L’entrée en application du règlement n°2016/579[1], dit Règlement général sur la protection des données ou RGPD, contraint les entités, tant responsable du traitement que sous-traitant a repensé leur approche à la protection des données. Garance Mathias, Avocat ç la Cour, Associée Fondateur Mathias Avocats, livre un plan d’action pour les retardataires…
Sous le RGPD, le maître mot est l’accountability. Les organismes sont ainsi tenus de démontrer leur conformité au RGPD, de mettre en place les mesures et procédures nécessaires et de maintenir leur conformité. Par ailleurs, gardez bien à l’esprit que la mise en conformité au RGPD est un processus qui a vocation à se prolonger et à faire partie intégrante de votre quotidien.
L’élaboration d’un plan d’actions est la pierre angulaire de la mise en conformité. Elle sera la feuille de route de l’organisme. Cet article expose plusieurs étapes clés de l’élaboration d’un plan d’actions.
Sensibiliser et mobiliser le personnel
La mise en conformité d’une entité est une action collective impliquant chaque collaborateur à son propre niveau. Il faut ainsi sensibiliser le personnel sur les enjeux du RGPD et insister sur les points pertinents pour chaque département ou service.
Pour les départements informatiques et/ou de sécurité ainsi que pour les responsables de la sécurité des systèmes d’information, il convient d’attirer leur attention sur les notions de privacy by design et de privacy by default (RGPD, art. 25). La protection des données à caractère personnel doit être intégrée dès la conception d’une nouvelle application technologiques et le plus haut niveau de protection doit être garanti par défaut. Ces notions sont d’autant plus importantes en ce qui concerne les objets connectés. Seules les données pertinentes et nécessaires à l’utilisation de l’objet doivent être collectées. En outre, l’accès aux données doit être limité aux personnes autorisées et qui en ont besoin de les connaitre.
Les acteurs tant internes qu’externes doivent être choisis avec cohérence avec les projets et les expertises souhaitées. Suivant l’organisation de l’entité, certaines directions devront, dans tous les cas, être mobilisée pour sa mise à conformité, à savoir : la direction juridique, la direction des systèmes d’information, la direction du contrôle interne, la direction des achats, la direction des ressources humaines, la direction marketing. Soulignons que l’ensemble des acteurs doivent être en mesure de coopérer entre eux.
Le délégué à la protection des données (en anglais Data Protection Officer ou DPO) est également un atout dans la protection des données. Il est le chef d’orchestre de la conformité[2]. En effet, il veille au respect de la règlementation relative à la protection des données, des procédures et des politiques internes en la matière. Il a également pour mission d’accompagner et de conseiller son organisme dans l’ensemble des décisions relatives à la protection des données à caractère personnel. Toutefois, rappelons que cette désignation n’est pas obligatoire pour toutes les entités et, le cas échéant, un DPO externe peut être désigné.
Evaluer son niveau de conformité
Préalablement à l’élaboration du plan d’actions, un audit de conformité technique et juridique doit être mené.
Soulignons dès à présent qu’un rapport d’audit devra être établi à l’issue de l’audit de conformité notamment afin de mettre en lumière les principaux constats de non-conformité techniques et juridiques ainsi que d’identifier les risques découlant de ces constats de non-conformité et les mesures correctives à mettre en œuvre. Ces éléments constitueront les pierres angulaires du plan d’actions.
Vous pouvez par exemple mener ou diligenter des audits de gouvernance en matière de protection des données à caractère personnel afin d’identifier les personnes en charge de la protection des données. N’oubliez pas non plus de faire auditer la procédure de gestion des droits ainsi que les contrats avec vos prestataires et sous-traitants.
Le cœur de l’audit de conformité demeure néanmoins l’audit des traitements de données à caractère personnel mis en œuvre. Il va permettre de vérifier que les traitements sont conformes à la règlementation en vigueur. En outre, l’audit des traitements de données à caractère personnel peut constituer le point de départ du registre des activités de traitement que tout responsable du traitement est tenu de maintenir (RGPD, art. 30). La Commission nationale de l’informatique et libertés (CNIL) a mis en ligne un modèle de registre des activités du traitement[3] dont les responsables du traitement ou sous-traitants peuvent s’inspirer.
Afin de mener l’audit des traitements de données à caractère personnel mis en œuvre, diverses sources d’informations peuvent être utilisées (ex : formalités réalisées auprès de la CNIL, entretiens avec les interlocuteurs internes et/ou avec les sous-traitants etc.).
Notons que l’audit des traitements de données à caractère personnel va de pair avec l’évaluation des mesures de sécurités techniques et organisationnelles mises en place (ex : firewall, mot de passe, badges, caméra de surveillance, pseudonymisation, encryptage, etc.). Elles doivent respecter les notions de privacy by design et de privacy by default ainsi qu’assurer l’intégralité et la confidentialité des données à caractère personnel.
L’évaluation des mesures de sécurité va également permettre d’identifier les risques. A ce titre, le RGPD a introduit un nouvel outil de gestion des risques, à savoir l’analyse d’impact relative à la protection des données (en anglais, Data Protection Impact Assessment ou DPIA). Bien que le DPIA ne soit obligatoire que dans certains cas, il convient d’en faire une bonne pratique au sein de l’entité. Il permet de recenser les mesures protectrices et/ou correctrices mises en place pour chaque traitement et d’évaluer la gravité des risques. Le Groupe de travail de l’article 29 (G29) apporte des précisions sur la réalisation d’un DPIA[4]. En pratique, le responsable de la sécurité des systèmes d’information ou RSSI sera un expert technique incontournable pour déterminer les mesures à mettre en œuvre[5].
Rédiger son plan d’actions
Quelles mesures l’entité dit-elle prendre pour être conforme au RGPD ? Telle est la question à laquelle répond le plan d’actions. Il permet d’identifier et de recenser les mesures correctrices à mettre en œuvre. Les objectifs ou mesures nécessaires peuvent être traduit en livrables (ex : procédure de gestion des droits, modèles de clauses contractuelles relatives à la protection des données, programme de sensibilisation du personnel, mesures de sécurité techniques et organisationnelles à mettre en œuvre, etc.). Un calendrier de déploiement doit également être intégré au plan d’actions afin de prioriser les actions à mener.
Le plan d’actions répond au principe d’accountability dans la mesure où il constitue une preuve de la procédure de mise en conformité de l’organisme et ainsi des mesures mise en œuvre ou prévues. Cependant, la CNIL peut demander au responsable du traitement la mise en œuvre d’actions ne figurant pas dans le plan d’actions et qu’elle estime nécessaires.
Rappelons que ce plan d’actions doit être validé par les instances dirigeants de l’entité afin que les travaux puissent commencer.
10 questions pour vous aider à identifier les éléments à prendre en compte lors de l’élaboration du plan d’actions
- Le personnel a-t-il été formé sur les enjeux du RGPD ?
- Quelles personnes sont en charge de votre mise en conformité (ex : direction juridique, directeur du système d’information, ressources humaines…) ?
- Quelles sont les données à caractère personnel traitées par votre entité ? Existe-t-il un traitement de données à caractère personnel dites sensibles ?
- Comment les principes fondamentaux de l’article 5 du RGPD sont-ils respectés ?
- Sur quelle condition de licéité repose les traitements de données à caractère personnel mis en œuvre ? S’il s’agit du consentement, comment se dernier est-il recueilli ?
- Comment les personnes concernées sont-elles informées de leurs droits ? Quelle procédure a été mise en place pour assurer leur exercice ?
- Quelles sont les mesures de sécurité existantes ? Quels sont les risques aux données à caractère personnel et aux droits et libertés des personnes concernées ? Quelles procédures ont été mises en place en cas de violation de données à caractère personnel ?
- Un DPO doit-il être désigné ? Est-il assimilé à toutes les questions sur la protection des données à caractère personnel et quel est son statut au sein de l’entité ?
- Les contrats avec les sous-traitants contiennent-ils les informations et obligations a minima prévues par l’article 28 du RGPD ?
- Les données a caractère personnel sont-elles traitées dans un Etat membre ou plusieurs ? Sont-elles transférées en dehors de l’Union européenne ?
[1] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Accessible ici : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679
[2] Article du cabinet Mathias Avocats « DPO : quels réflexes ? » du 3 octobre 2017. Accessible ici : https://www.avocats-mathias.com/donnees-personnelles/dpo-rgpd
[3] Article de la CNIL “Le registre des activités de traitement ». Accessible ici : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement
[4] G29, lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679. Accessible ici : https://docs.google.com/viewer?url=https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf
[5] Article du cabinet Mathias Avocats « DPO et RSSI : la complémentarité pour la conformité » du 9 avril 2018. Accessible ici : https://www.avocats-mathias.com/donnees-personnelles/dpo-rssi-rgpd-conformite