Introduction sur la conformité RGPD
#Entreprise
Introduction sur la conformité RGPD
Qu'est ce que c'est que "RGPD" ?
Le Règlement Général sur la Protection des Données, RGPD (ou GDPR en anglais) va entrer en vigueur le 25 mai 2018. Les personnes concernées auront 2 ans pour s'y rendre conforme.
Il permettra d’accroître sensiblement les droits des citoyens en leur donnant plus de maîtrise sur leurs données. En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue.
Quelles données sont concernées ?
- Toutes les données personnelles : identité, âge, email, téléphone, les adresses IP, les identifiants…
La loi définit le traitement de ces données comme ″toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation […], l’effacement ou la destruction″.
Qui est concerné ?
- Toutes les entreprises, quelle que soit leur taille ou activité
- Les associations & organismes publics
- Les fournisseurs tiers (sous-traitants) seront co-responsables des données traitées
- Services et départements : ventes, marketing/communication, juridique, DSI, RH, finance, production…
Quelles sont les exigences du RGPD ?
- Obligation de prouver leur implication dans la démarche de conformité
- Identifier précisément toutes les collectes de données (document de recensement justificatif à l’appui) en respectant des principes de sélection stricte et de conservation limitée
- Sécuriser les données contre les risques de perte, de vol ou de divulgation
- Récolte minimale et explicite des données
- Limitation de leur durée de conservation
- Autorisation à un droit d’accès, de rectification, de suppression, de portabilité, de transparence des données
- Audit et contrôle de la conformité
- Documenter les mesures et les procédures de protection
- Notifier la CNIL, sous 72h en cas de risque réel d'atteinte à la protection de la vie privée
- Être conforme au 25 mai 2020
Quels sont les risques encourus ?
- Jusqu'à 4% du CA ou 20M€
- Risques en terme d'image
- Pertes de marché potentielles
- Sanctions juridiques, jusqu'à 5 ans d'emprisonnement
Quelle démarche mettre en place ?
- Complexité du règlement (99 articles répertoriés en 11 chapitres)
- Mise en oeuvre de nouveaux process de gestion interne
- Renforcement des solutions de sécurité des données
Les modifications majeures côté dévelopeur web
- L'utilisateur doit pouvoir supprimer ses données (https://gdpr-info.eu/art-17-gdpr/)
- L'utilisateur doit pouvoir supprimer ses données envoyées aux outils tiers (https://gdpr-info.eu/art-19-gdpr/)
- L'utilisateur doit pouvoir exporter ses données, format non défini (ex: JSON) (https://gdpr-info.eu/art-20-gdpr/)
- L'utilisateur doit pouvoir éditer son profil (même si inscrit depuis Facebook) (https://gdpr-info.eu/art-16-gdpr/)
- Diviser la case à cocher "J'accepte les termes et conditions" en 1 case à cocher par autorisation nécessaire (https://gdpr-info.eu/art-7-gdpr/)
- Préparer un envoi de mail aux utilisateurs utilisant la solution afin de les informer du changement des conditions d'utilisation et pour les inviter à mettre à jour leurs préférences sur les données utilisées
- L'utilisateur doit pouvoir visualiser ses données, et que ce soit "lisible" (pas en JSON) (https://gdpr-info.eu/art-15-gdpr/)
- Vérifier l'âge de l'utilisateur, et s'il a moins de 16ans, demander une autorisation parentale (https://gdpr-info.eu/art-8-gdpr/)
- Désigner un DPO (Data Protection Officier) qui sera le chef d'orchestre chargé d'informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés, pour piloter en continu la conformité
Pour finir
Si vous souhaitez en savoir plus, et vous préparer pour Mai 2020, la CNIL a mis en place des documents inhérents à la mise en place de la RGPD.
Les 99 articles :
Exemple de suppression de donnée du cache de Google : https://support.google.com/websearch/answer/6349986?hl=en
Un guide de bonnes pratiques à destination des PME et ETI : http://www.bpifrance.fr/A-la-une/Actualites/RGPD-ce-qu-il-faut-savoir-38409
Bientôt d'autres articles avec des cas concrets d'utilisation...