AlgoBlog

Les actualités et nos conseils sur la sécurité

Tous publics
Afficher seulement les articles tous publics
Public technique
Affichement seulement les articles techniques

Arrivée du RGPD : quelles obligations pour les entreprises ?

Jean-Philippe 29 janvier 2018 Tous publics

Cet article décrit les grandes étapes à réaliser pour se mettre en conformité au RGPD. Toute entreprise traitant des données personnelles pour son activité devra se conformer aux obligations du RGPD, applicable à partir de mai 2018. La responsabilité des organismes est renforcée, et tout organisme concerné devra à minima démontrer, à partir de cette date, qu'elle a entamé les démarches pour se conformer au règlement, sous peine de lourdes sanctions financières.

Les mesures techniques et organisationnelles appropriées devront être entreprises pour garantir notamment la confidentialité, l'intégrité, la disponibilité et la résilience des systèmes et des services de traitement.

Objectifs du règlement européen RGPD

Le règlement européen RGPD (Règlement Général de Protection des Données) ou GDPR (General Data Protection Regulation) vise à renforcer à renforcer les droits des personnes concernées, notamment en améliorant la protection des données.

Tout traitement sur des données à caractère personnel doit, en principe, respecter les fondements suivants :

  • le consentement de la personne concernée,
  • le respect des libertés et des droits fondamentaux de la personne,
  • le respect des obligations légales en termes de sécurité,
  • les données doivent être collectées pour des finalités explicites, spécifiques et légitimes.

Ces dispositions seront applicables pour tous les états membres de l'Union Européenne; la GDPR remplacera la Directive Européenne sur la protection des données personnelles adoptée en 1995.

Qui est concerné par le RGPD ?

Le RGPD s'applique aux traitements de données à caractère personnel. Les données personnelles sont des données qui identifient, même indirectement, une personne physique. Il peut s'agir d'un fichier de gestion des ressources humaines, d'un fichier clients et prospects, comme d'un simple numéro de badge ou d'une adresse IP.

Si la définition des données personnelles est particulièrement large, celle de traitement ne l'est pas moins, puisqu'il s'agit de toute opération qui porte sur des données personnelles.

Finalement, toutes les entreprises et les administrations traitent des données personnelles et sont donc concernées par le RGPD.

Les 6 grands principes définis par le RGPD

- Licéité, transparence et loyauté : le traitement doit être licite, c'est à dire reposer sur le consentement de la personne concernée; les personnes concernées par un traitement les concernant doivent être informées (transparence); le traitement doit correspondre à la description faite (loyauté).

- Limitation sur les finalités : les finalités sur les traitements doivent être spécifiées dès le départ, et les personnes concernées informées; en aucun cas, le traitement ne doit servir d'autres finalités.

- Minimisation des données : l'entreprise ne doit conserver que les données strictement nécessaires. Par exemple, celles-ci doivent en principe être effacées ou anonymisées dès lors qu'elles ne sont plus utiles à l'accomplissement des finalités poursuivies.

- Exactitude : les données traitées doivent être exactes et à jour, afin de protéger les personnes contre des menaces extérieures et contre des décisions basées sur des données erronées.

- Limitation de la conservation : quand les données personnelles ne sont plus utilisées pour la finalité, elles doivent être supprimées; une politique de rétention des données doit être mise en place.

- Intégrité et Confidentialité : les données personnelles doivent être classées confidentielles, et n'être accessibles qu'aux personnes autorisées. L'intégrité des données doit également être assurée tout au long du traitement.

Principales dispositions du RGPD

1 - Nomination d'un délégué à la protection des données ou DPO

Le DPO (Data Protection Officer) ou Délégué à la Protection des Données (DPD) doit être associé à toutes les questions liées à la protection des données à caractère personnel. Ses principales missions sont :

  • de contrôler le respect du règlement,
  • de réaliser l'inventaire et les études d'impacts sur les traitements,
  • de conseiller le responsable des traitements sur son application,
  • d'être le point de contact avec l'autorité de contrôle,
  • de répondre aux sollicitations de personnes souhaitant exercer leur droit.

La nomination d'un DPO est conseillée pour toutes les entreprises; elle est obligatoire pour :

  • les autorités et organismes publics : ex. ministères,
  • les organismes dont les activités concernent le suivi systématique et à grande échelle
    • sur des personnes : ex. fichiers clients pour les banques, les FAI, etc...
    • sur des données sensibles (ex. de santé) ou relatives à des condamnations ou infractions (biométrie, opinions publiques)

2 - Le transfert des formalités CNIL au responsable du traitement

En France, la mise en place du RGPD vient modifier le rôle de la CNIL. Jusqu’à présent, conformément à la loi Informatique et Libertés en vigueur, les entreprises procédant à des traitements de données doivent effectuer des déclarations auprès de la CNIL, et obtenir des autorisations de sa part. Avec le RGPD, ces déclarations ne sont plus nécessaires, mais la responsabilité de chaque entreprise est renforcée : toute entreprise doit être en mesure de prouver, par la mise en place d’outils internes d’audit, que chaque traitement est conforme aux dispositions du RGPD.

La déclaration est donc supprimée et désormais, les entreprises doivent tenir à jour, en interne, un Registre des Activités de Traitement (RAT). Ce registre, qui décrit les caractéristiques essentielles du traitement revient, en quelque sorte, à effectuer sa déclaration en interne. Lors d'une procédure de contrôle, la CNIL y aura évidemment accès et contrôlera la correspondance entre le contenu du RAT et les caractéristiques des traitements réellement mis en oeuvre.

Les entreprise de moins de 250 salariés n'ont en principe pas à mettre en oeuvre un RAT. Néanmoins, il sera le plus souvent prudent de tenir à jour ce registre, puisque les exceptions à ce principe sont floues. Par exemple, une entreprise de moins de 250 salariés doit tenir un RAT si les traitements qu'elle met en oeuvre ne sont pas occasionnels. Or, toute entreprise traite des données relatives à ses ressources humaines, à ses clients, à ses prospects... et l'on imagine assez mal qu'ils soient occasionnels. Ainsi, toutes les entreprises de moins de 250 salariés devraient finalement se doter d'un registre des activités de traitement.

3 - Etude d'impact sur la vie privée

Les traitements les plus dangereux devront faire l'objet d'une étude d'impact sur la vie privée voire, d'une consultation de la Commission Nationale de l'Informatique et des Libertés (CNIL). Cette étude doit prévoir les mesures pour diminuer les conséquences sur les dommages potentiels relatifs à la protection des données personnelles.

Pour réaliser cette étude d'impact, la CNIL met à disposition un outil téléchargeable (outil PIA).

4 - Security by design and by default : Des principes de protection des données dès la conception

Le RGPD impose de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel. De plus, le RGPD introduit la notion de sécurité par défaut imposant à toute organisation d'avoir un Système d'Information sécurisé.

5 - Notification en cas de fuite de données

Le RGDP impose de notifier dès que possible l'autorité de contact (la CNIL pour la France) en cas de violation grave de données, afin que les utilisateurs puissent prendre des mesures appropriées. Le formulaire de notification de violation des données personnelles est disponible sur le site de la CNIL (formulaire Notification de violation)

6 - Des sanctions plus importantes

Le RGPD donne aux régulateurs (la CNIL en France) le pouvoir d'infliger des sanctions financières allant jusqu'à 4% du chiffre d'affaires mondial annuel d'une entreprise ou 20 millions d'euros (le montant le plus élevé étant retenu), en cas de non-respect. Si la CNIL est renvoyée à un simple rôle consultatif, le renforcement de son pouvoir de sanction, notamment d'amende administrative, devrait inciter les responsables de traitements à tenir compte de ses avis, quand bien même ils ne seraient que consultatifs.

Les grandes étapes pour se conformer au RGPD

La CNIL décrit une démarche en 6 étapes :

1 - Désigner un DPO (Data Protection Officer)

Le DPO peut être le CIL (Correspondant Informatique et Libertés), qui sera formé au règlement GDPR et sera le point d'entrée pour mettre en œuvre la conformité.

2 - Cartographier les traitements de données personnelles

Objectif : recenser tous les traitements manipulant des données personnelles, en identifiant :

  • le responsable de chaque traitement,
  • les catégories de données personnelles traitées,
  • les objectifs poursuivis par les opérations de traitement,
  • le flux sur les données : origine et destination des données, où sont hébergées les données,
  • la durée de conservation des données.

3 - Prioriser les actions pour la mise en conformité

Pour chaque traitement issu du registre des traitements, il sera nécessaire d'indentifier les actions de mise en conformité à mener par rapport au RGPD. Ces actions doivent ensuite être priorisées au regard des risques encourus.

4 - Faire une étude d'impact pour gérer les risques

L'étude d'Impact sur la Vie Privée (EIVP ou DPIA - Data Protection Impact Assessment) permet d'étudier les impacts sur la vie privée des personnes concernées. L'étude DPIA doit contenir : les finalités du traitement, l'appréciation des risques sur les droits des personnes, les mesures à mettre en place pour traiter les risques pour se conformer au RGPD. Pour réduire les risques, mettre en œuvre :

  • sur les données à protéger : du chiffrement, de l'anonymisation,
  • sur les impacts potentiels : tracer les activités, les violations de donnéesi,
  • sur les supports : traiter les vulnérabilités des matériels, des logiciels, ...

5 - Organiser les processus internes

Les processus internes doivent prendre en compte l'arrivée du RGPD :

  • nommer un DPO et notifier à l'autorité de contrôle,
  • protéger les données dès la conception (privacy-by-design), minimiser la durée de conservation,
  • exercice du droit des personnes concernées,
  • intégrer des clauses dans les contrats avec les sous-traitants et notifier les clients,
  • sensibiliser régulièrement les utilisateurs,
  • informer dans les meilleurs délais l'autorité de contrôle et les personnes concernées, en cas de violation.

6 - Documenter la conformité

La documentation doit inclure :

  • le registre des traitements de données personnelles,
  • les analyses d'impact pour chaque traitement des données,
  • le recueil du consentement des personnes concernées,
  • l'information des personnes concernées,
  • l'encadrement du transfert éventuel de données hors Union Européenne,
  • les contrats avec les sous-traitants.

Quelques normes utiles pour se conformer au RGPD

ISO 27001 : la norme ISO 27001 définit, dans son Annexe A, 114 exigences de sécurité pour mettre en place un SMSI (Système de Management de la Sécurité de l'Information). On retrouve de nombreux points communs entre les exigences de l'ISO 27001 et le RGPD. L'ISO 27002 donne les bonnes pratiques pour mettre en place un SMSI.

PCI DSS : la norme PCI-DSS s'applique aux entreprises traitant des données de cartes de paiement, pour renforcer la protection des systèmes de paiement contre les riques de compromission et de vol. PCI-DSS et RGPD renfocent la protection et la sécurité des données clients, sur des périmètres différents.

En guise de conclusion,

Le règlement RGPD impose de respecter des bonnes pratiques (à travers une analyse de risques) sur la gestion des données personnelles, et d'acquérir les bonnes démarches pour la protection de ces données. Le projet de conformité RGPD nécessite de prendre en compte les aspects méthodologiques, juridiques et techniques.

Algosecure peut vous accompagner pour la mise en conformité RGPD

La mise en conformité RGPD concerne de nombreux domaines d'activités, aussi bien techniques qu'organisationnels.

Nos équipes d'experts peuvent échanger avec vous pour vous accompagner dans votre démarche de mise en conformité au règlement RGPD : nhésitez pas à nous contacter.