions comme le juge pénal ou civil.

En effet, le code pénal (article 226-16 à 226-64) sanctionne lourdement un grand nombre d’infractions, qui dépendent des compétences de la CNIL. De plus, au civil, le juge peut être reconnu compétent pour ordonner à une entreprise de cesser une atteint au RGPD.

 

À regarder, Webinar : comment mettre son site web en conformité ?

 

Pour les associations de défense des libertés individuelles, comme celle de la quadrature du net, le Conseil d’Etat « autorise la CNIL à ignorer le RGPD ».

L’association va plus loin puisqu’elle estime que la CNIL « démissionne » et se demande « à quoi sert encore l’autorité administrative puisqu’il faut se tourner directement vers la justice en cas d’atteinte à la vie privée ? »

La CNIL devrait mener une concertation avec les acteurs du numérique (annonceurs, éditeurs de contenus, prestataires mais aussi représentants de la société civile) afin d’élaborer d’ici début 2020 « une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement ».

 

Dominique Cozzi, Journaliste

RGPD : 5 bonnes pratiques quand on recrute

Visuel pour l'article sur les bonnes pratiques du recrutement vis à vis du RGPD

Droit à l’oubli, à la rectification, portabilité… Depuis l’entrée en vigueur du règlement européen, les candidats reprennent la main sur leurs données.

Désormais, les recruteurs ont l’obligation de les informer de ce qu’ils font avec leurs informations personnelles. Un casse-tête pour les entreprises qui ont pris la mauvaise habitude d’utiliser les données des candidats à leur insu.

Toutefois, il est possible d’ajuster sa politique de recrutement en mettant en place quelques bonnes pratiques. Suivez le guide, Flavie Badreau, consultante GDPR-Rating !

 

1-Vérifier ses relations contractuelles avec ses prestataires

De nombreuses sociétés font appels à des prestataires spécialisés pour leur process de recrutement tels que les cabinets de chasse ou des sociétés réalisant des tests techniques ou de personnalité.

Il est important de mettre à jour ses relations contractuelles avec ses prestataires afin de déterminer les responsabilités de chacun vis-à-vis des traitements de données personnelles réalisés.

La société se doit notamment de s’assurer que le cabinet de recrutement recueille les données de manière licite et que les personnes concernées sont bien informées.

Lorsqu’une société fait appel à un prestataire pour réaliser des tests auprès de ses candidats, elle doit préciser au sein du contrat quel sera le sort des résultats (interdiction de conservation pour le prestataire, autorisation sous une durée limitée…).

 

2 – Informer correctement ses candidats

L’article 13 du RGPD impose d’informer les personnes concernées par le traitement de données personnelles.

Ainsi, il est recommandé de délivrer en deux exemplaires une fiche récapitulative contenant l’ensemble des informations obligatoires telles que notamment l’identité du responsable de traitement, les coordonnées du DPO, les destinataires potentiels, les finalités poursuivies et les droits des personnes ainsi que leurs modalités d’exercice.

N’hésitez pas à fournir la lettre en deux exemplaires à faire signer afin de conserver une preuve de la fourniture des informations.

 

3- Pendant l’entretien, attention aux données sensibles

Si lors de la signature du contrat de travail, des données sensibles sont automatiquement collectées (numéro de sécurité sociale) au moment de l’entretien, leur collecte est prohibée. Aussi, on évite les questions portant sur l’appartenance syndicale ou la santé.

Pour les postes ouverts aux travailleurs en situation de handicap, le recruteur privilégiera les questions sur les besoins spécifiques d’aménagements du poste plutôt que des questions sur la nature du handicap bien évidemment défendues à ce stade.

Le recruteur doit toujours garder à l’esprit que le candidat peut exercer son droit d’accès et donc aura la possibilité de lire le compte-rendu de l’entretien. Attention à toujours être mesuré et factuel afin de ne noter que des éléments pertinents, adéquats et non excessifs.

De manière générale et afin de minimiser les données, le recruteur se contentera d’informations déclaratives (diplômes, certifications…) et demandera les preuves papiers au moment de la signature du contrat.

 

4- Limiter la durée de conservation

Avoir une CV thèque conforme au RGPD ne signifie pas de devoir supprimer l’ensemble de sa base de données. Par défaut, la CNIL indique que la conservation du dossier du candidat non retenu est de deux ans notamment pour permettre de recontacter le candidat en cas de futur poste à pourvoir correspondant à son profil.

En revanche, cette information doit impérativement être communiquée au candidat (via la fiche d’information par exemple) afin que celui-ci ait la possibilité de s’y opposer. En cas de refus de conservation, le recruteur doit supprimer toutes les données qu’il détient sur la personne.

Ainsi, si vous utilisez un outil, attention à bien intégrer par défaut des règles de suppression des données au bout de deux ans ainsi qu’à prévoir la possibilité de détruire les données à tout moment si nécessaire.

 

5- Déterminer les destinataires des données et sécuriser l’accès aux données

Peu importe la taille de la société, les données personnelles collectées dans le cadre du processus de recrutement ne doivent être à disposition que des personnes légitimes. Ainsi, s’il est compréhensible que l’ensemble de l’équipe recrutement ait accès à la base de données, cela se justifie bien moins pour l’équipe commerciale.

Une gestion des habilitations strictes doit être mise en place pour les outils utilisés avec des niveaux d’accès selon le poste du membre de l’équipe recrutement (stagiaire, responsable du service…).

Les managers métiers intervenant dans le processus pour les entretiens techniques auront bien sûr besoin de consulter le CV et le compte-rendu du premier entretien.

Il est alors conseillé de leur mettre à disposition pour une durée limitée les documents nécessaires afin de ne pas multiplier les lieux de stockage du document dans l’idée de respecter les durées de conservation prédéfinies.

 

Flavie Badreau, Consultante GDPR Rating

RGPD: un an après, seule une entreprise sur 3 est conforme

Visuel pour l'article "RGPD: un an après, seule une entreprise sur 3 est conforme"

Il semblerait que les entreprises ont surestimé leur capacités à répondre aux exigences du règlement européen sur la protection des données. Interrogées avant l’entrée en vigueur du RGPD en mai 2018, elles étaient 78% (source) à estimer qu’elles pouvaient atteindre la conformité à la date butoir. Un an et demi après, dans une étude menée par le même institut, le Capgemini Research Institute, elles ne sont que 28% à se déclarer conformes.

 

Les principaux enseignements de l’étude

  •  Les sociétés ont des difficultés à respecter leurs objectifs initiaux
  •  Près de 81% des entreprises se déclarant conformes constatent des répercussions positives sur leur réputation et leur image

 

L’étude « Championing Data Protection and Privacy – a Source of Competitive Advantage in the Digital Century » montre que les entreprises progressent plus lentement que prévu, freinées par différents obstacles comme la complexité des exigences réglementaires, les coûts de mise en application et le manque de flexibilité de leurs systèmes existants.

Afin d’atteindre l’objectif de conformité, les organisations tendent à investir dans la protection et la confidentialité des données, afin d’assurer leur conformité aux règlements d’aujourd’hui et de demain.

Cependant, il est intéressant de noter que 92% des entreprises conformes affirment avoir obtenu un avantage compétitif, alors qu’elles étaient 28% seulement à s’y attendre l’année dernière.

 

Les entreprises prennent du retard

Alors que le RGPD est en application depuis plus d’un an, un grand nombre d’entreprises sont encore dans le flou quant à leur niveau de conformité. 28% des entreprises interrogées affirment être conformes, et seul 30% des entreprises se déclarent être « presque conformes »*.

Sur la question de la conformité, les entreprises américaines sont en tête de file (35%), suivies de près par les entreprises britanniques et allemandes (33%) ; les entreprises espagnoles (21%), italiennes (21%) et suédoises (18%) ferment la marche.

 

 

 

* Dans cette étude, le terme « conforme » désigne l’évaluation de conformité telle que déclarée par les entreprises interrogées.

 

Quels sont les principaux freins rencontrés ?

Selon les dirigeants interrogés, les initiatives de conformité sont principalement freinées par leurs anciens systèmes IT (38%), la complexité des exigences à respecter (36%) et le coût prohibitif des projets de conformité (33%).

 

 

De plus, les entreprises ont déjà reçu un nombre considérable de demandes de la part des personnes concernées : 50% des entreprises américaines concernées par le RGPD indiquent avoir reçu plus de 1 000 demandes, une tendance que l’on retrouve en France (46%), aux Pays-Bas (45%) et en Italie (40%).

 

 

Même si les entreprises peinent à atteindre la conformité, elles réalisent des investissements significatifs pour pouvoir faire face aux coûts élevés qu’elle représente : d’ici 2020, 40% pensent dépenser plus d’un million de dollars en frais juridiques, et 44% dans la mise à niveau de leurs outils technologiques.

Par ailleurs, les organisations doivent faire face à un nouveau challenge – l’adoption de nouvelles législations dans différents pays hors de l’Union européenne.

 

Verbatim

Zhiwei Jiang, directeur général des activités Insights & Data de Capgemini :

« Cette enquête met en lumière les difficultés auxquelles les entreprises se heurtent sur le chemin de la conformité, mais aussi les avantages pour celles qui réussissent.

Un grand nombre de dirigeants s’est montré très optimiste l’année dernière. Ils prennent maintenant conscience de l’ampleur des investissements et des changements organisationnels requis pour atteindre la conformité, qu’il s’agisse de déployer des technologies avancées soutenant la protection des données ou de sensibiliser leurs salariés aux bonnes pratiques à adopter….

 …Mais ces efforts porteront leurs fruits : les chefs de file constatent des améliorations qui dépassent toutes leurs attentes dans le domaine de la satisfaction et de la confiance client, de la motivation de leurs équipes, de la réputation de leur entreprise et de leur chiffre d’affaires. Ces réussites représentent une source d’inspiration pour ceux qui ont pris du retard sur leur conformité. »

 

Les avantages d’être conformes

La plupart des dirigeants ayant atteint la conformité indiquent avoir constaté des améliorations en termes de :

  • confiance client (84%),
  • d’image de marque (81%)
  • et de motivation des employés (79%).

 

 

Ils ont également signalé des changements positifs secondaires :

  • dans le domaine des systèmes IT (87% contre 62% lors des prévisions de 2018),
  • de la cybersécurité (91% contre 57%),
  • ou encore du changement et de la transformation organisationnels (89% contre 56%).

 

La technologie joue un rôle clé chez les entreprises conformes

L’étude révèle un écart technologique significatif entre les organisations conformes et les retardataires dans la mise en œuvre de leur programme de conformité au RGPD. Les entreprises conformes au RGPD utilisent davantage les technologies telles que les plateformes Cloud (84% contre 73% pour les entreprises non conformes), le chiffrement des données (70% contre 55%), l’automatisation robotique des processus (35% contre 27%) et l’archivage des données industrialisé (20% contre 15%).

 

 

De plus, 82% des sociétés conformes affirment avoir fait les démarches nécessaires afin de s’assurer que leurs fournisseurs technologiques respectent bien la réglementation applicable en matière de protection des données, contre 63% seulement chez les entreprises non conformes.

La majorité (61%) des sociétés conformes auditent leurs sous-traitants pour vérifier leur conformité dans le domaine de la protection des données. Les sociétés non conformes ne sont que 48% à le faire.

 

Méthodologie

L’étude a été menée auprès de 1 100 cadres supérieurs, occupant un poste de directeur ou de niveau supérieur, dans huit secteurs : assurance, banque, biens de consommation, utilities, télécommunications, services publics, santé et distribution. Ils travaillaient pour des entreprises dont le siège se trouve en France, en Allemagne, en Italie, aux Pays-Bas, en Norvège, en Espagne, en Suède, au Royaume-Uni, aux Etats- Unis et en Inde. Capgemini a également réalisé des entretiens avec des leaders et experts du secteur, pour étudier l’état actuel et l’impact de la règlementation sur la confidentialité des données.

(1) Capgemini Research Institute, « Seizing the GDPR Advantage: From mandate to high-value opportunity » (« Tirer parti du RGPD : comment une obligation réglementaire peut devenir génératrice de plus-value »), mai 2018

 

Dominique COZZI – Journaliste

 

À lire également :

RGPD : la CNIL simplifie son modèle de registre de traitements pour les PME

La CNIL dresse le premier bilan

Les entreprises n’ont aucun intérêt à contourner le règlement !

Purge des données : le cauchemar des DSI

Marketing: le RGPD est-il une opportunité ou une contrainte?

Visuel pour l'article "GDPR : opportunité ou contrainte"

C’est la grande question que tout le monde se pose depuis l’arrivée du règlement européen. En générant de nouvelles pratiques, en demandant de consommer mieux les données des utilisateurs, le RGPD s’avère être un vecteur d’amélioration de l’expérience client. C’est l’enseignement que tire Marketo, éditeur de logiciels d’automatisation marketing.

 

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil : https://www.gdpr-rating.eu/fr/services/

 

 

RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME

Visuel pour l'article "RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME"

L’article 30 du règlement européen impose aux organismes qui traitent régulièrement des données personnelles, la constitution, la tenue et le maintien dans le temps d’un registre des traitements. Outil de pilotage et de démonstration de votre conformité, il doit être perçue avant tout comme un outil de gouvernance. Pour simplifier la tâche aux petites structures, l’autorité de régulation a publié, au format tableur, un modèle simplifié de registre.

Finis les PDF et les fichiers texte, place au tableur ! C’est sous un format ouvert et compatible (.ods pour Open Document Spreadsheet) avec la plupart des tableurs (Microsoft Excel, OpenOffice Calc, LibreOffice Calc) que la CNIL actualise son modèle de registre des traitements. Un changement de format qui illustre la volonté de l’autorité de régulation de simplifier la documentation de la conformité mais également la difficulté qu’ont les petites structures à répondre aux exigences du RGPD. En effet, piloter la conformité n’est pas une mince affaire et il est parfois nécessaire d’être accompagné pour éviter les risques et gagner la confiance de ses utilisateurs ou clients.

Prévue par l’article 30 du règlement, la tenue d’un registre des traitements est obligatoire pour tous les organismes, publics ou privés, quelle que soit leur taille, qui traitent, dans le cadre de leurs activités, des données personnelles. Sa constitution est souvent pour les organismes l’occasion de construire un plan solide d’actions de mise en conformité puisqu’en recensant l’ensemble des traitements, on obtient de facto, une vue d’ensemble sur ce qu’on fait au quotidien avec les données personnelles (clients, salariés, fournisseurs…)

Car documenter les traitements des données, c’est se poser les bonnes questions : mes données sont-elles suffisamment sécurisées ? Dois-je toutes les garder ? Ces données sont-elles nécessaires à la finalité de mon traitement ? Etc…

Mis à jour régulièrement ce registre permet de limiter les risques au regard du RGPD. En effet, il doit pouvoir être mis à disposition de la CNIL sur demande.

Que doit contenir le registre ?

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
  • combien de temps vous les conservez,
  • comment elles sont sécurisées

Exemple de fiche de traitements fictifs. (Source CNIL)

Exemple de fiche de traitements fictifs. (Source CNIL)

Dans le cas où votre organisme agit à la fois en tant que sous-traitant et responsable du traitement, on doit pouvoir dans votre registre identifier les deux catégories d’activités.

    • un pour les données personnelles dont vous êtes vous-même responsable
    • Un autre pour les traitements que vous opérez pour le compte de vos clients.

Une dérogation pour les PME de moins de 250 salariés

 Les entreprises de moins de 250 salariés bénéficient d’une dérogation. Elles ne sont pas soumises à l’obligation de lister les traitements mis en oeuvre de façon « occasionnelle et non routinière ».

Par exemple, une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées.

En cas de doute sur l’application d’un traitement, la CNIL préconise de l’intégrer dans votre registre.

Le registre pour les entreprises de moins de 250 salariés doit comporter :

 – les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;

– les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)

– les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

La dérogation est donc limitée à des cas très particuliers de traitements.

Que comporte cette version actualisée ?

Le tableur contient une fiche tutorielle, une fiche de liste de traitements, un modèle de fiche à remplir et une fiche d’exemple.

À lire sur la CNIL : La CNIL publie un nouveau modèle de registre simplifié

Besoin d’être accompagné dans vos démarches de mise en conformité ?

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises. De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées. À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

Dominique COZZI – Journaliste

À lire sur le même sujet :

RGPD : la CNIL dresse le premier bilan

https://www.gdpr-rating.eu/fr/gdpr-la-cnil-dresse-le-premier-bilan/

Les entreprises n’ont aucun intérêt à contourner le règlement

https://www.gdpr-rating.eu/fr/gdpr-les-entreprises-nont-aucun-interet-a-contourner-le-reglement/

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Purge des données: le nouveau cauchemar des DSI

Visuel pour l'article "Purge des données, nouveau cauchemar des DSI"

Le RGPD, entré en vigueur en mai 2018, modifie en profondeur les exigences liées à la collecte, l’exploitation et le stockage des données personnelles. En effet, L’article 6.5 du règlement dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

 

En d’autres termes, la durée de conservation des données à caractère personnel ne saurait être illimitée. Les entreprises se retrouvent ainsi confrontées à une problématique qu’elles ont occultée depuis de nombreuses années : La suppression des données de leur système d’information (SI).

 

Quelles sont les difficultés majeures de mise en œuvre pour les grands groupes ?

 Aujourd’hui, un bon nombre de grandes entreprises après une ou deux années de travail se retrouvent dans l’impasse. En effet, les entreprises ne savent pas par quel angle aborder le sujet et les premiers essais ne permettent souvent pas d’aboutir à une mise en œuvre opérationnelle. En cause :

  1. Une sous-estimation de l’aspect transverse du projet et des moyens nécessaires pour mettre en œuvre une phase de cadrage et d’analyse d’impacts pertinents.
  2. Une méthodologie d’approche pas suffisamment aboutie, souvent en cours de maturation. Les équipes sollicitées s’épuisent d’une collecte d’information désorganisée, redondante, et inefficace.
  3. Une priorité haute, celle de sécuriser les données. Les efforts budgétaires consacrés aux opérations de purge se retrouvent sans cesse en bout de chaine, repoussés.
  4. Une politique liée à la gouvernance des données en cours de transformation. C’est aussi un élément clé de réussite. Mais, sur le terrain, de nombreuses entreprises n’ont pas encore fini de mettre en place les bonnes pratiques et les bons mécanismes de gestion autour de de la donnée.
  5. Une définition des durées de conservation qui se révèle être un travail de longue haleine. Elle implique un nombre conséquent de parties prenantes et requiert des compétences pluridisciplinaires, au carrefour du juridique, de la gestion de projet et de la compréhension des systèmes d’information.
  6. Une panoplie d’outils dotés de fonctionnalités de purge non suffisante pour répondre au devoir de suppression des données. Assurément, la problématique de purge est confrontée à l’accumulation de données non purgées, l’interconnexion des systèmes existants, et à l’inexistence des modes opératoires opérationnels.

On peut donc légitimement se demander comment aujourd’hui, un citoyen peut disparaitre totalement d’un système d’information s’il en exprime le désir ? Tout comme on peut se poser la question sur la mise en application réelle des exigences de la directive européenne, de limiter la conservation des données personnelles proportionnellement aux usages qu’ils en sont fait.

 

Notre expérience de terrain démontre que les processus d’exécution ne sont pas toujours au rendez-vous.

 

Comment opérer la purge des données ?

Pour cadrer le sujet, il faut adopter une démarche structurée qui permet d’aboutir à des résultats et des actions concrètes :

  • Identifier, documenter, cartographier les données personnelles et leur sensibilité
  • Définir et lotir les périmètres d’analyse au regard des zones de risque et de la mécanique de circulation de la donnée.
  • Corréler la roadmap liée à la définition des durées de conservation à la roadmap d’analyse des solutions
  • Mener l’analyse d’impact méthodiquement.
  • Proposer des solutions prenant en considération le traitement des impacts liés aux applications en amont et en aval.
  • Veiller à traiter les systèmes de sauvegardes.
  • Diminuer le risque par étape, en étant pragmatique, en privilégiant les possibilités existantes des outils et au travers de successions d’actions concrètes réalisables le plus tôt possible.
  • Veiller à traiter la modification des processus métiers, sans oublier de tracer la réalisation des opérations de purge.
  • Veiller à ne pas dégrader la qualité du service pour les personnes.

 

Au sein des entreprises, la prise de conscience est en bonne voie, la sensibilisation infuse toutes les strates de l’entreprise, jusqu’au SI. La route vers la mise en conformité est longue, mais les organisations doivent soutenir les efforts pour que les exigences en matière de conformité ne restent pas lettre morte.

Salima YAHIAOUI – Consultante Senior Manager

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

 

Grands ou petits, personne n’est à l’abri

Visuel pour l'article " Grands ou petits, personne n’est à l’abri"

Le RGPD c’est avant tout le respect notre vie privée. Depuis 2018 et l’entrée en vigueur du règlement européen, c’est désormais aux entreprises de prouver que nos données personnelles sont bien protégées. Les organismes sont donc invités à plus de transparence mais également plus de responsabilité dans la manipulation de nos informations. La CNIL, notre gendarme national de la donnée peut à tout moment venir contrôler la façon dont vous traitez les données. Mais, il ne faut pas non plus écarter le risque que le contrôle soit effectué après un dépôt de plainte. En 2018, selon le bilan de l’autorité, ce sont près de 11 077 plaintes qui ont été déposées auprès du régulateur. Il est donc nécessaire de prendre les mesures appropriées pour être prêt le jour J.

 

Nous avons tous entendu parler de l’amende de 50 millions d’Euros infligée à Google en début d’année par la CNIL. Début juillet, British Airways et le groupe Mariot ont été respectivement condamnées à 200 et 111 millions d’Euros par l’ICO, l’équivalent britannique de la CNIL, pour ne pour ne pas avoir su protéger efficacement les données bancaires de leurs clients.

 

Les PME ne sont pas non plus épargnées par ce mouvement. Marie-Laure Denis, la présidente de la CNIL a même prévenu dans les colonnes de La Tribune, il y a trois mois, que les contrôles ne seront pas exclusivement dirigés à l’encontre des grandes entreprises et entend bien également contrôler les TPE ou PME qui « traitent de grands volumes de données » même si elle « ne sous-estime pas la complexité – financière et technique – de leur mise en conformité. ». Action, réaction, en juin 2017, un cabinet dentaire a été condamné à 10 000 euros d’amende pour « manquement à l’exercice de droits ».

 

Mais comment la CNIL décide de contrôler telle ou telle société ?

Il existe principalement 3 cas :

  • Les réclamations et signalements : non-respect d’un droit (accès, opposition, suppression), collecte de données excessives (vidéosurveillance, données bancaires, appels téléphoniques), atteinte à la sécurité et à la confidentialité des données (violation de données, accès par des personnes non autorisées).
  • Les initiatives de chaque contrôleur : identifiées au regard de l’actualité (émergence de nouveaux services et de produits, risques pour la vie privée des personnes).
  • Le programme annuel de contrôle : cette année sont concernés par le programme, le respect de l’exercice des droits (accès, modification, suppression, portabilité), la question sensible des mineurs où il est notamment nécessaire d’obtenir l’accord parental pour en enfant de moins de 15 ans et le sujet épineux de la répartition des responsabilités entre le responsable de traitement et son sous-traitant (objet de notre précédent article…).

 

Il est donc important que chaque entreprise, quelle que soit sa taille, prenne en main le sujet car le signal envoyé par la présidente de la CNIL ne laisse place à aucune ambiguïté : après le « temps de la patience et de la tolérance », l’autorité de contrôle « sera plus ferme envers les entreprises ».

 

Par où commencer ?

La première étape consiste d’abord à évaluer son niveau de conformité afin de connaître son plan de route pour devenir conforme. Pour réaliser cette évaluation vous pouvez, soit vous faire aider par un consultant spécialisé, soit utiliser une plateforme comme www.gdpr-rating.eu afin de vous auto-évaluer et générer un plan d’action de mise en conformité.

Autre étape importante, la sensibilisation de votre personnel, élément clé et indispensable pour une mise en conformité responsable.

Un fois la route tracée, il suffit de réaliser les actions qui sont proposées. Dans certains cas, une aide juridique ou informatique pourra être nécessaire afin de garantir la robustesse des actions entreprises.

L’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation « libertés et informatique » et le RGPD. La CNIL vérifiera ainsi pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations).

 

Lorsqu’elle constatera des manquements, elle en tira les conséquences qui s’imposent, jusqu’à la sanction si nécessaire. Et même si, comme par le passé, la CNIL fera preuve de discernement dans le choix des mesures correctrices, il est nécessaire voire vital pour les organisations de se mettre en conformité. Car si ce n’est pas la CNIL qui vous sanctionne, ce sera peut-être un utilisateur ou un client…

Laurent Zeitoun

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

 

Le RGPD va-t-il nous laisser sans voix?

Visuel pour l'article "Le RGPD va-t-il nous laisser sans voix ?"

Quand on en parle, ça tombe sous le sens ! Non, la voix n’est pas une donnée libre de droits. Ce serait même l’une des données les plus sensibles au regard du règlement sur la protection des données personnelles, entré en vigueur il y a déjà un an. La voix serait donc une donnée qui s’ignore ? Décidément oui puisque, selon un sondage Mediartis, près de 82% de Français ne savent pas que leur voix est protégée par le RGPD.

Que faisons-nous de notre voix au quotidien ?

C’est la question que pose en substance Mediartis, la première plateforme conforme au RGPD pour la gestion des « data-voix » des comédiens. Avec la multiplication des usages vocaux digitaux la question prend tout son sens. Et le RGPD y répond en estimant qu’au même titre que le nom, l’adresse, le numéro de sécurité sociale, la voix est une donnée à caractère personnel au sens du règlement et qu’elle doit être protégée car susceptible d’identifier « directement ou indirectement » une personne physique.

L’article 4.1 du RGPD définit une « donnée personnelle» comme étant toute information relative à une personne permettant de l’identifier directement ou indirectement (…) notamment par référence à une ou plusieurs propriétés spécifiques uniques qu’elle soit physique, physiologique, génétique, économique, sociale, culturelle, psychique. La voix est donc protégée par cet article car elle correspond à l’identité physiologique d’une personne.

Bien que les nouvelles technologies ont fortement impacté nos habitudes, les Français ont gardé, pour une large majorité d’entre eux, un usage traditionnel de leur voix. Ainsi 86% « passent des appels téléphoniques à leur entourage » et 41% « ont déjà échangé avec des centres d’appels ». Cependant, avec l’arrivée de technologie comme la reconnaissance vocale ou encore l’intelligence artificielle, de nouveaux usages s’invitent dans le quotidien des Français. Près de 30% saisissent vocalement leur texte (sms, mail…). 24% n’écrivent plus mais enregistrent des messages vocaux sur les réseaux sociaux (whatApp, Messenger…). Et 17% échangent avec des assistants comme Siri de Apple, Alexa de Amazon ou encore Cortona de Microsoft et Google home.

 

 

Selon les exigences du RGPD, le traitement de la voix, comme toute donnée personnelle, doit être fondé sur une base juridique. A savoir, le consentement, l’exécution d’un contrat, le respect d’une obligation légale, la protections des intérêts vitaux, l’intérêt public et l’intérêt légitime.

Juridiquement, les personnes possèdent depuis le 25 mai 2018, de nouveaux droits : d’accès, d’opposition, de rectification, à l’oubli, à la limitation du traitement, à la portabilité. Or, selon le sondage de Mediartis, 28% des personnes interrogées n’ont pas conscience du niveau de protection dont ils bénéficient avec le RGPD.

⭐️ 54% estiment que c’est uniquement ce qu’ils disent qui est protégé.
⭐️ Seuls 17% estiment que leur voix pourrait être protégée.

 

 

La voix tombe donc sur le coup du règlement puisqu’elle permet, à elle-seule, d’identifier une personne. Mais au-delà de l’identification, avoir accès à l’enregistrement d’une voix expose les individus à un plus grand risque : celui de l’usurpation d’identité.

Interrogés sur les risques que peut entraîner leurs usages « vocaux », ils sont seulement 39% à avoir conscience que leur voix peut être reproduite, et donc soumise par exemple à un risque d’usurpation d’identité. Par contre, ils sont plutôt conscients des risques encourus par les informations transmises. Près de 62% pensent que ces informations peuvent être stockées et 53% estiment qu’elles peuvent être utilisées à des fins commerciales.

 

Méthodologie

Sondage réalisé sur un échantillon Toluna de 1114 personnes, représentatives de la population française âgée de 18 ans et plus. Les interviews ont eu lieu par questionnaire auto-administré en ligne du 14 au 23 mai 2019.

Dominique COZZI – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

RGPD: la coresponsabilité, ça vous parle?

Visuel pour l'article : "RGPD: la coresponsabilité, ça vous parle ?"

Le règlement européen a eu une influence directe sur les contrats conclus entre les responsables de traitement et les prestataires. Désormais, lorsqu’on échange de la donnée personnelle, il est nécessaire, voire essentiel de qualifier le rôle de chacune des parties prenantes. Objectif : éviter le flou juridique qui pourrait vous coûter cher.

 

La Cour de Justice de l’Union européenne (CJUE) a donné le « La » ! En se prononçant sur la question : « un administrateur d’une Fanpage hébergée sur Facebook peut-il être considéré comme responsable du traitement ? » la Cour a adopté une interprétation extensive de la notion de responsable de traitement. En effet, la Cour a considéré que l’administrateur d’une « Fanpage » hébergée sur Facebook, est, avec Facebook, conjointement responsable du traitement des données des visiteurs de sa page. Une première.

 

Une décision sévère mais justifiée

La CJUE fait donc jurisprudence en demandant aux coresponsables de traitement de prévoir la répartition de leurs obligations. Dans le cas évoqué, il devra ainsi être notamment défini, qui de Facebook ou de l’administrateur de la « Fanpage » doit recueillir le consentement des visiteurs de la « Fanpage » pour le dépôt de cookies sur leur ordinateur et les informer des finalités de ce traitement.

En clair, être « fan » ou « liker » une page n’est pas considéré juridiquement comme « consentir de façon éclairé » à ce que les données d’un utilisateur du réseau soient récoltées et traitées sans qu’il n’en connaisse la finalité.

Même si dans certains secteurs, comme celui de l’assurance en particulier, il n’est pas aisé de remonter la chaîne des responsabilités, les organisations doivent expressément faire la différence entre le détenteur direct de la donnée personnelle et celui qui agit au nom et pour le compte du responsable de traitement.

Sur le terrain, la mise en œuvre d’un traitement de données à caractère personnel nécessite la plupart du temps l’intervention de différents acteurs. Mais quelle que soit son activité, chaque partie prenante doit prendre la mesure juridique de la « coresponsabilité » évoquée comme principe directeur du règlement européen.

En cas de litige entre les parties, la CNIL a la possibilité de requalifier la relation contractuelle en saisissant le juge. Soit le juge se déclare compétent et tranche, soit le contentieux est portée devant la cour européenne. Dans tous les cas, la requalification sera « in concreto » c’est-à-dire que le juge prendra en compte le contexte et la façon dont a été mis en œuvre le traitement. Ainsi, dans son avis sur la holding Foncia, la CNIL a appliqué ce principe estimant qu’en mettant à disposition de ses entités juridiques (filiales) un traitement, la holding en était la responsable, puisque c’est elle qui détient en amont les données collectées.

De façon plus générale, chaque cas étant différent, les juges ont opté pour la qualification au cas par cas, le niveau de responsabilité étant évalué en tenant compte de toutes les circonstances pertinentes du cas. Ainsi, les coresponsables du traitement peuvent être impliqués dans un même traitement de données à caractère personnel à des stades et à des degrés différents. La reconnaissance d’une responsabilité conjointe n’implique pas une responsabilité à parts égales.

Et c’est pourquoi, afin d’éviter tout déséquilibre, le contrat de prestation est soumis au principe juridique selon lequel toute clause litigieuse, fausse ou abusive sera réputée non écrite par les juges.

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/