RGPD – Comment gérer sa relation avec les sous-traitants ?

Gérer sa relation avec les sous-traitants, c’est indispensable pour garantir la conformité RGPD de ses traitements de données personnelles. En tant que client, vous jouez en effet le rôle du responsable de traitement, ce qui implique de respecter plusieurs étapes : rigueur dans le choix de vos fournisseurs, signature d’un contrat, instructions écrites. On vous dit tout dans cet article.

Choisissez des sous-traitants aptes à respecter le RGPD

Externaliser une prestation de services, souscrire une licence d’utilisation d’un logiciel SaaS n’est pas une décision anodine. Une entité tierce sera en effet appelée à manipuler, exploiter des données à caractère personnel pour le compte de votre entreprise.

Or en tant que responsable de traitement, vous êtes comptable de la manière dont les données sont exploitées. Y compris par vos sous-traitants. La responsabilité ne se délègue pas.

Il est donc désormais essentiel que vos critères pour choisir un sous-traitant englobent son aptitude à respecter les obligations légales. Pour cela, vous allez :

  • évaluer la maturité du sous-traitant, son expertise technique, son niveau de protection et de sécurité des données, ses ressources ;
  • examiner dans le détail les mesures techniques et organisationnelles mises en place au travers de toute une documentation (politique de protection de la vie privée, contrats, politique de sécurité…). En cas de contrôle, la CNIL vous demandera ce type de documents.

Vous appuierez bien sûr pour cela sur votre Data Protection Officer (DPO).

Signez un contrat avec vos sous-traitants

Avant le RGPD, il y avait la loi Informatique et Libertés du 6 janvier 1978. Les sous-traitants devaient principalement garantir un haut niveau de sécurité des données qu’ils manipulaient pour leurs clients.

Le Règlement Européen renforce ces contraintes réglementaires. Cette situation nouvelle a d’ailleurs conduit la CNIL à produire en 2017 un guide pédagogique à destination des sous-traitants.

Vous signerez ensemble un document qui encadrera la prestation délivrée et l’utilisation des données.

Ce document peut prendre diverses formes :

  • clauses de protection des données adossées à des conditions générales ou un contrat ;
  • annexe relative à la protection des données personnelles ;
  • contrat de protection des données (ou DPA – Data Processing Agreement).

Il décrit les caractéristiques du traitement. Et particulièrement :

  • son objet, qui correspond aux prestations réalisées ;
  • la durée de conservation des données collectées ;
  • les types de données traitées et les catégories de personnes concernées (clients, prospects, collaborateurs…) ;
  • les droits et obligations du responsable du traitement.

Le sous-traitant communique les données à une filiale ou un autre sous-traitant établi hors Union Européenne ? Des clauses contractuelles types seront ajoutées à l’ensemble contractuel. Il s’agit d’un texte standard, dont le modèle est fourni par la Commission Européenne et que les parties s’engagent à respecter pour sécuriser ce transfert de données.

Adressez des instructions écrites à vos sous-traitants

Le contrat constitue un support de base. Il sera complété par des instructions que vos équipes métiers adresseront aux services de votre prestataire.

En pratique, les échanges informels, oraux et téléphoniques, seront légion. Pourtant, il est important de les formaliser par écrit pour garantir la traçabilité du contrôle que vous exercez sur vos sous-traitants.

Ces instructions porteront par exemple sur les envois de fichiers, le transfert de données hors Union Européenne ou le recours à un nouveau sous-traitant.

En fin de contrat, c’est aussi vous qui déciderez de ce que le fournisseur doit faire de vos données :

  • Vous les restituer ?
  • Les supprimer, y compris toute copie ?

Quelles sont les obligations RGPD de vos sous-traitants ?

Le RGPD définit les obligations légales de vos sous-traitants. Le contrôleur européen à la protection des données les a précisées dans des lignes directrices, relatives aux concepts de responsable du traitement et de sous-traitant.

Quelles sont ces obligations ?

  • N’agir que sur la base d’instructions fournies par son client ;
  • Alerter le client en cas d’instructions non conformes à la réglementation ;
  • N’autoriser l’accès aux données qu’aux membres du personnel ou à des prestataires en ayant besoin pour l’exécution du contrat. S’assurer que ces personnes sont soumises à une obligation légale ou contractuelle de confidentialité.
  • Mettre en place les mesures appropriées au titre de l’obligation de sécurité. Votre entreprise imposera par des objectifs de sécurité à respecter. Le sous-traitant en définira le détail dans une politique de sécurité qui devra être tenue à disposition et même acceptée par son client. En cas de changement, cet accord devra être à nouveau sollicité.
  • Obtenir l’accord du client pour tout changement, ajout ou suppression de sous-traitant. Cet accord pourra prendre la forme d’une autorisation préalable ou d’un droit d’émettre des objections pendant une période donnée après que votre fournisseur vous ait informé.
  • Soumettre ces sous-traitants aux mêmes obligations de protection des données et de sécurité que celles lui incombant vis-à-vis du responsable de traitement. Dans tous les cas, le sous-traitant sera responsable des manquements de ses propres sous-traitants.
  • Assister le responsable de traitement dans la prise en charge des demandes d’exercices de droit (accès, rectification, effacement…). Le fournisseur vous transmettra les requêtes qu’il reçoit en direct et collaborera avec vous pour leur bonne prise en compte.
  • Assister le responsable de traitement dans l’accomplissement de ses propres obligations en matière de sécurité des données, de traitement des violations de données, de réalisation d’une étude d’impact DPIA-AIPD ou de consultation préalable de l’autorité de régulation.
  • Mettre à la disposition de son client toutes informations nécessaires pour démontrer le respect des obligations légales et pour répondre à un audit. En tant qu’entreprise cliente, au-delà de la signature d’un contrat, vous devrez en effet pouvoir contrôler le respect dans les faits des obligations légales par vos sous-traitants.

Conclusion : Encadrez vos sous-traitants pour maîtriser votre conformité RGPD

Le contrôle de vos fournisseurs et prestataires implique de revoir vos processus à l’œuvre. Il s’agit à la fois :

  • de prendre davantage en compte, pour l’avenir, la protection des données personnelles parmi les critères de choix des sous-traitants ;
  • de revoir l’encadrement de votre parc de fournisseurs.

C’est indispensable, vous serez comptable des manquements réglementaires de vos fournisseurs, par exemple en cas de fuite de données. Le délégué à la protection des données jouera un rôle fondamental dans cette démarche.

 

Article rédigé par Maxime Jaillet

An army of robots efficiently sorting hundreds of parcels per hour(Automated guided vehicle) AGV.

Cookies : sanction à l’encontre d’AMAZON EUROPE CORE

La formation restreinte a relevé que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire était instantanément déposé sur son ordinateur, c’est-à-dire avant que celui-ci n’exécute la moindre action. Or, la formation restreinte a rappelé que ce type de cookies, non essentiels au service, ne pouvait être déposé qu’après que l’internaute a exprimé son consentement. Elle a considéré que le fait de déposer des cookies concomitamment à l’arrivée sur le site était une pratique qui, par nature, était incompatible avec un consentement préalable.

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné la société AMAZON EUROPE CORE d’une amende de 35 millions d’euros.


Source : https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-google-llc-et-de-40-millions-deuros-lencontre-de

Loei, Thailand - May 10, 2017: Hand holding samsung s8 with mobi

Cookies : sanction à l’encontre de GOOGLE

Lorsqu’un utilisateur se rendait sur la page google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans action de sa part.

Ce type de cookies ne pouvant être déposé sans que l’utilisateur ait exprimé son consentement, la formation restreinte a considéré que les sociétés n’avaient pas respecté l’exigence prévue par l’article 82 de la loi Informatique et Libertés de recueil préalable du consentement avant le dépôt de cookies non essentiels au service.

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED d’un montant total de 100 millions d’euros d’amende.


Source : https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-google-llc-et-de-40-millions-deuros-lencontre-de

RGPD – Comment sécuriser vos envois de fichiers ?

Envoyer des fichiers de données personnelles à des tiers, fournisseurs ou prestataires, oui. Mais en conformité avec les exigences du RGPD. Minimisation des données communiquées, utilisation de méthodes sécurisées, encadrement des transferts de données hors Union Européenne… Certaines mesures techniques et organisationnelles seront à mettre en place. On vous dit tout dans cet article.

Pourquoi vos envois de fichiers doivent respecter le RGPD ?

Communiquer des données personnelles à un prestataire n’est pas une opération neutre.

  • En tant que client souscripteur d’une prestation de services ou d’une licence de logiciels, vous assumez la responsabilité des traitements de données personnelles. Cela inclut l’accès aux données que vous accordez à vos sous-traitants et leur exploitation.
  • Utiliser une méthode d’envoi peu sécurisée ou des protocoles obsolètes de communication de données augmente le risque qu’un tiers non autorité n’accède aux données.

Il est donc essentiel d’adopter certaines mesures élémentaires.

Limitez le partage de données au strict nécessaire

Un contrat a été conclu avec le fournisseur d’une solution en Saas. Celui-ci vous demande le fichier client pour le charger dans son outil.

Le collaborateur concerné n’est-il pas tenté d’aller au plus vite ? D’extraire le fichier d’un outil interne et de le transmettre en intégralité au fournisseur ?

Il faut pourtant absolument l’expurger au préalable des données inutiles compte tenu de la prestation de services qui sera opérée. Envoyer les coordonnées personnelles des salariés à un prestataire qui n’en a pas besoin est en effet un manquement réel aux obligations légales posées par le RGPD.

De la même manière que les collaborateurs de votre groupe n’accèdent pas à l’ensemble des bases de données internes, vous ne devez communiquer aux tiers que le strict nécessaire.

Sécurisez vos partages de fichiers par-email

Vous envoyez peut-être régulièrement des fichiers par e-mail.

C’est le moyen le plus rapide ; certainement pas le plus sécurisé.

  • Le risque d’erreur de manipulation est particulièrement fort. Il suffit d’envoyer par erreur un fichier, des collaborateurs par exemple, à un tiers non autorisé (un client, un investisseur) pour commettre une violation de données personnelles. Violation dont le RGPD vous impose une notification à la CNIL…
  • La messagerie électronique n’est pas en soi un moyen suffisamment sécurisé. Quiconque a un accès aux serveurs de messagerie de l’expéditeur ou du destinataire accède aux fichiers envoyés en clair.
  • Les messageries font l’objet d’attaques informatiques récurrentes : arnaques au président, tentatives de physhing, ransomwares…

Heureusement, la CNIL a diffusé des recommandations de sécurité, notamment en cas d’envoi de données via un réseau.

  • Utilisez un protocole assurant la confidentialité du transfert et l’authentification du serveur destinataire, par exemple SFTP ou HTTPS. Veillez à recourir aux versions les plus récentes.
  • Chiffrez les pièces-jointes, particulièrement les fichiers sensibles.
  • Ne transmettez pas les secrets (mots de passe, clé de déchiffrement) avec le même canal utilisé pour envoyer un fichier. Par exemple, si le fichier est envoyé par e-mail, envoyez par SMS le mot de passe sécurisant l’accès au contenu.

Que faire en cas d’envoi de données sur un support physique ?

DVD, Clé USB, disque dur portable… Pour certains documents confidentiels ou contenant des données sensibles, vous avez décidé de ne pas les communiquer via le réseau.

Pourquoi ne pas les transmettre via un support physique ? Bonne idée. Mais en cas de perte ou de vol, n’importe qui pourra y accéder.

Pour y remédier, vous allez chiffrer les données avant de les enregistrer sur le support. En cas de vol de la clé USB, personne ne pourra lire son contenu.

Comment transmettre des données via un serveur sécurisé ?

Cette fois, il ne s’agit plus de communiquer des fichiers par e-mail à vos sous-traitants. Ceux-ci recevront un permettant de télécharger les documents depuis un serveur.

C’est une façon très adaptée de sécuriser vos envois, en prévoyant quelques règles élémentaires.

  • Si le prestataire doit s’authentifier en se connectant au serveur, définissez une politique de mots de passe rigoureuse. Elle devra notamment respecter les exigences de la CNIL.
  • Si le serveur est fourni par une société tierce, assurez-vous d’avoir signé un contrat engageant avec elle et vérifiez la politique de sécurité informatique mise en application.
  • Utilisez des méthodes à l’état de l’art pour sécuriser le stockage et les protocoles d’accès aux données.
  • Attention à la localisation des serveurs. Privilégiez un hébergement en Union Européenne. Voire en France si vous êtes une collectivité territoriale ou tout autre organisme public.
  • Définissez un processus simple et rapide pour pouvoir faire stocker des fichiers sur un serveur sécurisé et les communiquer en interne. Envoyer un fichier par e-mail ne prend que quelques minutes. S’il faut attendre longtemps pour obtenir un serveur, cela pourra décourager plus d’une personne de respecter des mesures de sécurité élémentaires.

Quid en cas de transfert de données hors Union Européenne ?

Vous comptez transférer des données à un acteur établi hors Union Européenne ? Un tel transfert est possible mais il devra respecter quelques gardes-fous.

  • Quel est le pays de destination des données ? Vérifiez son niveau de protection des données tel que perçu par les autorités de régulation européennes.
  • La législation concernée est-elle considérée comme procurant un niveau de protection adéquat au regard des exigences européennes ? Si oui votre prestataire pourra se prévaloir d’une décision d’adéquation de la Commission Européenne pour sécuriser le transfert. Attention, dans le cas des Etats-Unis, le Privacy Shield a été récemment invalidé.
  • A défaut ou en complément d’une décision d’adéquation, signez des clauses contractuelles types avec votre sous-traitant.
  • En parallèle de cette signature, vous devrez analyser la réglementation dont dépend votre sous-traitant, notamment pour détecter d’éventuelles obligations de communication des données aux autorités publiques. Auquel cas, le Contrôleur européen à la protection des données (CEPD) a identifié une liste de mesures complémentaires (chiffrement, pseudonymisation…) qui vous permettront de maîtriser votre risque.

Conclusion : Envoyez vos fichiers en toute conformité avec le RGPD

Minimisation des fichiers, utilisation de méthodes de sécurité informatique à l’état de l’art…

Vous êtes maintenant prêts pour renforcer les process en place en interne et par lesquels vos collaborateurs partagent des données avec les fournisseurs et prestataires. Au plus grand bénéfice de votre conformité RGPD.

 

Article rédigé par Maxime Jaillet

Responsable de traitement, sous-traitant, responsable conjoint : Ce qu’il faut savoir

Quelle responsabilité assumez-vous dans les traitements de données que vous mettez en œuvre ? Le responsable de traitement est en première ligne, il doit respecter l’ensemble des exigences légales. Le sous-traitant est soumis aux instructions de son client, il veille à la sécurité du traitement. Les responsables conjoints se partagent quant à eux la charge de la conformité RGPD.

Responsable de traitement, un rôle en première ligne

Le responsable de traitement est l’entité commanditaire. Il détermine les objectifs poursuivis par le traitement et la manière dont les données seront exploitées. Cette maîtrise complète induit la responsabilité de soumettre l’ensemble des composantes du traitement aux exigences légales. Une responsabilité qui concerne l’activité interne de vos services mais aussi les prestations de services externalisées.

Qu’est-ce que le responsable de traitement ?

Le responsable de traitement, c’est celui qui met en œuvre le traitement de données à caractère personnel pour ses besoins propres (gestion du personnel, relation client, campagnes marketing…). Le donneur d’ordre en quelque sorte.

Il détermine les raisons (finalités) pour lesquelles des données sont traitées.

Il définit aussi les moyens concrets de traiter les données pour atteindre les objectifs recherchés :

  • les types de données qui seront collectées, les catégories de personnes concernées (prospects, clients, salariés…), la durée du traitement, les entités ou services qui auront un accès aux données…
  • Comment les solutions informatiques utilisées devront être configurées, comment les données seront utilisées.
  • Comment les données seront stockées et dans quel pays, les conditions de sécurité pour le stockage et les accès aux données…

RGPD – Quelles sont les obligations du responsable de traitement ?

Le responsable de traitement prend en charge l’ensemble des obligations légales imposées par le Règlement européen RGPD, notamment :

  • l’intégration des exigences légales dans les cahiers des charges lors de la conception des projets (par exemple minimiser la collecte au strict nécessaire, définir des durées de conservation adéquates…) ;
  • une démarche de transparence totale concrétisée par la rédaction d’une politique de confidentialité et par des mentions d’information ;
  • l’application d’une politique de sécurité à l’état de l’art ;
  • la réponse aux réclamations liées aux données personnelles (droit d’accès, à l’effacement, opposition à la prospection commerciale…).

Cette responsabilité complète impacte jusqu’à l’externalisation de prestations de services :

  • Le responsable de traitement ne doit choisir que des sous-traitants aptes à respecter les exigences légales ;
  • Il doit correctement encadrer, au sein d’un contrat, les prestations de ses sous-traitants ;
  • Revue de la politique de sécurité, audits récurrents… Il doit s’assurer que les engagements contractuels sont respectés, dans les faits.

Sous-traitant, aux ordres du responsable de traitement

Le sous-traitant est l’entité qui met en œuvre des traitements de données externalisés par son client. Il agit dans un cadre contractuel défini qui précise la manière dont les données pourront être utilisées. Ce statut implique qu’il n’assume pas toute la responsabilité du traitement, ce qui n’empêche pas des obligations non négligeables.

Qu’est-ce qu’un sous-traitant au sens du RGPD ?

Le sous-traitant est une entité qui traite des données personnelles pour le compte du responsable de traitement :

  • Il fournit et héberge des solutions informatiques permettant de manipuler des données (logiciel de gestion du personnel, outil de marketing automation…).
  • Il exécute des prestations de services (de call center, par exemple) que ses clients choisissent d’externaliser.

Quelles sont les obligations RGPD du sous-traitant ?

Depuis le Règlement européen relatif à la protection des données (RGPD), les obligations du sous-traitant comprennent notamment :

  • Le respect strict des instructions du client ;
  • Une obligation de confidentialité ;
  • L’accord préalable du client pour le recours à des sous-traitant ;
  • Des obligations de sécurité ;
  • La collaboration avec le client. Le sous-traitant facilite la réalisation d’études d’impacts DPIA – AIPD, la gestion des demandes d’exercices de droits, la notification des violations de données du client à l’autorité de régulation…

Responsable conjoint, le deuxième responsable du traitement

Cette fois, le traitement est déterminé, dans ses finalités comme dans ses moyens, non par une mais par plusieurs entités. Chaque responsable conjoint y joue ainsi un rôle indissociable de l’autre partie. Cela implique une responsabilité partagée dans la mise en œuvre des obligations légales encadrant le traitement des données.

Qu’est-ce qu’un responsable conjoint du traitement ?

On est responsable conjoint parce que :

Une analyse au cas par cas permettra donc de déterminer, dans une situation donnée, si les acteurs impliqués sont ou non responsables conjoints.

Quelles sont les obligations RGPD du responsable conjoint de traitement ?

Assumer une responsabilité conjointe signifie devoir prendre en charge certaines exigences légales. A savoir :

  • Formaliser un engagement (contrat) afin de répartir entre les responsables conjoints la prise en charge des obligations légales. Il faut par exemple déterminer :
    • qui informe les personnes concernées de la manière dont les données sont traitées ;
    • qui prend en charge les demandes d’exercice de droits et comment.
  • Mettre l’essence de ces engagements à disposition des personnes concernées, sur demande par exemple. Cette notion floue recouvre un niveau de transparence comparable à ce que l’on trouve dans une politique de confidentialité.
  • Identifier qui sera en contact avec les services de la CNIL.

Conclusion : Votre statut détermine votre responsabilité vis-à-vis de la conformité RGPD

Responsable de traitement ? Responsable conjoint ? Sous-traitant ? Votre qualification juridique détermine :

  • votre niveau de responsabilité ;
  • les obligations que vous devrez respecter, y compris dans votre relation avec vos fournisseurs et prestataires.

S’il est préférable de définir ce point dans un contrat, l’autorité de régulation mènera sa propre analyse de la situation pour s’assurer de ce qu’il en est en pratique.

 

Article rédigé par Maxime Jaillet

Comment mettre votre site web en conformité RGPD ?

Votre site web est-il conforme au RGPD et à la directive ePrivacy ? Un passage en revue de vos sites sera nécessaire compte tenu du risque réglementaire, e-réputation et business. Vous travaillerez dans ce cadre de nombreuses composantes du site telles que la gestion des cookies, la politique de confidentialité, les formulaires de collectes de données et la sécurité informatique.

Pourquoi mettre en conformité votre site web avec le RGPD ?

Le risque réglementaire, les sanctions potentielles, justifient de revoir le niveau de conformité de son site mais pas seulement. La protection des données est aussi une attente forte de vos utilisateurs et une condition de leur confiance. La non-conformité de votre site peut en outre avoir un impact sur votre e-réputation.

Des non-conformités faciles à détecter en cas de contrôle

Un site internet est une véritable vitrine du niveau de conformité de vos traitements de données à caractère personnel.

Même avec des connaissances techniques limitées, n’importe qui peut par exemple facilement observer que :

  • Vous déposez des cookies sans permettre de les accepter ou de les refuser ;
  • Votre site ne comporte pas de politique de confidentialité ou alors un texte minimaliste ;
  • Votre politique de durée de conservation des données collectées n’est pas claire. D’ailleurs, en appliquez-vous réellement une ?

La conformité des sites web, notamment concernant la gestion des cookies ou la sécurité du site, fait partie des sujets de vigilance pour la CNIL. Ne la négligez pas.

La protection des données, une préoccupation croissante pour vos visiteurs

Vos visiteurs se sentent de plus en plus concernés par la manière dont vous traitez leurs données à caractère personnel.

La transparence sur vos pratiques est certes une obligation légale. Elle est surtout un ingrédient indispensable pour préserver une relation de confiance avec vos visiteurs. Un site de e-commerce peut perdre des clients :

  • parce que les prospects n’ont pas confiance dans la manière dont les données sont traitées ;
  • parce qu’ils pensent que les traitements de données ne sont pas assez sécurisés.

Sans compter qu’un manque de confiance vous expose à un nombre accru de réclamations (droit d’accès aux données, effacement, désabonnement aux newsletters…).

La conformité RGPD, un enjeu de réputation pour votre activité

Presse généraliste, médias spécialisés dans les sujets technologiques, réseaux sociaux… Vos lacunes peuvent rapidement donner lieu à une couverture médiatique voire provoquer un véritable scandale.

  • De grands sites de e-commerce ou des médias ont fait les frais du scandale. Leurs bases de recrutement, de gestion du personnel ou de clients comportaient des commentaires désobligeants, insultants voire racistes.
  • Régulièrement, des médias spécialisés IT dévoilent des failles de sécurité observées dans les services proposés par des sociétés privées ou des organismes publics. Sans compter que toute violation de données de vos utilisateurs devra être notifiée à la CNIL.

Comment mettre son site web en conformité RGPD ?

Pour rendre vos sites conformes, il vous faudra d’abord (ré)étudier son fonctionnement. Quelles sont les rubriques proposées ? Y a-t-il des formulaires ? Proposez-vous la création de comptes utilisateurs ? Vous pourrez à partir de là revoir les mesures de protection des données en place.

Appliquez une politique de gestion rigoureuse de vos cookies

Les cookies sont de petits fichiers textes déposés sur le cache du navigateur de vos visiteurs lors du chargement du site. Vous en déposez, vos fournisseurs de solutions aussi (mesure d’audience, A/B testing) et même vos partenaires publicitaires.

A ce sujet, la CNIL a publié de nouvelles directrices et une recommandation. Comment faire pour respecter les règles ?

  • Installez une solution de gestion des consentements sur votre site. Vous pourrez ainsi les soumettre à un consentement préalable lorsque la réglementation l’exige.
  • Affichez une interface de gestion de cookies sur votre site. Vos visiteurs pourront ainsi les autoriser ou les refuser, de manière globale ou plus granulaire. Et ils pourront revenir sur leurs choix.
  • Profitez-en pour nettoyer vos codes sources. Retirez les outils que vous n’utilisez plus.

Revoyez votre politique de confidentialité

Votre site comprend-il une politique de confidentialité ? Cette rubrique vous permet d’informer vos visiteurs :

  • sur la manière dont vous traitez les données (quels types de données sont collectées, pendant, pour quelles finalités, pendant quelle durée, qui en est destinataire…) ;
  • sur les droits dont ils disposent (accès, rectification, effacement…) et comment les exercer.

Vous mettrez donc votre rubrique à jour qu’elle comporte le niveau de transparence et de précision exigé par le règlement européen relatif à la protection des données (RGPD).

De la même manière, vous intégrerez à votre site une rubrique détaillant les divers types de cookies déposés lors du chargement du site et leurs finalités d’utilisation.

Consentement, mentions… Adaptez vos formulaires de collecte de données

Une revue de tous vos formulaires (création de compte, contact, recrutement…) est également nécessaire.

  • Déterminez les champs obligatoires et signalez les de manière explicite ;
  • Insérez des cases cochables pour recueillir le consentement de vos utilisateurs, notamment pour les inscrire dans des bases de newsletters ou de prospection commerciale ;
  • Insérez au bas des formulaires une mention d’information courte ainsi qu’un lien de renvoi à la politique de confidentialité pour plus de détails.

La sécurité des données n’est pas une option

Assurez-vous que votre site applique une politique de sécurité à l’état de l’art. Cette politique intégrera notamment les points suivants :

  • sécurisez les flux de connexion en basculant en https vos formulaires de collecte de données, voire tout le site, ainsi que les cookies déposés ;
  • vérifiez qu’aucune donnée personnelle n’est transmise en clair dans les URL (ex : nom, prénom, numéro de téléphone…) ;
  • Mettez en place des procédures de restriction d’accès aux comptes utilisateurs. Personne ne doit pouvoir accéder aux devis et commandes de vos clients.

Conclusion : Mettez vos sites web en conformité avec le RGPD

Depuis l’entrée en vigueur du RGPD et la révision par la CNIL de ses lignes directrices et recommandation, il est temps pour vous de revoir la conformité de vos sites web.

Formulaires, comptes utilisateurs, gestion des cookies, sécurisation du site… Le travail est structurant et s’inscrira dans la durée. Vous devrez en effet réajuster vos sites au fur et à mesure qu’ils intégreront de nouvelles fonctionnalités.

Le régime des cookies est également appelé à évoluer. On attend en effet le remplacement de la directive ePrivacy par un Règlement européen qui harmonisera ces sujets.

 

Article rédigé par Maxime Jaillet

Loei, Thailand - May 10, 2017: Hand holding samsung s8 with mobi

Le RGPD menace-t-il Google, Facebook et autres GAFAM ?

Le RGPD viendra-t-il à bout des GAFAM ? Entre un cadre plus sévère et pourvu de sanctions dissuasives et une plus grande vigilance du grand public, les traitements de données massifs paraissent mis en cause. Le Règlement européen relatif à la protection des données n’empêche pourtant pas les entreprises de faire du Big Data, il définit simplement des exigences destinées à en encadrer la conformité.

 

Pourquoi le RGPD met en cause les pratiques des GAFAM ?

A l’évidence, le RGPD a provoqué des bouleversements dans la collecte massive de données. Remise en cause des pratiques déloyales, vigilance accrue de la société civile, sanctions plus dissuasives, influence du RGPD dans le monde… Mais plus qu’une menace visant les GAFAM, le RGPD peut être sources d’avantages sur les plans commercial et concurrentiel pour les entreprises souhaitant faire du traitement massif de données.

Vers la fin des pratiques déloyales de collecte de données ?

Avec le RGPD, les données personnelles ne doivent en aucune manière être collectées à l’insu des personnes concernées.

Il reste possible d’utiliser des technologies automatisées de collecte ou d’acquérir des données auprès de tiers si la personne en est préalablement informée, voire dans certains cas si elle y consent.

Le RGPD remet donc en question certaines pratiques.

C’est ainsi que Facebook s’est vue reprocher le fonctionnement des boutons de partage que les éditeurs de sites peuvent insérer sur leurs pages. Le seul lancement du site, incluant le chargement de ces boutons, permettaient à l’éditeur du réseau social de déposer des cookies et recueillir des données d’utilisateurs, membres ou non.

Le tout sans réelle information transparente ni recueil d’un consentement.

Cambridge Analytica et les tiers

Le RGPD témoigne d’une préoccupation croissante de la société civile concernant le recueil de ses données et l’utilisation qui en est faite.

En 2018, le monde est littéralement chamboulé par le scandale Cambridge Analytica (encore Facebook!), ses opérations de collecte massive de données et leur utilisation détournée à des fins politiques.

Mais au-delà de cette affaire, clients et prospects veulent savoir à qui leurs données sont transmises, quelles entités tierces, et pourquoi. Le doute peut rapidement se muer en scandale.

C’est ainsi qu’en réponse à la pression médiatique, Avast a été contrainte de fermer une filiale et stopper la transmission de données personnelles à des partenaires publicitaires.

Une réglementation désormais effective

Des sociétés comme Facebook et Google ont déjà été sanctionnées par la CNIL. Mais à 150 000€ l’amende, il n’y avait pas trop lieu de s’inquiéter.

Le RGPD réhausse sensiblement les plafonds qui peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaire mondial. En 2019, la CNIL a utilisé cet arsenal et infligé une amende de 50 millions d’euros à Google.

De tels montants deviennent désormais suffisamment significatifs pour amener à changer les comportements.

Règlement européen relatif à la protection des données, un texte d’influence

Le RGPD facilite la construction d’un marché européen de la donnée en imposant un cadre standard à l’ensemble des Etats Membres.

Certes, certaines questions restent soumises à la compétence des législations ou la marge d’interprétation des autorités de régulation nationales.

Mais sur de nombreux points, le règlement est d’harmonisation maximale, il ne laisse aucune marge de manœuvre.

De fait, ce texte a aussi inspiré l’adoption de lois similaires par de nombreux Etats dans le monde. Au point de pousser les Etats-Unis à se doter d’une loi fédérale servant d’alternative au cadre européen ?

Une réglementation créatrice d’avantages commerciaux ?

Se mettre en conformité avec les diverses obligations du RGPD nécessite de déployer une organisation. Dans certains cas, notamment pour des projets ayant une forte dimension technologique, cela requiert des investissements coûteux et un effort de développement intense.

D’une contrainte légale, le RGPD peut cependant devenir une opportunité marketing. Les entreprises vertueuses ont en effet intérêt à promouvoir leurs efforts afin de stimuler la confiance de leurs clients et de leurs prospects.

De la sorte, ces mêmes entreprises peuvent faire de leur conformité et de l’intensité de leurs efforts concrets de protection des données un facteur différenciant vis-à-vis de la concurrence.

Enfin, il semblerait que le RGPD puisse même servir d’arme concurrentielle. Certains en effet s’inquiètent que le RGPD ne profitent aux GAFAM. Le risque est en effet que sur leurs secteurs d’activités, ils soient les seuls acteurs à pouvoir absorber les efforts d’investissement nécessaires et induits par le RGPD. Une telle situation créerait alors une barrière à l’entrée exorbitante pour la concurrence.

Le RGPD menace donc finalement moins les GAFAM qu’il ne régule les pratiques de big data par les entreprises souhaitant en faire.

 

Comment le RGPD encadre-t-il les pratiques des GAFAM ?

Approche privacy by design, revue de la chaîne contractuelle, fondement légal, transparence, gestion des droits des personnes concernées, sécurisation des transferts hors UE… Autant d’exemples non exhaustifs qui montre que le RGPD définit un véritable cahier des charges d’exigences à respecter pour procéder à des traitements de données massifs.

Le Big data, pas interdit mais encadré

Le RGPD n’interdit à aucune entité proposer gratuitement des produits et services en contrepartie de l’utilisation des données personnelles recueillies des clients. Le modèle économique de certains GAFAM n’est ainsi pas en danger.

Il impose en revanche de mettre en place une démarche de type « privacy by design » qui, si le traitement présente un niveau de sensibilité élevé, pourra s’appuyer sur la conduite d’une analyse d’impact sur la protection des données.

Les entreprises sont ainsi maîtresses de la conformité de leurs traitements auxquels elles appliqueront des mesures :

  • techniques ;
  • organisationnelles ;
  • appropriées

de protection des données dès le stade de la conception des conception (durée de conservation, minimisation de la collecte, pseudonymisation, sécurité…).

En somme, chaque obligation légale du RGPD devient une spécification à intégrer dans les cahiers des charges.

Des contrats de sous-traitance à revoir

Hier encore, sous l’empire de la loi informatique et libertés de 1978, le sous-traitant n’était officiellement tenu que de respecter les instructions de son client et d’assurer la sécurité des données qu’il traitait pour son compte.

Le RGPD impose désormais d’insérer dans les contrats une clause détaillant fortement les rôles et responsabilités de chacun. Cela change la donne, notamment pour les GAFAM proposant des outils à des clients professionnels. Car en théorie, ils peuvent être soumis à deux statuts :

  • Sous-traitant. Si le rapport de force lui est favorable, le client souhaitera conserver une maîtrise totale des traitements de données dont il assume la responsabilité. Des prestataires de services exploitant les données du client notamment pour les besoins de l’exploitation de ses propres services  (études, finalités publicitaires…) pourront donc être écartés. Le sous-traitant doit en effet ne traiter les données que pour les finalités spécifiées par le client.
  • Responsable conjoint voire responsable principal du traitement ultérieur. Le prestataire décide d’exploiter les données pour ses propres fins et le client l’accepte. Selon les situations, le prestataire pourrait être responsable conjoint pour les traitements découlant de la prestation de services et responsable de traitement pour les opérations effectuées pour ses propres besoins.

Le fondement légal, condition de licéité des traitements

Le fondement légal est un critère déterminant pour la mise en œuvre d’un traitement des données. Quel est celui permettant à Google de croiser les bases de données collectées au travers de la galaxie de services qu’elle propose ? À Facebook de d’utiliser les données des membres de son réseau social à des fins publicitaires ?

Le consentement du client ? Un intérêt légitime assorti de garanties de protection appropriées de la vie privée ? Ces questions sont si importantes que pour cs acteurs, elles ont fait l’objet de contrôles par la Commission Nationale de l’Informatique et des Libertés.

De fait, cette base légale conditionne les mesures qu’il faudra intégrer aux projets de big data: parcours de consentement, dispositifs automatisés de suspension d’un traitement précédemment autorisé…

Transparence et droits : donner le contrôle à l’utilisateur

Le RGPD impose encore deux types d’obligations légales :

  • informer correctement l’utilisateur des traitements mis en œuvre. Cela se fera par une politique de confidentialité claire et accessible sur le fond comme sur la forme.
  • permettre à l’utilisateur d’exercer les droits dont il dispose : accès, rectification, effacement, opposition… Ceci de manière simple mais aussi en construisant une infrastructure technique permettant, par exemple, de supprimer ses données, ou de répercuter un choix d’opposition à la prospection, dans toutes les bases de données concernées.

Sécuriser les transferts de données hors UE

Enfin, le transfert de données depuis la France vers un État situé hors UE, ne présentant pas un niveau de protection adéquat, devra être encadré.

S’agissant des Etats-Unis, le client peut par exemple :

  • retenir un prestataire de service ayant adhéré au protocole Privacy Shield  ;
  • signer avec lui des clauses contractuelles types, dont le contenu est standardisé par la Commission européenne.

Hacker

8 raisons qui rendent cruciale la sécurité informatique de votre entreprise

La sécurité informatique a-t-elle une place suffisante dans la stratégie de votre entreprise ? La crise du coronavirus n’est pas que sanitaire ou économique, elle révèle les vulnérabilités informatiques voire l’importance de remettre à plat sa politique de sécurité des systèmes d’information. Les raisons ne manquent pas : travail à distance, menaces cybercriminelles, transition vers le digital…

La sécurité informatique menacée par le travail à distance

De nombreuses entreprises se sont adaptées à la période de confinement en organisant, au moins partiellement, la poursuite de leurs activités à distance.

Dans un premier temps, l’urgence a été de prendre en charge ce défi technologique complexe. L’heure est maintenant à évaluer les impacts sur le niveau de sécurité informatique.

Chaque entreprise est en effet en principe tenue de mener une analyse des risques, d’identifier les plus sensibles et prioritaires d’entre eux et d’y répondre par la mise en œuvre de mesures de sécurité techniques et organisationnelles. Or si les éléments de base d’une politique de sécurité informatique ne sont pas en place, l’activation à distance d’un poste de travail en mettra en exergue les vulnérabilités. Et elles peuvent être nombreuses dans le cas du nomadisme généralisé :

  • Les attaques informatiques peuvent prendre la forme notamment d’une intrusion via les ports des postes de travail des collaborateurs ;
  • Face aux menaces, les équipes de sécurité devront rester réactives alors qu’elles sont éclatées et contraintes de coopérer à distance.

La continuité d’activité fragilise la sécurité informatique

Le télétravail généralisé peut aussi inciter à des conduites à risque en matière de cybersécurité.

Au-delà de la préservation des accès à distance aux répertoires de travail courants et aux logiciels usuels (messagerie, chat…), les entreprises ont surtout dû favoriser la coopération virtuelle, par le biais de digital workplaces.

Le parc informatique interne a ainsi été enrichi, notamment par le recours à des outils de vidéoconférence dont le niveau de sécurité constitue un enjeu majeur.

Pour préserver la poursuite des projets en cours, les collaborateurs peuvent par ailleurs être tentés de jouer la facilité. Tel logiciel d’entreprise rencontre un bug ? Le VPN ne charge pas correctement ? Impossible de se connecter à la messagerie de l’entreprise ? Qu’importe. Des solutions simples d’utilisation peuvent être souscrites en ligne, quitte à fermer les yeux sur les instructions internes en matière de sécurité.

L’ingénierie sociale, moteur des attaques contre la sécurité informatique

Les entreprises doivent absolument sensibiliser les collaborateurs à l’importance de la sécurité informatique et les inciter à adopter une bonne hygiène informatique. En effet, chacun est susceptible, par sa négligence ou son ignorance, de constituer le maillon faible qui affectera l’ensemble de l’édifice.

Du reste, la peur et la volonté de bien faire pourront plus facilement pousser certains collaborateurs à réaliser des actions dangereuses, pour la sécurité des données. C’est aussi pour cela les que de nombreuses mécaniques d’attaques malveillantes tendent à exploiter les vulnérabilités humaines :

  • Hameçonnage : convaincu de recevoir un e-mail d’une institution publique, voire de son employeur, un collaborateur partage ses coordonnées bancaires avec des cyberdélinquants.
  • Ransomware : un collaborateur pense télécharger un bulletin de paie ou un bulletin fournisseur. En réalité, il ouvre un fichier malveillant envoyé par un pirate. Son ordinateur est rapidement infecté et entièrement crypté. L’accès aux fichiers confidentiels de l’entreprise est bloqué.

Le retard sur la conformité au RGPD aggrave la sécurité informatique

Deux ans après l’entrée en vigueur du Règlement Général relatif à la protection des données (RGPD), force est de constater que de nombreuses entreprises ne sont toujours pas conformes aux exigences européennes.

Ce retard dans la conformité laisse entrevoir des insuffisances dans la gouvernance des données. Cela augmente indubitablement la surface d’attaque par des personnes malveillantes, en lui donnant accès que l’entreprise ne devrait pas stocker :

  • Parce que les données ont été collectées de façon déloyale ou sans fondement juridique valable ;
  • Parce que les accès aux données ne sont pas assez restreints compte tenu des finalités poursuivies ;
  • Parce que les données auraient dû être supprimées au-delà d’une certaine durée de conservation.

La notification de violations de données, une composante réelle de la sécurité informatique

Le RGPD généralise une obligation autrefois restreinte aux opérateurs : la notification des violations de données personnelles, 72h après en avoir pris connaissance.

Cette notification implique que l’entreprise se soit dotée d’une procédure décrivant notamment les étapes de gestion d’un incident :

  • son identification, par les services internes, par un fournisseur ou par une source tierce ;
  • sa remontée aux services compétents ;
  • l’organisation d’une cellule de crise pilotant son analyse mais aussi son traitement ;
  • la constitution d’un dossier de notification de la violation auprès de la CNIL ;
  • l’information des personnes (collaborateurs, clients, prospects, fournisseurs…) dont les données ont fait l’objet de la violation.

Une entreprise ne disposant pas de processus efficace en la matière pourra ainsi être contrôlée par la CNIL voire sanctionnée pour défaut de notification de violation ou pour l’insuffisance de sa politique de sécurité des données.

Hôpitaux, collectivités territoriales… quand la sécurité informatique des données sensibles est menacée

Ces dernières années, les cyberattaquants se sont particulièrement intéressés à de nouvelles cibles. A côté des entreprises, le risque cyber expose désormais les hôpitaux, les collectivités territoriales à des cyberattaques.

Cet intérêt croissant s’explique non seulement par la vulnérabilité potentielle de ce type d’organisation mais encore par la sensibilité et la volumétrie des données traitées. Notamment les données à caractère personnel des patients ou administrés.

Que le poste de travail d’un ou plusieurs membres du personnel travaillant dans un hôpital ou dans une commune ait été infecté par un ransomware et l’activité de l’organisme s’en trouvera fortement perturbée.

Au-delà, ces exemples montrent la nécessité pour chaque entreprise traitant des données personnelles de cartographier les risques affectant son parc informatique. Et de prioriser la sécurisation des bases et infrastructures les plus sensibles.

La transition vers le digital et ses nouveaux risques de sécurité informatique

La digitalisation des activités fait partie des enjeux majeurs, pour les entreprises comme pour les administrations publiques. Et ce depuis plusieurs années. De ce point de vue, de nombreux auteurs anticipent déjà une accélération de cette numérisation des activités à la suite de la période de confinement.

Or la transition vers le digital génère des enjeux primordiaux en matière de sécurité informatique et de confidentialité.

  • De nouveaux outils doivent remplacer d’anciens processus papiers ou les fichiers Excel d’antan. Ces outils, le CRM ou l’ERP par exemple, permettront de centraliser des processus métiers critiques et devront donc faire l’objet d’un effort soutenu de sécurisation informatique.
  • La digitalisation des activités passe par une exploitation plus massive et plus efficace de la data. C’est ainsi que pour mieux personnaliser les communications publicitaires, il faut des outils de collecte de la donnée online, améliorer la collecte offline et réconcilier tout cela. CRM, DMP, CDP… les infrastructures se multiplient et chacune devra être auditée.
  • La modernisation du système informatique pose tôt ou tard la question de basculer, en totalité ou partiellement, l’activité sur le cloud. Là encore, l’enjeu de sécurité est critique et portera autant sur la délimitation précise des activités qui y seront ou non déportées, le choix des fournisseurs et leur encadrement contractuel que sur la sécurité des infrastructures de stockage des données.

Télétravail généralisé, le risque sécurité informatique d’après ?

Une fois le déconfinement totalement mis en place, reviendra-t-on au monde d’avant ? Non. Certaines entreprises ont d’ores et déjà annoncé leur volonté :

  • de renforcer le télétravail en interne ;
  • de généraliser définitivement le télétravail;
  • de l’imposer en fermant certains locaux.

Ces entreprises auront là encore d’importants défis à relever en termes de sécurité informatique.

Au-delà des cas ponctuels de travail à distance ou de nomadisme qui pouvaient déjà exister, ces entreprises devront faire face à des enjeux d’une toute autre ampleur puisqu’il faudra faire cohabiter activité dans les locaux/activité à distance voire se résoudre à des accès à distance définitifs aux bases et applications de l’entreprise par les collaborateurs.

Conclusion : la sécurité informatique a une importance primordiale

Le coronavirus aura été un révélateur des vulnérabilités des politiques de sécurité informatique de nombreuses entreprises. Mais aussi certainement un accélérateur de tendances déjà en place : la montée en puissance de la cybercriminalité et la digitalisation des activités des entreprises.

Tous ces facteurs témoignent de l’importance de remettre à plat les politiques existantes, d’instaurer les bases mais plus globalement une politique robuste qui permettra à l’entreprise de maîtriser le risque, tant lié à des attaques de pirates qu’aux exigences réglementaires, et de mieux sécuriser le patrimoine informationnel de l’entreprise. Une veille des publications de l’ANSSI est donc indispensable.

RGPD – Faut-il désigner un Délégué à la Protection des Données ?

Avez-vous désigné un Délégué à la Protection des Données au sein de votre organisation ?  Acteur-clé de la conformité au RGPD des activités impliquant du traitement de données personnelles, sa désignation est recommandée voire parfois obligatoire. Le Data Protection Officer facilite en effet la création d’une culture informatique et libertés en interne, l’intégration des exigences légales dans les projets et la maîtrise du risque réglementaire.

Délégué à la Protection des Données, pour qui ?

La question de désigner un Délégué à la Protection des Données se pose pour toute entité traitant des données à caractère personnel. Ce que votre entité soit une entreprise utilisatrice d’outils informatiques, un fournisseur de solutions ou un sous-traitant. Cette désignation est même obligatoire dans certains cas, notamment pour les instances publiques, les sociétés technologiques ou traitant des données sensibles.

Entités clientes et sous-traitants, tous concernés par le RGPD

Le Règlement européen 2016/679 du 27 avril 2016 (RGPD) s’applique à toute entité réalisant des traitements de données à caractère personnel :

  • Les entreprises, associations ou organismes publics au titre de leurs activités courantes (la relation avec les clients/administrés ; la gestion du personnel…) ;
  • Les fournisseurs de solutions et prestataires de services appelés à manipuler des données pour le compte de leurs clients.

Selon l’ampleur de la tâche et l’importance des traitements opérés, il peut donc être logique de désigner un Délégué à la Protection des Données qui sera le référent en interne sur ces questions.

Le DPO, une obligation légale pour les instances publiques

Les autorités publiques et les organismes publics sont tenus de désigner un Délégué à la Protection des Données :

  • les collectivités territoriales (ex : communes, conseils départementaux ou régionaux…) ;
  • les établissements publics, nationaux ou locaux ;
  • les établissements scolaires et musées nationaux ;
  • les services de l’administration centrale de l’État.

A l’inverse, cette désignation est facultative :

  • pour les juridictions agissant dans l’exercice de leurs fonctions ;
  • pour les organismes privés chargés d’effectuer une mission de service public ou d’exercer l’autorité publique.

Le DPO, un impératif pour les sociétés technologiques

Un DPO devra également être désigné si l’activité cœur de cible de l’entité conduit à opérer à grande échelle un suivi régulier et systématique.

Tel est le cas notamment des start-up et sociétés commercialisant, à destination de clients B2C ou B2B, des produits et services technologiques :

  • un opérateur exploitant un réseau de télécommunication ;
  • le fournisseur d’une application mobile de géolocalisation et de calcul d’itinéraires.

La base des adhérents d’une fédération sportive ou celle des clients d’une société de transport urbain seront considérées comme faisant l’objet un traitement de données à grand échelle. Ce n’est pas le cas pour un petit commerce local (boucher ou fleuriste par exemple) ou une association de quartier.

Le DPO obligatoire en cas de traitements de données sensibles

La désignation d’un Délégué à la Protection des Données est encore obligatoire pour des entités dont l’activité cœur de cible implique la manipulation à grande échelle de données sensibles :

  • données de santé ;
  • données révélant des opinions politiques, des convictions religieuses ou philosophiques ou une appartenance syndicale ;
  • données relatives à la vie et l’orientation sexuelles ;

Tel est le cas par exemple pour :

  • une association de lutte contre une maladie cardiovasculaire ;
  • un hôpital ;
  • une société proposant des prestations de médecine du travail.

A l’inverse, si vous êtes un avocat ou un médecin exerçant à titre individuel, la désignation d’un DPO ne vous sera pas imposée.

Pourquoi désigner un Délégué à la Protection des Données ?

Le Délégué à la Protection des Données joue un rôle de facilitateur. Il contribue à propager une culture informatique et libertés globale dans votre entreprise. Il accompagne également l’embarquement des exigences réglementaires dans tous vos projets. Enfin, il facilite la relation avec les plaignants comme avec l’autorité de régulation.

Pour maîtriser la responsabilité découlant des traitements de données à caractère personnel

La réglementation informatique et libertés instaure des obligations légales qui sont assorties d’une sanction en cas de manquement.

Cette responsabilité est d’autant plus forte qu’elle concernera les traitements de données mis en œuvre :

  • par vos services ;
  • par vos fournisseurs et sous-traitants pour votre compte.

En découle un risque que vous maîtriserez mieux en désignant un Délégué à la Protection des Données.

Pour garantir une conformité globale de votre activité

C’est un niveau global de conformité des traitements de données effectués qui doit être recherché. Vous mènerez pour cela une analyse des risques et déterminerez les mesures de protection et de sécurité appropriées pour y répondre.

Le DPO facilite la recherche de ce résultat.

Pour imprégner tous vos projets du privacy by design

Le Délégué à la Protection des Données sera régulièrement consulté par vos services.

Il facilitera ainsi la mise en conformité RGPD progressive des activités existantes et l’embarquement des exigences réglementaires dans les nouveaux projets dès leur conception. Une démarche dite de privacy by design sera ainsi mise en place.

Pour gérer la relation avec les plaignants et l’autorité de contrôle

Collaborateurs, administrés, clients, prospects… Tous ont des droits sur les données personnelles que vous traitez. Un Délégué à la Protection des Données s’assurera que ces réclamations sont correctement prises en charge. Il limitera ainsi le risque que l’une d’elle ne fasse l’objet d’une plainte auprès de la CNIL.

Il est d’ailleurs l’interlocuteur-référent de la CNIL :

  • pour répondre à ses questions et observations ;
  • pour faciliter la bonne réponse à apporter en cas de contrôle de vos activités.

Conclusion : Le Data Protection Officer, une obligation pour votre activité ?

Le Délégué à la Protection des Données est un interlocuteur incontournable pour l’intégration des exigences informatiques et libertés dans vos projets.

Vous devrez déterminer s’il est nécessaire d’en désigner un compte tenu de votre activité. Dans tous les cas, il facilitera l’installation d’une démarche de privacy by design. A ce titre, il contribue à renforcer la confiance que vous accordent vos clients, prospects, administrés et collaborateurs.

Business analyse idea concept.

TPE, PME, Grands groupes – Le RGPD est-il le même pour tous ?

Grands groupes, TPE, collectivités territoriales… les exigences du RGPD sont les mêmes pour toute entité traitant des données à caractère personnel. Néanmoins, l’effort de mise en conformité varie en fonction du risque. Les attentes seront moindres envers des PME traitant peu de données. A l’inverse, le règlement général relatif à la protection des données s’appliquera dans toute sa rigueur aux grands groupes et aux start-up technologiques.

Pourquoi le RGPD est moins sévère pour les TPE – PME ?

Si les obligations légales sont théoriquement les mêmes pour tous dès lors qu’une entité traite des données à caractère personnel, leur mise en œuvre sera moins lourde pour les PME. Ceci car leurs activités implique pas ou peu de collecte de données.

Certaines PME sont peu digitalisées ou traitent une petite quantité de données personnelles

C’est le risque induit par les traitements de données mis en œuvre qui détermine le niveau de vigilance et de protection à accorder à leur sécurisation.

De fait, de nombreuses entreprises sont peu digitalisées ou génèrent l’essentiel de leur chiffre d’affaire hors ligne. Par exemple :

  • Une boucherie commercialise ses produits au sein même de son établissement ;
  • une entreprise de vente par correspondance peut n’avoir qu’un besoin de présence limité sur Internet. Et donc traiter peu de données en ligne.

Les traitements de données à caractère personnel mis en œuvre dans ces situations ne sont pas complexes (base de prospection téléphonique locale, fichier papier de relation clients ou de livraison…)… et vont concerner un nombre de personnes restreint.

Le RGPD s’appliquera mais avec un degré de rigueur limité.

La prospection commerciale limitée aux opérations courantes

Vous lancez probablement des campagnes de prospection téléphonique. Peut-être inscrivez-vous vos prospects dans une base d’emailing afin de leur adresser épisodiquement une newsletter ? A moins que vous ne préfériez les démarcher par téléphone pour leur présenter les dernières actualités de votre établissement ?

Quoiqu’il en soit, il n’y a pas besoin de réaliser un profilage de vos prospects ni de croiser des bases de données.

Les exigences du RGPD seront donc respectées en adoptant des précautions usuelles :

  • purge des contacts inactifs ;
  • vérification du consentement et de l’information délivrée aux prospects concernant les traitements de données mis en oeuvre ;
  • gestion des oppositions à la prospection

Marché local ou B2B… ces activités peu contraintes par le RGPD

La volumétrie des données traitées et l’importance du nombre de personnes concernées par un traitement de données décident du niveau de sensibilité de celui-ci.

Par exemple, un fermier ou un petit commerçant local peuvent se doter d’un site de e-commerce au même titre que le géant Amazon.

Leurs bases de données clients et prospects seront bien moins importantes que celle du champion international.

Les obligations à respecter seront juridiquement les mêmes dans les deux cas mais le niveau de rigueur exigé par le RGPD pourra être amoindri pour les PME.

De même, pour un commerçant spécialisé dans du B2B, les enjeux en matière de vie privée seront moins structurants. La mise en conformité de ces traitements de données sera donc plus légère. Par exemple, il n’y a pas besoin d’un consentement pour constituer une base de prospection e-mail.

Site vitrine, CRM, marketing automation… Un parc applicatif limité

L’exploitation de la data constitue une orientation stratégique pour les grands groupes. La tendance est à collecter toujours plus de données et réconcilier les bases existantes mais exploitées en silo. Ce dans l’optique d’acquérir une vision la plus complète possible des interactions entre le client/prospect et la marque.

Ces marques ont donc besoin de se doter d’infrastructures de traitements de données toujours plus complexes.

L’activité d’une PME peut au contraire ne requérir qu’un site vitrine basique et des solutions clé en main de gestion de la relation clients ou de prospection.

Là encore, le RGPD est applicable. Mais ces activités sont usuelles et ne nécessiteront pas d’efforts de mise en conformité très lourds.

La mise en conformité RGPD est la même pour tous les projets sensibles

Il serait faux de penser que le RGPD sera léger à mettre en œuvre pour n’importe quelle PME ou petite structure. En réalité, les exigences s’accroîtront dès lors que l’exploitation de la data sera au cœur du business de l’entreprise. Le lancement de projets innovants s’appuyant sur des solutions technologiques nécessitera aussi une vigilance renforcée.

Quand les données sont au cœur du business

De nombreuses start-up fournissent des solutions technologiques faisant de la donnée un actif essentiel :

  • Plateformes de profilage de candidats au recrutement ;
  • Plateformes de personnalisation du ciblage publicitaire en ligne ;

Pour ces entreprises, le RGPD s’appliquera dans toute sa rigueur.

De fait, ses exigences devront être intégrées dès la phase de conception de ces projets afin d’en assurer une sécurisation optimale tout en préservant la viabilité de l’activité.

En effet, le RGPD peut impacter jusqu’au modèle économique d’une entreprise. C’est ainsi que la société Fidzup a dû fermer définitivement ses portes en raison du non-respect des règles applicables en matière de collecte de données de géolocalisation.

Les données sensibles au cœur de toutes les vigilances

Les données à caractère personnel présentent en elles-mêmes un niveau de sensibilité justifiant les exigences requises notamment par le RGPD.

Mais certaines données sont plus critiques que d’autres : origines raciales, état de santé, orientations sexuelles, convictions politiques ou religieuses

Le traitement de ce type de données requiert des mesures supplémentaires. C’est ainsi qu’en 2015, la CNIL a mis en demeure plusieurs sites de rencontres, faute notamment d’avoir collecté un consentement spécifique pour le traitement de ces données.

Attention : n’importe quelle entreprise peut être conduite à traiter ce type de données. Il suffit :

  • d’un prospect utilisant le formulaire de contact du site et souhaitant fournir des éléments d’information liés à sa santé ;
  • d’un conseiller client enrichissant le profil d’un consommateur plaignant à partir d’informations sur ses convictions religieuses.

Ressources humaines : gestion du personnel ou surveillance ?

Comme celles des clients et les prospects, les données des salariés sont soumises aux exigences de la réglementation informatique et libertés.

Certaines PME peuvent toutefois être tentées de recourir à des solutions technologiques afin d’optimiser le pilotage de l’activité.

  • l’installation de caméras de vidéosurveillance avec le risque d’une surveillance constante de l’activité d’un salarié ;
  • la mise en œuvre de dispositifs biométriques de gestion des accès…

Leur plan de mise en conformité s’alourdira ainsi avec le lancement préalable d’une analyse d’impact relative à la protection des données.

 

L’innovation technologique fait le risque Informatique et Libertés

De manière générale, la digitalisation des activités de la PME peut entraîner des risques.

Une PME en recherche de nouveaux clients peut en effet vouloir expérimenter des nouveautés marketing ayant un fort impact technologique.

  • Campagnes de retargetting display,
  • Installation d’une plateforme de gestion des données (DMP)…

Ces projets peuvent être lancés à condition de faire l’objet de garanties sérieuses de conformité. Ce qui pourra induire pour la PME concernée des efforts dépassant largement ce qui aura été nécessaire pour la mise en conformité des activités courantes.

 

Sous-traitance, la responsabilité ne se délègue pas

Faute de moyens, de nombreuses TPE et PME externalisent certaines prestations opérationnelles voire délèguent la réflexion stratégique sur certains aspects.

A ce sujet, pourquoi ne pas se libérer des tâches répétitives via de la sous-traitance offshore ? Par exemple, pour :

  • la gestion des réclamations ;
  • l’organisation de campagnes de prospection téléphoniques.

Le transfert de données hors Union Européenne en découlant génère pourtant un risque informatique et libertés.

De façon générale, le cadrage contractuel des sous-traitants est une nécessité pour maîtriser le risque d’opérations de traitements réalisés pour le compte du client et sous sa responsabilité.

Ce cadrage devra en l’occurrence porter également sur ce transfert de données.

Conclusion : une nécessaire approche par les risques

L’impact du RGPD sur l’activité économique d’une TPE-PME ou d’une entité publique de petite taille dépend des traitements de données opérés.

De fait, chaque entité responsable de traitement doit évaluer les risques inhérents aux traitements de données mis en œuvre et appliquer les mesures appropriées.

Il est donc logique de penser que l’application du RGPD sera moins rigoureuse pour les TPE-PME que pour les grands groupes. Les start-ups technologiques ou les petites entreprises mettant en œuvre des projets innovants devront à l’inverse appliquer des mesures plus strictes.

C’est cette vision par les risques que Data Vigi Protection applique au quotidien. Au travers de notre réseau de DPO, nous proposons une gamme de prestations de mise en conformité qui s’adapte en fonction du niveau de risque des traitements de données personnelles utilisés.

Les PME bénéficieront ainsi d’une mise en conformité de leurs activités sans lourdeur excessive.