Dans ce workshop, Nicolas nous explique ce qu’est le RGPD, et surtout comment implémenter  ce règlement dans son entreprise.

Promulgué depuis le 25 mai 2018, le règlement général pour la protection des données doit être appliqué à tous les acteurs de l’Union européenne (Etats, collectivités territoriales et entreprises) dans son intégralité dans un délai de tolérance de 2 ans. Ce règlement s’applique à toute entreprise manipulant des données personnelles de citoyens européens, même si celle-ci est basée à l’étranger. Cette règlement concerne tant les données papiers que les données informatisées.

Retrouvez les slides sur SlideShare.

QU'EST-CE QUE LE RGPD?

     Une donnée personnelle, qu’est ce que c’est ?

“N’importe quelle information qui permet d’identifier une personne de manière directe ou indirecte”. Par exemple un numéro de badge n’est pas une donnée personnelle en soit, mais si on peut retrouver le nom de la personne tenante du badge via un fichier récapitulatif, ce numéro constitue alors une donnée personnelle.

Dans ces données personnelles (nom, prénom, iban, adresse postale etc) figure un ensemble de données sensibles (origine raciale, orientation sexuelle, appartenance religieuse etc) qui est soumis à un traitement particulier dans le RGPD. Dès qu’une seule de ces données est manipulée par l’entreprise, elle est soumise à l’ensemble du règlement.

     3 éléments particuliers caractérisent le RGPD

– L’accès aux données est généralisé: Le droit d’accès, droit à la portabilité, droit à l’effacement (une personne peut demander un effacement de ses données personnelles sauf si celle-ci consitue une obligation légale) sont généralisés.

Le consentement est renforcé : chaque personne visée par une action doit pouvoir donner son consentement à l’entreprise pour que celle-ci utilise ses données personnelles à d’autres fins. Exemple : si une personne rentre son adresse mail pour recevoir un livre blanc, elle doit également cocher une case où elle donne son consentement pour recevoir une newsletter.

– De nouvelles obligations sont promulguées :
Nommer un DPO : toutes les entreprises publiques y sont soumises, les entreprises privées qui manipulent des données sensibles et mettent en place des traitements automatisés aussi.
Tenir un registre des traitements à jour : les actions menées par l’entreprises qui engagent des données personnelles.

Des amendes sont mises en place : jusqu’à 20 millions d’euros ou 4% du chiffres d’affaires monde.

LE RGPD NE DIT PAS QU’IL EST INTERDIT DE POSSÉDER DE LA DONNÉE PERSONNELLE. IL STIPULE JUSTEMENT QUE CHAQUE TYPE DE DONNÉE DOIT ÊTRE ASSOCIÉ À UN NIVEAU DE SÉCURITÉ PLUS OU MOINS IMPORTANT.

Une notion clé dans le cadre du RGPD : l’Accountability. Il s’agit de la preuve que l’entreprise met en oeuvre des mécanismes et procédures internes pour démontrer son respect des règles sur la gestion de données personnelles.

LE PROJET RGPD : COMMENT SE METTRE EN CONFORMITÉ ?

On parle de PROJET RGPD  : l’entreprise a des perspectives d’évolutions, celle-ci doit adopter un comportement qui est durablement conforme au RGPD. Si une entreprise est conforme au RGPD à un instant T, elle peut ne plus l’être après une série d’embauches, d’acquisitions, ou une internationalisation par exemple. Ce projet peut être mené ou par un commité interne, ou bien en faisant appel à un cabinet externe.

Sensibiliser et former toutes les équipes

Arriver à penser RGPD ne se fait pas comme cela, mais beaucoup de ressources sont disponibles en ligne (E-Learning, serious games), des formations peuvent être réalisées en interne. L’objectif est d’éduquer les équipes lorsqu’elles sont confrontées à une problématique RGPD : un DRH qui veut demander l’âge d’un candidat lors d’un entretien par exemple. Une formation plus poussée s’adresse à des départements spécialisés qui manipulent plus de données personnelles, par exemple le service juridique, la DSI. Ceux-ci vont devoir monter en compétences sur le sujet.

Cartographier les données personnelles

Il s’agit de rassembler toutes les données personnelles qui transitent au sein de l’entreprise (papier et numérique). Pour se faire, il y a deux moyens dont les avantages et inconvénients sont complémentaires.

– Se servir d’un outil de cartographie type Cloud ou CRM (comme Inno’GDPR) : permet d’avoir des informations complètes, mais reste très intrusif car il scanne absolument tout.

– Mener une série d’entretiens avec les directions métiers de l’entreprise : permet de rassembler les personnes autour du projet RGPD. Ce process est cependant long et souvent fastidieux.

Initier le registre des traitements

Dès lors, la CNIL fournit un fichier dans lequel plusieurs informations sont à rentrer. Cette étape consiste à associer chaque donnée possédée par l’entreprise avec le moyen par lequel elle l’a eue (le traitement). Au bout de cette étape, on veut savoir comment chaque donnée a été obtenue et combien de temps l’entreprise doit la garder (le délai de conservation).

Exemples : Le nom est obtenu par un CV dans le cadre d’un processus de recrutement / L’adresse postale a été obtenue via un formulaire remplie en ligne pour la réception d’une newsletter papier etc.

2 moyens de réaliser cette étape :
– Les fichier Excels fournis par la CNIL (un par traitement, ça peut faire beaucoup de fichiers)
– Se servir d’un outil de pilotage de mise en conformité

LE RGPD NE S’APPLIQUE PAS DANS LA PROSPECTION COMMERCIALE. Tant que l’e-mail envoyé à une personne est selon l’entreprise dans son intérêt, le RGPD n’est pas concerné (par exemple, collecter les adresse postales des employés pour leur envoyer des chèques cadeaux).

Mener les études d’impact sur la vie privée (PIA)

Une fois le registre complété, il y a 9 critères qui doivent être vérifiés pour chaque traitement :
– Est-ce ce traitement fait l’objet d’une évaluation / d’un scoring ?
– Est-ce qu’il s’agit d’une décision automatisée?
– Est-ce que le traitement rentre-t-il dans le cadre d’une surveillance ?
– S’agit-il d’une donnée sensible ?
– Est-ce que ce traitement est appliqué à grande échelle ?
– Est-ce que j’applique un croisement de données ?
– Ce traitement s’adresse-t-il à des personnes vulnérables ?
– S’agit-il d’une technologie nouvelle ?
– Ce traitement empêche-t-il la personne d’exercer ses droits ?

Dès que 2 critères sur 9 sont remplis, une étude d’impact sur la vie privée s’impose.

A cette étape, l’entreprise s’engage à :
Mesurer la sensibilité des données via le respect des principes de droits fondamentaux
Évaluer le niveau risque liée à chaque traitement via l’analyse de risque.

Ces 2 points doivent être concordants : si une donnée est sensible, son niveau de risque doit être bas.

Définir un plan d’action

A ce stade, l’entreprise est en mesure de comparer sa situation actuelle avec les obligations du RGPD : elle opère un Gap Analysis. Pour réduire ce “gap” à 0, elle doit mener un plan d’action pour chaque acteur interne (l’expert cybersécurité de l’entreprise, le DSI, le service juridique etc) et des dates d’échéance. Plusieurs étapes pour le plan d’action :
– Établir une liste d’actions
– Évaluer les degrés de complexité
– Évaluer l’impact de chaque action
– Hiérarchiser les actions
– Fixer des dates de réalisations
– Identifier les acteurs pour chaque action

Pour se faire, les 2 mêmes moyens : un autre fichier Excel et un outil de pilotage de mise en conformité.

Mettre en oeuvre le plan d’action

Il s’agit ici d’un projet à part entière dans la mise en conformité.

– Cette mise en oeuvre concerne une multitude d’acteurs, DPO, avocats, expertise conseil etc. Chaque action doit impacter la mise en conformité : par exemple en arrêtant de demander l’âge de candidats lors d’un entretien, on diminue le nombre de données possédées par l’entreprise.

– Des tâches complexes : cette réglementation du RGPD met l’accent sur la logique de l’auto-contrôle. Mais chaque action, d’autant plus pour celles qui relèvent d’un transfert de donnée hors UE,  est soumise au contrôle du CNIL. Par exemple, Axa Groupe n’a pas moins de 400 associés pour sa mise en conformité.

Être 100% est très complexe, il y a déjà énormément de changements depuis la promulgation du règlement, mais tenir un registre d’accountability avec une documentation pour prouver la bonne volonté de l’entreprise dans sa RGPD compliance est primordial.

Nous espérons que ce workshop nous a plu, vous êtes les bienvenus aux prochains !