Dans notre dernier article sur la RGPD, nous évoquions les tables de la Loi de la RGPD, les 8 commandements à constamment avoir en tête pour diminuer les risques d’une infraction au règlement européen.
De ces règles d’or découle un certain nombre d’obligations de fonctionnement pour tous les organismes (y compris les sous-traitants). Parmi ces obligations, l’une précise qu’ils doivent s’inscrire dans une posture de mise en conformité dynamique avec la RGPD.
Pour cela, tous les acteurs intervenant dans un traitement de données personnelles devront mettre en place à la fois des outils techniques, mais aussi des modes d’organisation différents.
Mais lesquels vous demandez vous ?
C’est exactement ça que nous allons détailler aujourd’hui !
L’approche prise par la RGPD sur la protection des données personnelles découle d’un concept des années 80 remis au goût du jour : celui de l’accountability. (responsabilité en français)
Ce concept vise à responsabiliser les individus dans la supervision de la protection des données. L’organisme qui fait la collecte devient alors responsable du traitement de celles-ci et ne peut pas blâmer quelqu’un d’autre pour une mauvaise utilisation. Cette approche influence toutes les mesures qui permettent à un organisme de se mettre en conformité.
Cette logique de responsabilisation au cœur de la RGPD implique plusieurs obligations :
Cette mise en conformité doit être dynamique, c’est-à-dire qu’elle n’est pas simplement mise en place au début puis laissée tel quel. Il faut qu’elle bénéficie d’un suivi et d’adaptations au fil du temps.
Cela veut dire que la protection des données doit être présente dans chaque nouvelle technologie traitant de données personnelles et lors de chaque utilisation de cette technologie. Et ce même en l’absence de la prévision de la protection des données personnelles dès la conception de la technologie. Vous devez donc adapter la technologie utilisée aux normes RGPD.
De plus, la mise en conformité doit être globale et concerne tous les acteurs de l’organisme.
Il existe deux catégories d’outils nécessaires à la mise en conformité :
L’obligation de mise en conformité concerne les technologies déjà existantes, mais évidemment aussi les nouvelles.
L’accountability n’a pas été le seul concept à être exhumé et remis sur le devant de la scène par la RGPD.
Celui de la protection des données dès la conception, ou Privacy by design en anglais. Développé dans les années 90 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario au Canada. Il est désormais repris à l’article 25 du RGPD.
Ce concept veut la mise en place de la protection des données a priori, c’est-à-dire dès la conception d’un produit ou d’un service, avant même la collecte de la première information. Vous devez donc penser la création d’un service avec la protection des données en tête.
Ainsi, certaines fonctionnalités doivent être réfléchies en amont. Par exemple, il est conseillé de mettre en place un système de pseudonymisation des données lorsqu’il n’est pas nécessaire de les conserver sous une forme identifiante et d’intégrer des mécanismes de purge automatique au-delà d’une certaine durée de conservation.
Il existe 7 concepts principaux autour duquel s’articule la Privacy by design :
Du côté de l’organisation qui collecte les données, il s’agit d’abord de ne collecter que les informations dont elle a réellement besoin, et de les traiter avec précaution et loyauté.
Pour les organismes qui collectent les données, le concept de “Privacy by design” est un défi.
Il demande de trouver le graal en garantissant aux clients un traitement des données à la fois sûr. Ce qui corresponde à leur besoin et tout ça sans collecter plus de données que nécessaire.
Cette garantie devra également être présente durant toute la conservation et l’utilisation des données.
Et bien sûr, tout cela en parfaite transparence sur les modalités et les finalités du traitement des données.
Enfin, il faut offrir au particulier le moyen de vérifier, modifier et supprimer les données enregistrées.
Pourtant (et même si cela semble difficile à croire) il y a des avantages à cette approche même pour l’organisme !
En intégrant l’idée de protection des données dès la conception, l’organisme réduit :
Et cela tout en se dotant d’un avantage compétitif puisqu’il pourra se différencier de ses concurrents non-conformes. Il bénéficiera aussi de plus de confiance de la part du particulier qui prendra moins de risque à partager ses données personnelles avec l’organisme.
La protection ne doit pas être une option, elle doit être totale et ne nécessiter aucune action supplémentaire de l’utilisateur.
Par défaut l’ensemble du processus doit être restreint au strict minimum en limitant :
Le principe de la minimisation de la collecte des données s’applique ici : seules les données nécessaires doivent être collectées.
Pour cela, il est judicieux de mettre en place des « Privacy Enhancing Technologies ». Ce sont des mesures permettant aux utilisateurs de concrétiser la minimisation des données en contrôlant leurs données, en les minimisant ou en les rendant anonymes à leur gré (cela peut être fait via l’interface du produit ou le cryptage de certaines données par exemple).
Le second principe qui s’applique est celui de la proportionnalité des techniques utilisées.
Les mesures utilisées par l’entreprise doivent être proportionnelles aux risques et aux violations que le traitement des données personnelles peut causer à la personne dont les données ont été collectées. C’est pour cela par exemple qu’il faut une très bonne raison pour pouvoir collecter des données comme l’appartenance religieuse ou l’orientation sexuelle.
Mais il ne suffit pas juste de suivre toutes ces mesures, il faut aussi pouvoir le prouver ! C’est donc ici qu’entre la dernière pièce du puzzle : la documentation.
Toutes ces obligations de mise en conformité doivent pouvoir être prouvées ; ce qui implique la mise en place d’une documentation spécifique.
Là où l’idée de privacy by design agit a priori de la collecte, la documentation couvre la conformité a posteriori.
Il est obligatoire de tracer et de formaliser les actions menées pour garantir les processus de protection des données. Il s’agit de pouvoir “prouver” à la CNIL à tous moments que l’organisme respecte les règles du RGPD.
Cette documentation permet également un pilotage en interne et de constituer des documents pour les sous-traitants afin de garantir cette conformité auprès de leurs clients.
Vous voilà donc un peu mieux équipé pour vous adapter aux nouvelles obligations de la RGPD !
Si vous voulez approfondir un sujet en particulier, le site de la CNIL regorge de documents utiles et clairs pour vous informer sur les conséquences de la RGPD.
Soan, la solution de gestion financière qui vous accompagne au quotidien.
Merci d’avoir pris le temps de lire notre article ! N’hésitez pas à visiter notre blog et notre FAQ 🙂
Rendez-vous sur le blog Soan ou abonnez-vous à nos réseaux sociaux : LinkedIn, Facebook ou Youtube.