RGPD : entreprises, qu’est-ce qui vous attend en 2020 ?

Cette nouvelle année signe pour les entreprises et les organisations la fin de la période transitoire accordée par la CNIL pour qu’elles se mettent en conformité. En 2020, l’autorité de régulation pourrait donc durcir le ton. Les montants des amendes de la CNIL sont, en effet, en forte augmentation depuis 2018, année de l’entrée en application du RGPD.

 

2020, sous le signe de la sécurité

Il est possible que la CNIL soit moins indulgente car, comme a prévenu l’autorité de régulation, 2020 signe la « fin de la période de transition accordée aux entreprises ». Et cette année, les organisations devront particulièrement être attentives à la sécurité des données car c’est la thématique la plus sanctionnée en 2019. Aussi bien organisationnelle que technique, la sécurité ne se limite pas à l’informatique.
Par exemple : protéger les fichiers et dossiers papiers contenant des données personnelles dans des tiroirs/placards verrouillés, installer un dispositif permettant d’être alerté en cas d’effraction, ou encore séparer physiquement du reste des locaux la salle de votre serveur informatique sont des actions aussi importantes que de mettre en place un système d’authentification sur les postes de travail, tenir à jour l’antivirus ou sécuriser son réseau informatique.

Le top 3 des manquements les plus sanctionnés par la CNIL en 2019

Pour rappel, en 2019, la moyenne des montants des sanctions financières avoisinait les 275000€, soit une augmentation de 107% par rapport à la moyenne de 2018 (sans tenir compte de la sanction de janvier 2019 à l’encontre de Google à hauteur de 50 millions d’euros).

 

Gestion des cookies : plus que 6 mois pour se mettre en conformité

Le RGPD impose aux acteurs du web de recueillir l’accord de l’internaute avant d’installer des cookies sur son terminal. Cette obligation, née au 25 mai 2018, change les règles en matière de cookies et de traceurs.
Cependant, le gendarme de la donnée a décidé d’accorder une période transitoire jusqu’à l’été 2020 afin que les acteurs concernés aient le temps de se mettre en conformité. Durant cette période de transition, la poursuite de la navigation (desktop ou mobile) comme expression du consentement sera donc considérée par la CNIL comme acceptable.
Une décision qui a poussé plusieurs associations à saisir le conseil d’Etat afin de dénoncer ce qu’elles considèrent comme une méconnaissance du droit à la protection des données personnelles des internautes, et une « autorisation à la CNIL à ignorer le RGPD ».
À l’automne 2019, le Conseil d’Etat a rejeté cette requête, estimant l’échéance raisonnable puisque, à terme, la CNIL imposera finalement une obligation de conformité sans appel à l’issue de ce délai. Et d’autant « qu’une application stricte et des sanctions n’aurait pas accéléré la mise en conformité des acteurs. » Jusqu’à l’été, la CNIL continuera d’accompagner les entreprises.

Municipales : attention au mélange des genres !

En prévision des municipales de 2020, la CNIL a présenté un plan d’actions afin de s’assurer du respect du RGPD lors de l’utilisation des données personnelles des concitoyens par les candidats dans le cadre de leur communication politique.
Ce plan d’actions passe notamment par la mise à jour de fiches, qui présentent très clairement le cadre et les limites à l’utilisation de données personnelles lors des campagnes pré-électorales.
La CNIL a ainsi formellement rappelé les règles aux différentes factions politiques. Elle a également mise à disposition une plateforme de signalement, sur son site, de toute pratique qui s’avèrerait non conforme à la réglementation sur la protection des données.
La surveillance de la prospection politique est d’ailleurs au programme de la politique de contrôle de la CNIL.

Réseaux sociaux : attention Bercy vous surveille !

L’administration fiscale et douanière entend renforcer la lutte contre la fraude fiscale par la surveillance et la collecte de données accessibles sur les réseaux sociaux et les sites de mise en relation de personnes (comme “leboncoin” par exemple).
Cette lutte 2.0, proposée à titre expérimental pour une durée de trois ans, permettra aux agents de l’administration fiscale de collecter automatiquement et massivement des données telles que la vente de produits de luxe sur Ebay ou des photos d’une piscine nouvellement construite postées sur Instagram.
Cette surveillance de masse soulève des questions en matière de protection des données personnelles. Si la CNIL ne s’oppose pas fondamentalement au procédé, elle émet des réserves quant à l’intrusion dans la vie privée que peut entrainer le dispositif.
De son côté, le Conseil constitutionnel approuve cette nouvelle forme de surveillance à condition que les données collectées soient librement accessibles sur un service de communication au public en ligne, et qu’elles aient été manifestement rendues publiques par les utilisateurs.

Vidéosurveillance : Pensez aux bonnes pratiques

Plusieurs établissements scolaires ont été épinglés par la CNIL au cours de l’année 2019 pour l’usage excessif de la vidéosurveillance. Pour que la vidéosurveillance soit respectueuse du cadre légal et des droits des personnes filmées, certaines règles sont à respecter.
Tout d’abord, l’installation d’un dispositif de vidéoprotection doit être justifié par un intérêt légitime. Il peut s’agir de la protection des biens et des personnes, de la lutte contre la dégradation d’un établissement ou contre les violences entre élèves pour les établissements scolaires.
Seules les personnes habilitées dans le cadre de leur fonction peuvent visionner les images enregistrées. Dans l’idéal, ces personnes doivent avoir été formées aux règles de protection des données et plus particulièrement aux problématiques de la vidéosurveillance.
La durée de conservation des images doit être en lien avec l’objectif poursuivi par la mise en place du dispositif. Le plus souvent, elle n’excède pas 1 mois.
Par ailleurs, les personnes susceptibles d’être filmées doivent être informées, par le biais d’un affichage lisible, que le lieu est placé sous vidéosurveillance.
Certaines formalités doivent être accomplies en fonction du lieu où se trouve le système de vidéoprotection. S’il est situé sur un lieu ouvert au public, il convient d’obtenir l’autorisation de la préfecture du département concerné. S’il est situé sur un lieu de travail, les représentants du personnel doivent être informés et consultés avant toute installation.

Marine Ravry, Benjamin Baratta, Alexis Cornilleau, consultants GDPR Rating

Vous vous demandez à quoi ressemble le registre de la CNIL ?

Miniature pour l'article "à quoi ressemble le registre de la CNIL ?"

Et bien ne vous posez plus la question ! Le gendarme de la donnée vient de publier un registre détaillé de ses activités de traitement. L’occasion de revenir sur qu’est-ce qu’un registre de traitement ? À quoi ça sert ? Que doit-il contenir ?
 
C’est par souci de transparence et de pédagogie que la CNIL vient de publier son registre de traitements. L’autorité de régulation souligne que ce document n’est pas prescriptif et qu’il va au-delà du minimum exigé par les textes. Ce qu’il contient est donné à titre indicatif et et selon votre propre activité, le registre ne présentera pas les mêmes éléments.

On peut ainsi retrouver au sein d’un document unique, l’ensemble des éléments utiles à l’information des personnes concernées par les traitements que l’autorité de contrôle met en œuvre. La CNIL précise que ces éléments sont repris pour les mentions RGPD portées au niveau des téléservices ou en interne (gestion des ressources humaines, gestion des fournitures, gestion du support informatique, etc.).

La CNIL dispose d’un outil de pilotage de ses activités de traitement.
Cette publication s’inscrit également dans une démarche pédagogique à l’attention des responsables de traitement pour faciliter l’interprétation de certaines notions du RGPD en donnant des exemples concrets (par exemple sur les bases légales).
 
Le registre de la CNIL
 

Un registre des activités de traitements ça sert à quoi ?

Prévu par l’article 30 du règlement européen, le registre de traitement constitue un élément essentiel de la documentation nécessaire au pilotage et à la démonstration de la conformité d’une organisation au RGPD. Le registre doit pouvoir être mis à la disposition de l’autorité de contrôle sur simple demande.
 

Que permet le registre au DPO, ou au référent de l’organisation ?

Il permet au DPO, le délégué à la protection des données, de :

Recenser les traitements de données personnelles mis en oeuvre sous la responsabilité de l’organisme public ou privé

Se poser les bonnes questions, avec les différents services de l’organisation, sur la finalité des fichiers mis en place, la minimisation des données recueillies, leur sensibilité, leurs conditions de conservation, leurs destinataires, et d’évaluer les risques

Rassembler les informations nécessaires à l’information des personnes identifiées dans les traitements de données de l’organisme

De définir un plan d’action « conformité RGPD »
 

Que contient un registre de traitement ?

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

Ce registre comporte toutes les informations suivantes :

Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
 

Les finalités du traitement

Une description des catégories de personnes concernées et des catégories de données à caractère personnel

Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales

Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et les documents attestant de l’existence de garanties appropriées

Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles
 

Le cas du sous-traitant

Chaque sous-traitant et, le cas échéant, le représentant du sous-traitant tiennent un registre de toutes les catégories d’activités de traitement effectuées pour le compte du responsable du traitement.

Ce registre comprenant :

Le nom et les coordonnées du ou des sous-traitants et de chaque responsable du traitement pour le compte duquel le sous-traitant agit ainsi que, le cas échéant, les noms et les coordonnées du représentant du responsable du traitement ou du sous-traitant et celles du délégué à la protection des données

Les catégories de traitements effectués pour le compte de chaque responsable du traitement

Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts, les documents attestant de l’existence de garanties appropriées

Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles devra figurer dans le registre.

Ces obligations ne s’appliquent pas à une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 du règlement européen.
 
Vous avez besoin d’être accompagné pour définir vos chantiers prioritaires ? Les équipes de GPPR Rating sont là pour vous aider

Dominique Cozzi, Journaliste

Site internet et RGPD : les 4 points de vigilance

Visuel à l'affiche pour l'article "Site internet et RGPD : les points de vigilance"

Que vous possédiez un site e-commerce, un site institutionnel, ou encore simplement un site vitrine, vous devez protéger les données personnelles de vos utilisateurs ou visiteurs. Même si la CNIL a décidé de se montrer « souple » jusqu’à l’été 2020, il est nécessaire d’initier des démarches de mise en conformité afin d’éviter les sanctions financières et celles qui pourraient entacher votre réputation.

Depuis 2014, la CNIL est en mesure de contrôler votre site web, à distance, sans aucun avertissement préalable, de manière aléatoire ou suite à une plainte déposée par un internaute. Le gendarme de la donnée peut ainsi vérifier si les mentions d’information sont bien présentes, si les collectes de données personnelles se font dans les règles, si la sécurité du site est assez forte… en somme vérifier si vous appliquez à la lettre le RGPD.

En moins de 5 ans, près de 13 000 plaintes concernant des sites web ont été adressées à la CNIL, et plus de 400 contrôles ont été effectués. Depuis l’entrée en vigueur du RGPD en 2018, 7 sanctions à l’encontre de sites internet ont été prononcées. Le montant des sanctions varie de 30 000 à 400 000 euros € selon le ou les manquement(s) constaté(s).

Pourtant, la mise en conformité d’un site web n’est ni la démarche la plus difficile, ni la plus onéreuse. Dans la plupart des cas, il est facile de ramener son site sur le chemin de la conformité.

Voici quatre points essentiels sur lesquels il est nécessaire d’être très vigilant :

 

Point 1 : attention au profilage (in)volontaire

Le profilage est aujourd’hui très répandu dans le monde du e-commerce. Il désigne « toute forme de traitement automatisé de données personnelles afin d’évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, le rendement au travail, la localisation ou les déplacements de cette personne. ».

Le profilage peut rapidement constituer un traitement de données à risques, en particulier si :

  • Il traite des données sensibles comme celles portant sur l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé, les données génétiques, les données biométriques, les données concernant la vie sexuelle ou l’orientation sexuelle de la personne. Par exemple, vous effectuez un traitement à risque si vous récoltez ces données via les réseaux sociaux et que vous les intégrez dans votre profilage en ligne.
  • Il se base sur des données issues de traitements différents, et procède à un croisement ou une combinaison d’ensemble de données qui dépasse les finalités initiales. Par exemple, c’est le cas si vous envoyez à vos clients des offres commerciales personnalisées à partir de leur historique de navigation, les informations récoltées par les cookies, leurs historiques de commandes, leurs achats sur les sites partenaires, leurs programmes de fidélité, ou encore leurs données issues des réseaux sociaux.
  • Il traite les données de personnes considérées « vulnérables » au sens du RGPD : les enfants, les personnes sous tutelle ou sous curatelle, les personnes malades… Par exemple, c’est le cas si vous souhaitez cibler une partie de votre clientèle en fonction de ces critères.

Si un ou plusieurs de ces critères sont remplis, alors le profilage constitue un traitement à risque qui nécessite un encadrement particulier. Cette procédure particulière, c’est l’Analyse d’Impact sur la Protection des Données (AIPD), aussi appelé PIA, pour Privacy Impact Assessment. Il s’agit d’analyser les risques qui pèsent sur vos données : une attaque informatique, un accès non autorisé à vos serveurs, une disparition de vos données…

 

Point 2- Prospecter oui mais dans les règles !

Une grande partie de vos prospects se sont inscrits à vos lettres d’information et d’offres commerciales via votre site web. Mais certaines règles sont à respecter lorsque vous procéder à l’envoi de mails.

Par principe la prospection commerciale par mail est soumise au principe de l’opt-in, c’est-à-dire que la personne doit avoir donné son consentement à recevoir des mails.

Il existe cependant 3 exceptions à ce principe :

  • Dans le cadre d’une relation B2B (entre professionnels)
  • Dans le cadre d’une prospection non-commerciale (par exemple, une association à but non lucratif ou une fondation). A savoir : la promotion de votre société, même sans référence à la vente de produits ou services, constitue une prospection commerciale.
  • Dans la cadre d’une relation B2C (entre un professionnel et un particulier) seulement si cette personne a déjà acheté un produit ou service auprès de ce professionnel. La prospection ne peut concerner que des produits ou services analogues. Par exemple, des livres et des films sont des produits analogues, car ils appartiennent tous les deux à la catégorie des produits culturels.

 

Dans ces 3 hypothèses précises, sans aucune action de sa part, la personne est réputée avoir donné son consentement à recevoir de la prospection, mais elle doit toujours avoir le moyen de le retirer : c’est l’opt-out.

Pour récupérer valablement le consentement de la personne à recevoir de la prospection commerciale, une case à cocher doit être présentée sur votre site internet, avec l’intitulé « En cochant cette case, je consens à la réception des newsletters et offres commerciales de la part de la société X ». Si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Une seconde case à cocher doit être prévue si vous proposez à votre utilisateur de recevoir de la prospection commerciale de vos partenaires. Un exemple d’intitulé : « En cochant cette case, je consens à la réception de la prospection commerciale de la part des partenaires commerciales de « X ». Pour consulter la liste de ces partenaires, vous pouvez consulter la Politique de confidentialité ». Là encore, si cette prospection se base sur un profilage, il est important de préciser que les offres sont « personnalisées ».

Qu’il s’agisse d’un opt-in ou d’un opt-out, la personne doit toujours avoir le moyen de retirer son consentement via, par exemple, un lien « se désabonner » en bas des mails, et/ou via son espace personnel dans les paramètres.

Dans une logique de documentation RGPD, une liste doit recenser la date d’opposition et l’adresse mail de la personne qui s’est opposée à recevoir de la prospection commerciale. Ces données doivent être conservées au minimum trois ans à compter de l’exercice du droit d’opposition, et ne peuvent en aucun cas être utilisées à d’autres fins.

 

Point 3 – Données des mineurs = vigilance rouge

Au sens du RGPD, les enfants appartiennent à la catégorie des personnes vulnérables, c’est-à-dire que le traitement de leurs données constitue un risque élevé. Il y a là une réelle volonté de protéger les enfants face à certaines techniques commerciales et marketing qui peuvent s’avérer agressives.

Quelques conseils lorsque vous traitez les données des enfants :

  • Lorsque votre site web s’adresse en particulier à des mineurs, les mentions d’informations doivent être rédigées dans des termes simples et clairs. L’exigence de transparence vis-à-vis des personnes n’est pas à prendre à la légère quand il s’agit d’enfants ;
  • Toute forme de profilage est à effectuer avec précautions : la publicité personnalisée ou comportementale ne doit pas être réalisée ni avec la même intensité, ni avec la même fréquence que celle des adultes (moins de données collectées, moins de mails envoyés…) ;
  • Le RGPD impose une obligation de célérité lorsque le droit à l’effacement est exercé par une personne mineure, ou une personne majeure dont les données étaient traitées pendant son enfance ;
  • En France, lorsqu’un mineur souhaite bénéficier d’un service en ligne, alors son consentement n’est valide que s’il est âgé de 15 ans ou plus. S’il est plus jeune, le traitement n’est licite que si le consentement est donné ou autorisé par le dépositaire de l’autorité parentale, via par exemple la récupération de l’adresse mail du responsable et de l’envoi d’un mail de validation.

 

Point 4 – La sécurité, votre nouveau reflexe

Une bonne sécurité passe avant tout par de bons réflexes. Par exemple :

  • Utiliser lorsque c’est possible des moyens de stockage chiffrés, c’est à dire rendre les données incompréhensibles à toute personne non autorisée à y avoir accès.
  • Signaler immédiatement tout incident de sécurité, comme la prolifération d’un code malveillant ou le dysfonctionnement d’un serveur informatique.
  • Cloisonner les données personnelles par rapport au reste du système d’information afin de réduire la possibilité de les corréler et de provoquer une violation de sécurité.

À l’inverse, de mauvais réflexes peuvent détériorer voire détruire votre sécurité. Il convient d’éviter de :

  • En interne, conserver les mots de passe par défaut. Et pour vos clients, imposer des mots de passe trop souples.
  • Sur un site web, ne pas mettre en place de règles d’authentification à destination de vos clients lorsqu’ils souhaitent accéder à leur espace personnel.
  • Stocker les données personnelles sur un fichier non protégé, comme par exemple un fichier Excel enregistré sur le bureau.

 

À ce sujet, la CNIL a mis en ligne un top 5 des problèmes de sécurité les plus récurrents des sites web.

 

Bien évidemment, les différentes thématiques que nous venons d’aborder ne suffisent pas à mettre en conformité votre site web. D’autres actions sont à effectuer.

Pour des conseils et des explications sur les cookies et technologies de traçage utilisées par votre site web, les mentions d’information, la gestion des comptes client ou encore la politique de confidentialité, GDPR Rating vous invite à consulter en replay son webinar sur la mise en conformité RGPD des sites web, disponible ici.

En effet, ce webinar vous permettra de dégager vos chantiers prioritaires pour remettre votre site web sur le chemin de la conformité, et ainsi éloigner les sanctions de la CNIL !

Benjamin Baratta, Consultant RGPD

Recueil du consentement : Pas de sanction jusqu’à l’été 2020

Visuel pour l'article "Recueil du consentement : Pas de sanction jusqu’à l’été 2020"

Le Conseil d’Etat vient de rejeter le recours, présenté par plusieurs associations, qui demandait de mettre fin au délai accordé par la CNIL aux sites web. Jusqu’à l’été 2020, il est donc toujours autorisé de recueillir le consentement des internautes de façon implicite, afin de suivre leur activité.

 

Depuis l’entrée en vigueur du RGPD, les sites web sont susceptibles d’être sanctionnés dans le cas où ils déposent un traceur sur la machine de l’utilisateur sans avoir, au préalable obtenu son consentement explicite.

Cependant, le gendarme de la donnée a décidé de prolonger la période transitoire jusqu’à l’été 2020 afin que les acteurs concernés aient le temps de se mettre en conformité. Durant cette période de transition, la poursuite de la navigation (desktop ou mobile) comme expression du consentement sera donc considérée par la CNIL comme acceptable.

Toutefois, le Conseil d’État dans sa décision précise que la CNIL conserve son pouvoir de sanctions en cas de manquements graves et rappelle qu’il existe d’autres autorités judiciaires compétentes pour punir les infractions comme le juge pénal ou civil.

En effet, le code pénal (article 226-16 à 226-64) sanctionne lourdement un grand nombre d’infractions, qui dépendent des compétences de la CNIL. De plus, au civil, le juge peut être reconnu compétent pour ordonner à une entreprise de cesser une atteint au RGPD.

 

À regarder, Webinar : comment mettre son site web en conformité ?

 

Pour les associations de défense des libertés individuelles, comme celle de la quadrature du net, le Conseil d’Etat « autorise la CNIL à ignorer le RGPD ».

L’association va plus loin puisqu’elle estime que la CNIL « démissionne » et se demande « à quoi sert encore l’autorité administrative puisqu’il faut se tourner directement vers la justice en cas d’atteinte à la vie privée ? »

La CNIL devrait mener une concertation avec les acteurs du numérique (annonceurs, éditeurs de contenus, prestataires mais aussi représentants de la société civile) afin d’élaborer d’ici début 2020 « une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement ».

 

Dominique Cozzi, Journaliste

RGPD : 5 bonnes pratiques quand on recrute

Visuel pour l'article sur les bonnes pratiques du recrutement vis à vis du RGPD

Droit à l’oubli, à la rectification, portabilité… Depuis l’entrée en vigueur du règlement européen, les candidats reprennent la main sur leurs données.

Désormais, les recruteurs ont l’obligation de les informer de ce qu’ils font avec leurs informations personnelles. Un casse-tête pour les entreprises qui ont pris la mauvaise habitude d’utiliser les données des candidats à leur insu.

Toutefois, il est possible d’ajuster sa politique de recrutement en mettant en place quelques bonnes pratiques. Suivez le guide, Flavie Badreau, consultante GDPR-Rating !

 

1-Vérifier ses relations contractuelles avec ses prestataires

De nombreuses sociétés font appels à des prestataires spécialisés pour leur process de recrutement tels que les cabinets de chasse ou des sociétés réalisant des tests techniques ou de personnalité.

Il est important de mettre à jour ses relations contractuelles avec ses prestataires afin de déterminer les responsabilités de chacun vis-à-vis des traitements de données personnelles réalisés.

La société se doit notamment de s’assurer que le cabinet de recrutement recueille les données de manière licite et que les personnes concernées sont bien informées.

Lorsqu’une société fait appel à un prestataire pour réaliser des tests auprès de ses candidats, elle doit préciser au sein du contrat quel sera le sort des résultats (interdiction de conservation pour le prestataire, autorisation sous une durée limitée…).

 

2 – Informer correctement ses candidats

L’article 13 du RGPD impose d’informer les personnes concernées par le traitement de données personnelles.

Ainsi, il est recommandé de délivrer en deux exemplaires une fiche récapitulative contenant l’ensemble des informations obligatoires telles que notamment l’identité du responsable de traitement, les coordonnées du DPO, les destinataires potentiels, les finalités poursuivies et les droits des personnes ainsi que leurs modalités d’exercice.

N’hésitez pas à fournir la lettre en deux exemplaires à faire signer afin de conserver une preuve de la fourniture des informations.

 

3- Pendant l’entretien, attention aux données sensibles

Si lors de la signature du contrat de travail, des données sensibles sont automatiquement collectées (numéro de sécurité sociale) au moment de l’entretien, leur collecte est prohibée. Aussi, on évite les questions portant sur l’appartenance syndicale ou la santé.

Pour les postes ouverts aux travailleurs en situation de handicap, le recruteur privilégiera les questions sur les besoins spécifiques d’aménagements du poste plutôt que des questions sur la nature du handicap bien évidemment défendues à ce stade.

Le recruteur doit toujours garder à l’esprit que le candidat peut exercer son droit d’accès et donc aura la possibilité de lire le compte-rendu de l’entretien. Attention à toujours être mesuré et factuel afin de ne noter que des éléments pertinents, adéquats et non excessifs.

De manière générale et afin de minimiser les données, le recruteur se contentera d’informations déclaratives (diplômes, certifications…) et demandera les preuves papiers au moment de la signature du contrat.

 

4- Limiter la durée de conservation

Avoir une CV thèque conforme au RGPD ne signifie pas de devoir supprimer l’ensemble de sa base de données. Par défaut, la CNIL indique que la conservation du dossier du candidat non retenu est de deux ans notamment pour permettre de recontacter le candidat en cas de futur poste à pourvoir correspondant à son profil.

En revanche, cette information doit impérativement être communiquée au candidat (via la fiche d’information par exemple) afin que celui-ci ait la possibilité de s’y opposer. En cas de refus de conservation, le recruteur doit supprimer toutes les données qu’il détient sur la personne.

Ainsi, si vous utilisez un outil, attention à bien intégrer par défaut des règles de suppression des données au bout de deux ans ainsi qu’à prévoir la possibilité de détruire les données à tout moment si nécessaire.

 

5- Déterminer les destinataires des données et sécuriser l’accès aux données

Peu importe la taille de la société, les données personnelles collectées dans le cadre du processus de recrutement ne doivent être à disposition que des personnes légitimes. Ainsi, s’il est compréhensible que l’ensemble de l’équipe recrutement ait accès à la base de données, cela se justifie bien moins pour l’équipe commerciale.

Une gestion des habilitations strictes doit être mise en place pour les outils utilisés avec des niveaux d’accès selon le poste du membre de l’équipe recrutement (stagiaire, responsable du service…).

Les managers métiers intervenant dans le processus pour les entretiens techniques auront bien sûr besoin de consulter le CV et le compte-rendu du premier entretien.

Il est alors conseillé de leur mettre à disposition pour une durée limitée les documents nécessaires afin de ne pas multiplier les lieux de stockage du document dans l’idée de respecter les durées de conservation prédéfinies.

 

Flavie Badreau, Consultante GDPR Rating

RGPD: un an après, seule une entreprise sur 3 est conforme

Visuel pour l'article "RGPD: un an après, seule une entreprise sur 3 est conforme"

Il semblerait que les entreprises ont surestimé leur capacités à répondre aux exigences du règlement européen sur la protection des données. Interrogées avant l’entrée en vigueur du RGPD en mai 2018, elles étaient 78% (source) à estimer qu’elles pouvaient atteindre la conformité à la date butoir. Un an et demi après, dans une étude menée par le même institut, le Capgemini Research Institute, elles ne sont que 28% à se déclarer conformes.

 

Les principaux enseignements de l’étude

  •  Les sociétés ont des difficultés à respecter leurs objectifs initiaux
  •  Près de 81% des entreprises se déclarant conformes constatent des répercussions positives sur leur réputation et leur image

 

L’étude « Championing Data Protection and Privacy – a Source of Competitive Advantage in the Digital Century » montre que les entreprises progressent plus lentement que prévu, freinées par différents obstacles comme la complexité des exigences réglementaires, les coûts de mise en application et le manque de flexibilité de leurs systèmes existants.

Afin d’atteindre l’objectif de conformité, les organisations tendent à investir dans la protection et la confidentialité des données, afin d’assurer leur conformité aux règlements d’aujourd’hui et de demain.

Cependant, il est intéressant de noter que 92% des entreprises conformes affirment avoir obtenu un avantage compétitif, alors qu’elles étaient 28% seulement à s’y attendre l’année dernière.

 

Les entreprises prennent du retard

Alors que le RGPD est en application depuis plus d’un an, un grand nombre d’entreprises sont encore dans le flou quant à leur niveau de conformité. 28% des entreprises interrogées affirment être conformes, et seul 30% des entreprises se déclarent être « presque conformes »*.

Sur la question de la conformité, les entreprises américaines sont en tête de file (35%), suivies de près par les entreprises britanniques et allemandes (33%) ; les entreprises espagnoles (21%), italiennes (21%) et suédoises (18%) ferment la marche.

 

 

 

* Dans cette étude, le terme « conforme » désigne l’évaluation de conformité telle que déclarée par les entreprises interrogées.

 

Quels sont les principaux freins rencontrés ?

Selon les dirigeants interrogés, les initiatives de conformité sont principalement freinées par leurs anciens systèmes IT (38%), la complexité des exigences à respecter (36%) et le coût prohibitif des projets de conformité (33%).

 

 

De plus, les entreprises ont déjà reçu un nombre considérable de demandes de la part des personnes concernées : 50% des entreprises américaines concernées par le RGPD indiquent avoir reçu plus de 1 000 demandes, une tendance que l’on retrouve en France (46%), aux Pays-Bas (45%) et en Italie (40%).

 

 

Même si les entreprises peinent à atteindre la conformité, elles réalisent des investissements significatifs pour pouvoir faire face aux coûts élevés qu’elle représente : d’ici 2020, 40% pensent dépenser plus d’un million de dollars en frais juridiques, et 44% dans la mise à niveau de leurs outils technologiques.

Par ailleurs, les organisations doivent faire face à un nouveau challenge – l’adoption de nouvelles législations dans différents pays hors de l’Union européenne.

 

Verbatim

Zhiwei Jiang, directeur général des activités Insights & Data de Capgemini :

« Cette enquête met en lumière les difficultés auxquelles les entreprises se heurtent sur le chemin de la conformité, mais aussi les avantages pour celles qui réussissent.

Un grand nombre de dirigeants s’est montré très optimiste l’année dernière. Ils prennent maintenant conscience de l’ampleur des investissements et des changements organisationnels requis pour atteindre la conformité, qu’il s’agisse de déployer des technologies avancées soutenant la protection des données ou de sensibiliser leurs salariés aux bonnes pratiques à adopter….

 …Mais ces efforts porteront leurs fruits : les chefs de file constatent des améliorations qui dépassent toutes leurs attentes dans le domaine de la satisfaction et de la confiance client, de la motivation de leurs équipes, de la réputation de leur entreprise et de leur chiffre d’affaires. Ces réussites représentent une source d’inspiration pour ceux qui ont pris du retard sur leur conformité. »

 

Les avantages d’être conformes

La plupart des dirigeants ayant atteint la conformité indiquent avoir constaté des améliorations en termes de :

  • confiance client (84%),
  • d’image de marque (81%)
  • et de motivation des employés (79%).

 

 

Ils ont également signalé des changements positifs secondaires :

  • dans le domaine des systèmes IT (87% contre 62% lors des prévisions de 2018),
  • de la cybersécurité (91% contre 57%),
  • ou encore du changement et de la transformation organisationnels (89% contre 56%).

 

La technologie joue un rôle clé chez les entreprises conformes

L’étude révèle un écart technologique significatif entre les organisations conformes et les retardataires dans la mise en œuvre de leur programme de conformité au RGPD. Les entreprises conformes au RGPD utilisent davantage les technologies telles que les plateformes Cloud (84% contre 73% pour les entreprises non conformes), le chiffrement des données (70% contre 55%), l’automatisation robotique des processus (35% contre 27%) et l’archivage des données industrialisé (20% contre 15%).

 

 

De plus, 82% des sociétés conformes affirment avoir fait les démarches nécessaires afin de s’assurer que leurs fournisseurs technologiques respectent bien la réglementation applicable en matière de protection des données, contre 63% seulement chez les entreprises non conformes.

La majorité (61%) des sociétés conformes auditent leurs sous-traitants pour vérifier leur conformité dans le domaine de la protection des données. Les sociétés non conformes ne sont que 48% à le faire.

 

Méthodologie

L’étude a été menée auprès de 1 100 cadres supérieurs, occupant un poste de directeur ou de niveau supérieur, dans huit secteurs : assurance, banque, biens de consommation, utilities, télécommunications, services publics, santé et distribution. Ils travaillaient pour des entreprises dont le siège se trouve en France, en Allemagne, en Italie, aux Pays-Bas, en Norvège, en Espagne, en Suède, au Royaume-Uni, aux Etats- Unis et en Inde. Capgemini a également réalisé des entretiens avec des leaders et experts du secteur, pour étudier l’état actuel et l’impact de la règlementation sur la confidentialité des données.

(1) Capgemini Research Institute, « Seizing the GDPR Advantage: From mandate to high-value opportunity » (« Tirer parti du RGPD : comment une obligation réglementaire peut devenir génératrice de plus-value »), mai 2018

 

Dominique COZZI – Journaliste

 

À lire également :

RGPD : la CNIL simplifie son modèle de registre de traitements pour les PME

La CNIL dresse le premier bilan

Les entreprises n’ont aucun intérêt à contourner le règlement !

Purge des données : le cauchemar des DSI

Marketing: le RGPD est-il une opportunité ou une contrainte?

Visuel pour l'article "GDPR : opportunité ou contrainte"

C’est la grande question que tout le monde se pose depuis l’arrivée du règlement européen. En générant de nouvelles pratiques, en demandant de consommer mieux les données des utilisateurs, le RGPD s’avère être un vecteur d’amélioration de l’expérience client. C’est l’enseignement que tire Marketo, éditeur de logiciels d’automatisation marketing.

 

Dominique Cozzi – Journaliste

 

En savoir plus sur nos offres de conseil : https://www.gdpr-rating.eu/fr/services/

 

 

RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME

Visuel pour l'article "RGPD: la CNIL simplifie son modèle de registre de traitements pour les PME"

L’article 30 du règlement européen impose aux organismes qui traitent régulièrement des données personnelles, la constitution, la tenue et le maintien dans le temps d’un registre des traitements. Outil de pilotage et de démonstration de votre conformité, il doit être perçue avant tout comme un outil de gouvernance. Pour simplifier la tâche aux petites structures, l’autorité de régulation a publié, au format tableur, un modèle simplifié de registre.

Finis les PDF et les fichiers texte, place au tableur ! C’est sous un format ouvert et compatible (.ods pour Open Document Spreadsheet) avec la plupart des tableurs (Microsoft Excel, OpenOffice Calc, LibreOffice Calc) que la CNIL actualise son modèle de registre des traitements. Un changement de format qui illustre la volonté de l’autorité de régulation de simplifier la documentation de la conformité mais également la difficulté qu’ont les petites structures à répondre aux exigences du RGPD. En effet, piloter la conformité n’est pas une mince affaire et il est parfois nécessaire d’être accompagné pour éviter les risques et gagner la confiance de ses utilisateurs ou clients.

Prévue par l’article 30 du règlement, la tenue d’un registre des traitements est obligatoire pour tous les organismes, publics ou privés, quelle que soit leur taille, qui traitent, dans le cadre de leurs activités, des données personnelles. Sa constitution est souvent pour les organismes l’occasion de construire un plan solide d’actions de mise en conformité puisqu’en recensant l’ensemble des traitements, on obtient de facto, une vue d’ensemble sur ce qu’on fait au quotidien avec les données personnelles (clients, salariés, fournisseurs…)

Car documenter les traitements des données, c’est se poser les bonnes questions : mes données sont-elles suffisamment sécurisées ? Dois-je toutes les garder ? Ces données sont-elles nécessaires à la finalité de mon traitement ? Etc…

Mis à jour régulièrement ce registre permet de limiter les risques au regard du RGPD. En effet, il doit pouvoir être mis à disposition de la CNIL sur demande.

Que doit contenir le registre ?

Document de recensement et d’analyse, il doit refléter la réalité de vos traitements de données personnelles et vous permet d’identifier précisément :

  • les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • à quoi servent ces données (ce que vous en faites), qui accède aux données et à qui elles sont communiquées,
  • combien de temps vous les conservez,
  • comment elles sont sécurisées

Exemple de fiche de traitements fictifs. (Source CNIL)

Exemple de fiche de traitements fictifs. (Source CNIL)

Dans le cas où votre organisme agit à la fois en tant que sous-traitant et responsable du traitement, on doit pouvoir dans votre registre identifier les deux catégories d’activités.

    • un pour les données personnelles dont vous êtes vous-même responsable
    • Un autre pour les traitements que vous opérez pour le compte de vos clients.

Une dérogation pour les PME de moins de 250 salariés

 Les entreprises de moins de 250 salariés bénéficient d’une dérogation. Elles ne sont pas soumises à l’obligation de lister les traitements mis en oeuvre de façon « occasionnelle et non routinière ».

Par exemple, une campagne de communication à l’occasion de l’ouverture d’un nouvel établissement, sous réserve que ces traitements ne soulèvent aucun risque pour les personnes concernées.

En cas de doute sur l’application d’un traitement, la CNIL préconise de l’intégrer dans votre registre.

Le registre pour les entreprises de moins de 250 salariés doit comporter :

 – les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.) ;

– les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)

– les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.).

La dérogation est donc limitée à des cas très particuliers de traitements.

Que comporte cette version actualisée ?

Le tableur contient une fiche tutorielle, une fiche de liste de traitements, un modèle de fiche à remplir et une fiche d’exemple.

À lire sur la CNIL : La CNIL publie un nouveau modèle de registre simplifié

Besoin d’être accompagné dans vos démarches de mise en conformité ?

Comprendre les exigences du règlement, sensibiliser ses collaborateurs, mesurer le niveau de maturité de son organisation et donc allouer les bons budgets, un vrai casse-tête pour les entreprises. De ce constat est né GDPR Rating, un outil d’auto-évaluation à destination des PME-ETI. Grâce à cette plateforme de notation, les entreprises obtiennent en ligne et en toute autonomie un état des lieux ainsi que les mesures de remédiation associées. À la clé, une note de conformité que chaque organisation peut communiquer auprès de ses clients, ses prestataires et ses utilisateurs. Mais la possibilité d’aller plus loin et de bénéficier d’un accompagnement personnalisé selon les besoins de son organisation (sécurité, DPO, e-learning).

Dominique COZZI – Journaliste

À lire sur le même sujet :

RGPD : la CNIL dresse le premier bilan

https://www.gdpr-rating.eu/fr/gdpr-la-cnil-dresse-le-premier-bilan/

Les entreprises n’ont aucun intérêt à contourner le règlement

https://www.gdpr-rating.eu/fr/gdpr-les-entreprises-nont-aucun-interet-a-contourner-le-reglement/

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

Purge des données: le nouveau cauchemar des DSI

Visuel pour l'article "Purge des données, nouveau cauchemar des DSI"

Le RGPD, entré en vigueur en mai 2018, modifie en profondeur les exigences liées à la collecte, l’exploitation et le stockage des données personnelles. En effet, L’article 6.5 du règlement dispose que pour faire l’objet d’un traitement, les données à caractères personnel doivent être « conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

 

En d’autres termes, la durée de conservation des données à caractère personnel ne saurait être illimitée. Les entreprises se retrouvent ainsi confrontées à une problématique qu’elles ont occultée depuis de nombreuses années : La suppression des données de leur système d’information (SI).

 

Quelles sont les difficultés majeures de mise en œuvre pour les grands groupes ?

 Aujourd’hui, un bon nombre de grandes entreprises après une ou deux années de travail se retrouvent dans l’impasse. En effet, les entreprises ne savent pas par quel angle aborder le sujet et les premiers essais ne permettent souvent pas d’aboutir à une mise en œuvre opérationnelle. En cause :

  1. Une sous-estimation de l’aspect transverse du projet et des moyens nécessaires pour mettre en œuvre une phase de cadrage et d’analyse d’impacts pertinents.
  2. Une méthodologie d’approche pas suffisamment aboutie, souvent en cours de maturation. Les équipes sollicitées s’épuisent d’une collecte d’information désorganisée, redondante, et inefficace.
  3. Une priorité haute, celle de sécuriser les données. Les efforts budgétaires consacrés aux opérations de purge se retrouvent sans cesse en bout de chaine, repoussés.
  4. Une politique liée à la gouvernance des données en cours de transformation. C’est aussi un élément clé de réussite. Mais, sur le terrain, de nombreuses entreprises n’ont pas encore fini de mettre en place les bonnes pratiques et les bons mécanismes de gestion autour de de la donnée.
  5. Une définition des durées de conservation qui se révèle être un travail de longue haleine. Elle implique un nombre conséquent de parties prenantes et requiert des compétences pluridisciplinaires, au carrefour du juridique, de la gestion de projet et de la compréhension des systèmes d’information.
  6. Une panoplie d’outils dotés de fonctionnalités de purge non suffisante pour répondre au devoir de suppression des données. Assurément, la problématique de purge est confrontée à l’accumulation de données non purgées, l’interconnexion des systèmes existants, et à l’inexistence des modes opératoires opérationnels.

On peut donc légitimement se demander comment aujourd’hui, un citoyen peut disparaitre totalement d’un système d’information s’il en exprime le désir ? Tout comme on peut se poser la question sur la mise en application réelle des exigences de la directive européenne, de limiter la conservation des données personnelles proportionnellement aux usages qu’ils en sont fait.

 

Notre expérience de terrain démontre que les processus d’exécution ne sont pas toujours au rendez-vous.

 

Comment opérer la purge des données ?

Pour cadrer le sujet, il faut adopter une démarche structurée qui permet d’aboutir à des résultats et des actions concrètes :

  • Identifier, documenter, cartographier les données personnelles et leur sensibilité
  • Définir et lotir les périmètres d’analyse au regard des zones de risque et de la mécanique de circulation de la donnée.
  • Corréler la roadmap liée à la définition des durées de conservation à la roadmap d’analyse des solutions
  • Mener l’analyse d’impact méthodiquement.
  • Proposer des solutions prenant en considération le traitement des impacts liés aux applications en amont et en aval.
  • Veiller à traiter les systèmes de sauvegardes.
  • Diminuer le risque par étape, en étant pragmatique, en privilégiant les possibilités existantes des outils et au travers de successions d’actions concrètes réalisables le plus tôt possible.
  • Veiller à traiter la modification des processus métiers, sans oublier de tracer la réalisation des opérations de purge.
  • Veiller à ne pas dégrader la qualité du service pour les personnes.

 

Au sein des entreprises, la prise de conscience est en bonne voie, la sensibilisation infuse toutes les strates de l’entreprise, jusqu’au SI. La route vers la mise en conformité est longue, mais les organisations doivent soutenir les efforts pour que les exigences en matière de conformité ne restent pas lettre morte.

Salima YAHIAOUI – Consultante Senior Manager

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/

 

Grands ou petits, personne n’est à l’abri

Visuel pour l'article " Grands ou petits, personne n’est à l’abri"

Le RGPD c’est avant tout le respect notre vie privée. Depuis 2018 et l’entrée en vigueur du règlement européen, c’est désormais aux entreprises de prouver que nos données personnelles sont bien protégées. Les organismes sont donc invités à plus de transparence mais également plus de responsabilité dans la manipulation de nos informations. La CNIL, notre gendarme national de la donnée peut à tout moment venir contrôler la façon dont vous traitez les données. Mais, il ne faut pas non plus écarter le risque que le contrôle soit effectué après un dépôt de plainte. En 2018, selon le bilan de l’autorité, ce sont près de 11 077 plaintes qui ont été déposées auprès du régulateur. Il est donc nécessaire de prendre les mesures appropriées pour être prêt le jour J.

 

Nous avons tous entendu parler de l’amende de 50 millions d’Euros infligée à Google en début d’année par la CNIL. Début juillet, British Airways et le groupe Mariot ont été respectivement condamnées à 200 et 111 millions d’Euros par l’ICO, l’équivalent britannique de la CNIL, pour ne pour ne pas avoir su protéger efficacement les données bancaires de leurs clients.

 

Les PME ne sont pas non plus épargnées par ce mouvement. Marie-Laure Denis, la présidente de la CNIL a même prévenu dans les colonnes de La Tribune, il y a trois mois, que les contrôles ne seront pas exclusivement dirigés à l’encontre des grandes entreprises et entend bien également contrôler les TPE ou PME qui « traitent de grands volumes de données » même si elle « ne sous-estime pas la complexité – financière et technique – de leur mise en conformité. ». Action, réaction, en juin 2017, un cabinet dentaire a été condamné à 10 000 euros d’amende pour « manquement à l’exercice de droits ».

 

Mais comment la CNIL décide de contrôler telle ou telle société ?

Il existe principalement 3 cas :

  • Les réclamations et signalements : non-respect d’un droit (accès, opposition, suppression), collecte de données excessives (vidéosurveillance, données bancaires, appels téléphoniques), atteinte à la sécurité et à la confidentialité des données (violation de données, accès par des personnes non autorisées).
  • Les initiatives de chaque contrôleur : identifiées au regard de l’actualité (émergence de nouveaux services et de produits, risques pour la vie privée des personnes).
  • Le programme annuel de contrôle : cette année sont concernés par le programme, le respect de l’exercice des droits (accès, modification, suppression, portabilité), la question sensible des mineurs où il est notamment nécessaire d’obtenir l’accord parental pour en enfant de moins de 15 ans et le sujet épineux de la répartition des responsabilités entre le responsable de traitement et son sous-traitant (objet de notre précédent article…).

 

Il est donc important que chaque entreprise, quelle que soit sa taille, prenne en main le sujet car le signal envoyé par la présidente de la CNIL ne laisse place à aucune ambiguïté : après le « temps de la patience et de la tolérance », l’autorité de contrôle « sera plus ferme envers les entreprises ».

 

Par où commencer ?

La première étape consiste d’abord à évaluer son niveau de conformité afin de connaître son plan de route pour devenir conforme. Pour réaliser cette évaluation vous pouvez, soit vous faire aider par un consultant spécialisé, soit utiliser une plateforme comme www.gdpr-rating.eu afin de vous auto-évaluer et générer un plan d’action de mise en conformité.

Autre étape importante, la sensibilisation de votre personnel, élément clé et indispensable pour une mise en conformité responsable.

Un fois la route tracée, il suffit de réaliser les actions qui sont proposées. Dans certains cas, une aide juridique ou informatique pourra être nécessaire afin de garantir la robustesse des actions entreprises.

L’année 2019 marque l’achèvement de la phase de transition entre l’ancienne législation « libertés et informatique » et le RGPD. La CNIL vérifiera ainsi pleinement le respect des nouvelles obligations et nouveaux droits issus du cadre européen (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations).

 

Lorsqu’elle constatera des manquements, elle en tira les conséquences qui s’imposent, jusqu’à la sanction si nécessaire. Et même si, comme par le passé, la CNIL fera preuve de discernement dans le choix des mesures correctrices, il est nécessaire voire vital pour les organisations de se mettre en conformité. Car si ce n’est pas la CNIL qui vous sanctionne, ce sera peut-être un utilisateur ou un client…

Laurent Zeitoun

 

En savoir plus sur nos offres de conseil: https://www.gdpr-rating.eu/fr/services/