RGPD : les 6 attitudes à adopter

4 ans… Une longue négociation entre les 27 pays membres l’Union Européenne pour finalement trouver un accord sur une loi fondamentale : le Règlement Général sur la Protection des Données (RGPD).

Adopté par le Parlement Européen le 27 avril 2016, le projet est d’importance. La protection de la vie privée des Européens est en jeu.

Un projet indispensable à un moment où la sécurisation des données personnelles se situe au cœur des débats.

Le piratage des entreprises Yahoo et Uber (respectivement en 2014 et en 2016), le scandale Facebook-Cambridge Analytica (en 2018) interpellent les citoyens qui s’interrogent sur l’utilisation et la protection de leurs données.

Le nombre de victimes suscite une inquiétude légitime.

57 millions de personnes ¹ (chauffeurs et clients)concernées par un vol de données chez Uber, 87 millions d’utilisateurs pour l’affaire Facebook-Cambridge Analytica.²

Des informations dérobées qui ont pu être revendues, utilisées pour pirater des comptes personnels ou pour influencer un choix électoral, dont le Brexit.

Des scandales qui soulignent l’enjeu des données personnelles dans une économie numérique en constante évolution.

Entré en vigueur le 25 mai 2018, le RGPD remplace une Directive Européenne de 1995 devenue obsolète et inadaptée aux nouvelles pratiques digitales et à l’émergence des réseaux sociaux.

Ce texte de référence permet aux citoyens Européens de maîtriser pleinement leurs données personnelles. Les entreprises sont responsabilisées et sont tenues de respecter un périmètre d’exploitation.

Entreprises privées ou publiques : quelles que soient la nature et la taille de votre organisation, le RGPD vous impose l'intégration de nouveaux outils et process pour assurer la protection de la vie privée de tous les interlocuteurs en contact avec votre société : prospects, clients, candidats à un recrutement, salariés...

Découvrez, dans cet article, les 6 attitudes à adopter dès maintenant pour vous mettre en conformité.

RGPD : définition

Les objectifs, les données personnelles, le traitement... Avant d’aborder les bonnes pratiques, la compréhension de ces principes essentiels facilite une mise en conformité.

Les objectifs poursuivis par le RGPD

Le RGPD impose un environnement juridique et clarifie les règles pour le traitement des données personnelles des ressortissants européens quels que soient la localisation de votre entreprise (par exemple, une société installée aux États-Unis qui collecte des données de Français doit respecter le RGPD), sa taille (TPE, PME, entreprises du CAC 40) et son secteur d’activité.

Si votre entreprise traite des données personnelles (collecte, stockage...) dans un cadre professionnel, vous devez respecter le Règlement Général sur la Protection des Données.

Uniformiser les règles offre de fait aux citoyens une meilleure visibilité et un contrôle accru sur leurs données. Le RGPD impose aux entreprises d’apporter des réponses claires et sans ambiguïté à des questions importantes.

• Quelles sont les informations collectées ?
• Quel but poursuivi par l’entreprise qui me les demande ?
• Combien de temps mes données sont-elles conservées ?

Bref, les entreprises doivent faire preuve de transparence et agir de manière responsable avec les données personnelles.

Les autorités de contrôles nationales (La CNIL en France, soit la Commission Nationale de l'Informatique et des Libertés) disposent désormais de pouvoirs plus contraignants pour obliger les entreprises au respect du RGPD.

Le RGPD, c’est peu de changements notables pour les citoyens au quotidien, par contre c’est un véritable tsunami au sein des entreprises.

Qu’est-ce qu’une donnée personnelle ?

La CNIL propose la définition suivante : "Une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable".³

Un nom, un prénom, un numéro de téléphone, un numéro de sécurité sociale, une adresse e-mail, une plaque d'immatriculation… Le RGPD s'applique à ces informations qui identifient directement ou indirectement un citoyen.

Mais pas que...

Le RGPD encadre les possibilités de croisements de données qui en permettraient l'identification.

Par exemple : vous êtes un passionné de tennis. Votre date de naissance, votre abonnement à la presse spécialisée, votre lieu de résidence, votre activité professionnelle et votre inscription au club constituent une base de données suffisantes pour vous identifier.

La définition de la donnée personnelle dans le RGPD est volontairement exhaustive.

Qu’est-ce que le traitement des données personnelles ?

Collecte, enregistrement, stockage, transmission... Le traitement est toute opération (ou action menée par une entreprise), digitale ou non, réalisée sur des données personnelles.

Par exemple : lors de votre passage en caisse dans un magasin, on vous demande incessamment votre carte de fidélité. Si vous n'en avez pas, on vous propose de remplir un questionnaire pour confirmer votre adhésion. Cette collecte d'informations est considérée comme un traitement de données personnelles.

À noter : Les informations des entreprises (adresse, numéro de téléphone, e-mail...) ne sont pas considérées comme des données personnelles. Le RGPD ne s'applique pas lorsque vous constituez des fichiers professionnels.

Il est grand temps d’entrer dans le vif du sujet : les attitudes responsables et conformes à l’esprit du RGPD.

Collectez le minimum de données pour atteindre un seul et unique objectif.

La finalité doit être le concept-clé de votre démarche d’acquisition de données.

Posez-vous la question suivante : « Pourquoi dois-je recueillir des informations ? »

Adieu le temps où vous collectiez des données pour les conserver et pour vous en servir ultérieurement. Toute collecte à l’insu des personnes et à toutes fins utiles est dorénavant interdite.

Ce règlement se répercute sur l’activité de votre entreprise. Vous devez :

• définir l’objectif avant toute collecte et le légitimer selon votre activité ;
• informer les citoyens de votre objectif et demander leur consentement ;
• utiliser les informations obtenues uniquement pour atteindre un objectif spécifique ;
• demander exclusivement des données « pertinentes »;
• habiliter, selon la sensibilité des données, seulement certains employés de l’entreprise à y accéder.

Par exemple : vous tenez une pizzeria qui livre à domicile. Le consommateur vous communique son nom, son numéro de téléphone, son e-mail et son adresse. La collecte de ces informations est légitime et suffisante (la pizzeria n’a pas besoin d’un numéro de sécurité sociale !). Vous avez conclu un contrat.

La transaction conclue, le gérant de la pizzeria ne peut en aucun cas utiliser ces informations à d'autres finalités (comme des opérations publicitaires) sans le consentement du client au moment de la demande de ces informations.

Pour utiliser ces données à d’autres finalités, il faut absolument obtenir le consentement « actif »du consommateur. (N’est pas considéré comme un consentement actif une case cochée par défaut inscrite en tout petit sur un formulaire d’inscription !)

L’interlocuteur qui utilise un service doit être libre de donner son consentement et en comprendre les objectifs.

Comment ?

Très simplement via un formulaire en ligne. Vous rédigez une mention qui explique votre nouvelle finalité. L’interlocuteur devra cocher une case pour signifier sa compréhension et son approbation.

Quelques exemples de consentements indispensables

4 cas :

• la collecte de données sensibles (ethnie, santé...) ;
• la réutilisation des données à d’autres fins ;
• l’utilisation de cookies ;
• l’exploitation d’informations pour prospecter commercialement par voie électronique.

Le détournement de finalité (utilisation des informations pour un autre objectif) est une faute réprimandée.

L'article 6-4 du RGPD définit des"finalités compatibles", c'est-à-dire les possibilités offertes aux entreprises de conserver les données pour une utilisation ultérieure sans risquer un détournement de finalité.

Soyez transparent et informez clairement vos interlocuteurs

Avec le RGPD,  les citoyens conservent le contrôle de leurs données. Encore faut-il qu’ils soient informés de l’objectif poursuivi, du type de données collectées, de la nature du traitement réalisé et des moyens existants pour conserver la maîtrise des informations (droit d’accès, droit d’effacement...).

Vous devez indiquer à votre interlocuteur de manière concise, simple et claire :

• l’identité et les coordonnées de votre entreprise (et celles du responsable du traitement des données) ;
• la finalité de la collecte ;
• la base légale du traitement de données (ce qui vous autorise à collecter ces informations) ;

Si nous reprenons notre exemple de la pizzeria, la base légale est l’exécution d’un contrat. Sans le nom, l’adresse et le numéro de téléphone du client, impossible de réaliser la prestation payée.

Le consentement des citoyens, une obligation légale… De nombreuses bases justifient la demande de données personnelles.

• la liberté de communiquer ou non les informations demandées (Vous devez expliquer les conséquences d’un refus) ;
• l’identité de ceux qui utiliseront les données (un de vos sous-traitants peut avoir besoin d’accéder aux informations collectées pour honorer une commande) ;
  la durée de conservation des données ;
• les droits institutionnalisés pour conserver le contrôle des données (droits d’accès, de rectification, procédure de réclamation auprès de la CNIL...) ;
• les coordonnées du DPO (Data Protection Officer) ou d’une personne chargée de veiller au respect du RGPD au sein de l’entreprise.

Comment communiquer ces informations à vos usagers ?

Pour favoriser une communication fluide, votre entreprise ale choix du support qui doit juste être adapté à votre activité et aux modalités d'interactions, facilement accessible et surtout intelligible :

• des messages en vidéo ;
• des messages audio ;
• une documentation papier ;
• un QR code ;
• un SMS ;
• un e-mail…

Votre interlocuteur doit profiter d’une vision globale, comprendre l’utilisation des données fournies et leurs évolutions au sein de l’entreprise.

À noter : Le RGPD prévoit des dérogations à cette obligation d’informations.

Toute demande d’informations doit être satisfaite dans un délai raisonnable, généralement limité à 1 mois.

Aidez vos interlocuteurs à exercer leurs droits.

Votre interlocuteur possède un droit de regard sur les données qu’il vous confie. La maîtrise des données personnelles par les citoyens est LE pilier majeur du Règlement Général sur laProtection des Données.

Vous devez faciliter l’exercice de ses droits de contrôle. Transparence et délai de réponse inférieur à 1 mois aux demandes des citoyens s’inscrivent pleinement dans cette démarche.

Ceux-ci bénéficient notamment de 3 droits :

• un droit d’opposition ;

Quand le client de notre pizzeria communique les informations indispensables à la réalisation de la prestation via un formulaire en ligne, une case à cocher peut être disponible pour qu’il puisse exprimer un choix sur une utilisation ultérieure ou non des données fournies (pour proposer des offres promotionnelles...).

• un droit d'accès et de rectification ;

Vous devez indiquer la procédure pour que le citoyen accède à ses données.

Revenons à notre consommateur de pizzas. Il pourrait se déplacer en boutique et présenter sa pièce d’identité.Une copie des informations détenues doit être communiquée s’il en formule la demande.

• un droit à la portabilité ;

Un autre exemple : votre société propose un service de messagerie. Votre utilisateur doit pouvoir récupérer facilement le contenu de sa boîte mail et les informations de son compte pour les transférer à un autre opérateur.

Vous pouvez refuser une demande d’accès si la demande est abusive (répétée X fois...). Néanmoins, vous devez notifier votre refus et indiquer les recours.

• un droit à l'effacement.

Par exemple, à l'issue d'une procédure de recrutement, un des candidats qui n'a pas été retenu peut tout à fait vous demander de supprimer l'intégralité des informations que vous possédez en tant qu'employeur (CV, lettre de motivation, lettre de recommandations etc.). Vous aurez l'obligation de faire droit à sa demander.

Conservez les données le temps nécessaire, pas au-delà

La définition et l’atteinte d’un objectif s’inscrivent nécessairement dans une durée. Une fois l’objectif atteint, que deviennent les données en votre possession ?

3 possibilités :

• destruction ;
• archivage (pour permettre à un client d’exercer un recours ou une réclamation après un achat par exemple) ;
• anonymisation.

La difficulté : le RGPD ne précise aucune durée de conservation.

C'est au responsable du traitement des données (généralement le dirigeant de la société) qu’il appartient de déterminer la durée de détention nécessaire (sans qu’elle soit abusive bien entendu).

Pas simple du tout !

Pour vous accompagner, la CNIL vous propose deux outils d’aide à la décision :

• un guide pratique ;
• un référentiel de durée par secteur d’activité.

Ces outils vous guident pour définir un délai de conservation pertinent.

Sécurisez, protégez et anticipez

Sécurisation des locaux, autorisation d'accès uniquement pour certains salariés... La sécurisation des données personnelles ne se limite pas à l’installation d’un antivirus sur un ordinateur.

Des procédures supplémentaires de sécurisation et de protection doivent être mises en place selon la sensibilité des données recueillies et traitées. Vous devez même anticiper les risques et leurs conséquences pour les usagers.

C’est un sujet à ne pas prendre à la légère ! Votre image, la relation de confiance que vous entretenez avec vos clients et vos salariés sont en jeu.

Imaginez les conséquences d'une fuite d'identifiants déconnexion pour des comptes en banque ! Entreprises, clients, salariés… Les conséquences seraient gravissimes pour tous les acteurs.

Pour éviter un scénario catastrophe, le RGPD définit 3 niveaux de protection.

RGPD : les gestes de base

Des gestes de base pour parer à la plupart des attaques :

• sélectionnez de mots de passe complexes ;
• procédez aux mises à jour de vos logiciels (notamment antivirus et système d’exploitation) ;
• réalisez des sauvegardes ;
• sécurisez l’accès au Wi-Fi de votre entreprise ;
• utilisez les outils nécessaires et adoptez une attitude responsable (ne vous connectez pas un réseau Wifi non sécurisé) ;
• vérifiez et contrôlez l’origine des logiciels téléchargés ;
• distinguez les usages (personnels et professionnels).

La CNIL et la CPME (Confédération des petites et moyennes entreprises) proposent un guide à destination des PME pour les accompagner dans cette démarche de sécurisation basique.

Adaptez le niveau de sécurisation à la sensibilité des données.

Confidentialité, intégrité, disponibilité... Les données personnelles en votre possession sont sujettes à risques, en particulier en ce qui concerne les données dites "sensibles" (informations liées à l'origine raciale, ethnique, opinions religieuses, politiques, philosophique, appartenance syndicale, données de santé, données biométriques ou génétiques).

Le niveau de sécurisation doit être en adéquation. Des techniques d’anonymisation et de chiffrement constituent une protection efficace contre les tentatives d’utilisation ou de manipulation des données.

Pour vous aider, l’ANSSI (l'Agence Nationale de la Sécurité des Systèmes d'Information) et la CNIL proposent des guides complets.

Protégez les données personnelles

Vous devez protéger les citoyens concernés par le traitement des données :

• en anticipant les risques ;
• en instaurant des procédures pour vous en prémunir ou, au pire, pour limiter leur impact.

Comment faire ?

Appuyez-vous sur les ressources fournies par la CNIL : une grille d’analyse qui vous sert de boussole pour construire votre réflexion et poser les vraies problématiques.

Prenons un exemple et envisageons une situation de disparition de données personnelles.

• Quels risques pour les citoyens ?
• Quelle peut être la cause de cette disparition ?
• Comment les données peuvent-elles disparaître ?
• Quelles mesures adoptées pour éviter ce risque ?
• Cette menace est-elle réelle et quelles en seraient les conséquences ?

RGPD : une conformité de chaque instant

Vous avez adopté les 6 attitudes pour être en conformité. Parfait ! La protection des données de vos interlocuteurs a significativement progressé.

Il vous faut veiller à assurer la pérennité des procédures instaurées et des décisions prises pour respecter le RGPD : en informant les salariés, en vérifiant régulièrement les processus, en étant au fait de l’actualité sur la sécurité des données...

La collecte, le consentement, l’information des citoyens, la sécurisation des données… Vous devez être en mesure de justifier votre démarche de traitement et d’apporter les preuves que vous agissez conformément au RGPD si la CNIL vous le demande.

RGPD : un règlement qui mérite toute votre attention

Vous en savez désormais un peu plus sur les comportements à privilégier et la réflexion à mener pour traiter des données personnelles en toute sécurité, pour protéger la vie privée de vos interlocuteurs.

Un sujet sensible, complexe, auquel vous devez attachertoute votre attention.

Selon une étude réalisée par ProofPoint, société spécialisée dans la cybersécurité, 91 % des organisations françaises (entreprises, hôpitaux, collectivités territoriales...) ont été victimes d’une tentative de cyberattaque en 2020.

Pensez-y ! Une perte de contrôle des données de vos clients et de vos salariés s’accompagnerait d’une défiance envers votre société. En cas de dépôt de plaintes répétées, la CNIL peut rendre publique les agissements d’une société négligente

Finalement, la relation de confiance avec vos clients serait rompue durablement et l’image de votre entreprise profondément dégradée.

Et puis, n’oublions pas que des sanctions lourdes sont encourues par les contrevenants, ce qui souligne la gravité du sujet. 3 types de sanctions :

• des sanctions pénales ;
• des sanctions administratives (jusqu’à 20 millions d’euros d’amendes ou 4 % du chiffre d’affaires annuel réalisé à l’échelle mondiale) ;
• dommages et intérêts en cas de poursuites judiciaires.

Bref, le RGPD vous responsabilise. Se mettre en conformité est incontournable…

Et vous ? Avez-vous des difficultés à appliquer le Règlement Général sur la Protection des Données ? Le respect de ce règlement a-t-il apporté une valeur ajoutée à votre entreprise ? N'hésitez pas à télécharger notre livre blanc complet sur le sujet!

N'hésitez pas à nous contacter pour échanger !