Protection des données : Comment se préparer au GDPR en 9 étapes

Protection des Données : Respect du GDPR

Alors que le nouveau règlement européen sur la protection des données entrera en vigueur dans cinq mois, seulement un tiers des entreprises concernées affirment être déjà en conformité avec le GDPR. D’après une étude mondiale publiée par Veritas Technologies, seulement 2% d’entre elles sont réellement prêtes.

Dans ces conditions, il est important d’apprendre dès aujourd’hui les mesures à prendre pour se préparer au GDPR et éviter de s’exposer à des sanctions pouvant atteindre 20 millions d’euros ou une amende de 4% du chiffre d’affaires annuel mondial de l’exercice précédent.

 

1.     Sensibiliser la direction et tous les acteurs concernés

Une préparation efficace au GPDR implique un travail d’équipe : le nouveau règlement européen aura en effet un impact sur l’ensemble de votre société, du service marketing à la gestion clientèle, en passant par la comptabilité.

La direction et les chefs de projets doivent se familiariser dès aujourd’hui avec les dispositions du GDPR. Il est recommandé d’identifier dès à présent les services qui nécessiteront une refonte ou des changements pour respecter le règlement européen.

Il est également conseillé de former tous les personnels susceptibles d’entrer en contact avec des données personnelles aux nouvelles règles de protection des données.

Les préparations peuvent nécessiter des ressources importantes, en matière de budget et de temps de travail. Il est donc important de sensibiliser rapidement la direction pour une mise en place efficace des ressources, dans les quelques mois restants avant l’entrée en vigueur du GDPR.

 

2.     Améliorer la transparence de votre gouvernance des données

Les responsables de traitements des données doivent non seulement adopter diverses mesures de protection des données personnelles, mais aussi pouvoir prouver leur conformité aux dispositions du GDPR (accountability).

Les principales mesures de responsabilisation à mettre en place au sein de votre société ou organisation sont les suivantes :

La cartographie des traitements de données

Les sociétés qui collectent et exploitent des données personnelles, par exemple dans leurs campagnes d’email marketing, doivent recenser et documenter ces données. Il s’agira de déterminer notamment :

  • La source des données personnelles ;
  • Leurs catégories (et plus particulièrement les données sensibles pour la vie privée des individus) ;
  • Les différents traitements et leur finalité ;
  • Les employés qui traitent ces données (ainsi que les prestataires sous-traitants, notamment hors Union Européenne) ;
  • Les acteurs avec lesquels les données sont partagées.

Les études d’impact sur la vie privée (EIVP)

Il est important de mener une étude d’impact sur la vie privée (EIVP ou Privacy Impact Assessment – PIA), dans les cas suivants :

  • En préparant votre registre de traitements des données personnelles, vous en avez repérés qui peuvent présenter un risque élevé pour les droits et libertés des usagers ;
  • Vous prévoyez de nouveaux projets susceptibles de présenter des risques pour les données des usagers (traitement de données sensibles, mise en place d’une nouvelle technologie, profilage susceptible d’avoir un impact sur les individus…).

La CNIL publie sur son site des guides PIA pour aider les responsables de traitement des données à réaliser une étude d’impact sur la vie privée. L’autorité française de protection des données recommande ainsi dans le cadre de la PIA, de :

  • Décrire le traitement et ses objectifs ;
  • Vérifier s’il est nécessaire et proportionnel ;
  • Estimer les risques possibles pour la vie privée des propriétaires des données ;
  • Mettre en place des mesures pour minimiser les risques et respecter le GDPR.

La pseudonymisation

Ce néologisme fait référence à un processus par lequel les données perdent leur caractère nominatif.

Il s’agit de traiter les données personnelles de telle manière qu’elles ne puissent plus être liées à une personne précise sans avoir recours à des informations supplémentaires. Ces dernières doivent elles-mêmes être stockées séparément et faire l’objet de mesures techniques et organisationnelles pour s’assurer que l’usager ne puisse pas être identifié.

La pseudonymisation diffère de l’anonymisation (les données restent personnelles), mais elle permet de renforcer la vie privée de vos clients et prospects.

 

3.     Réviser et communiquer votre politique de confidentialité

Au regard des nouvelles exigences du GDPR, les entreprises doivent réviser leurs politiques de confidentialité et modifier les articles relatifs à la protection des données personnelles pour être en conformité avec la nouvelle régulation.

Dans votre politique de confidentialité et vos mentions légales, vous êtes censés donner aux utilisateurs les informations nécessaires sur votre identité, vos coordonnées et la finalité du traitement de leurs données personnelles.

Pour respecter le GDPR, vous devez fournir des informations supplémentaires :

  • La base juridique vous autorisant à traiter des données personnelles ;
  • La durée de stockage des données ;
  • Les entités tierces avec lesquelles vous partagez les données personnelles (notamment les prestataires qui traitent les données pour vous, par exemple une plateforme de marketing automation) ;
  • Les transferts de données à l’extérieur de l’Union Européenne et les mesures mises en place pour les protéger ;
  • Des informations sur tous leurs droits relatifs à la protection des données personnelles, y compris la possibilité de se plaindre auprès de la CNIL.

Votre politique de confidentialité doit être accessible et rédigée dans un langage clair et compréhensible pour votre audience.

 

4.     Nommer un délégué à la protection des données (DPO)

Le GDPR et la CNIL encouragent toutes les entreprises traitant des données personnelles à nommer un délégué à la protection des données (DPO), pour en piloter la gouvernance.

Toutes les entreprises ne sont pas tenues par le GDPR d’en nommer un, mais les autorités de protection attendent de vous de pouvoir documenter votre respect du nouveau règlement. Le DPO peut informer et conseiller votre entreprise sur la façon de se conformer au GDPR.

Le DPO est obligatoire pour :

  • Les organismes publics ; 
  • Les entreprises amenées à effectuer un suivi régulier et systématique de citoyens européens à grande échelle ou à traiter à grande échelle des données « sensibles » ou liées à des condamnations pénales et des infractions.

Le DPO peut être soit désigné au sein de la structure, soit engagé en externe. Pour remplir son rôle, il doit :

  • Connaître le secteur d’activité de l’entreprise et plus particulièrement, les processus de traitement des données ;
  • Avoir des connaissances spécifiques sur la législation relative à la protection des données ;
  • Recevoir les moyens matériels et organisationnels nécessaires à la réalisation de ses attributions.

 

5.     Déterminez la base juridique du traitement des données

Le GDPR énonce les conditions à remplir pour que le traitement des données soit licite. Au moins l’une des six conditions énumérées doit être remplie :

  • La structure a reçu le consentement des usagers ;
  • Le traitement est requis pour réaliser un contrat conclu avec le propriétaire des données ;
  • Il est nécessaire pour respecter une obligation légale ;
  • Il permet de sauvegarder les intérêts vitaux de l’usager ou d’un autre individu ;
  • Il est requis pour la mise en œuvre d’une mission d’intérêt public ;
  • Il est nécessaire pour les intérêts légitimes poursuivis par le responsable du traitement (sauf en cas de contradiction avec les droits et la vie privée de l’usager, par exemple lorsqu’il s’agit d’un enfant. Le traitement des données à caractère personnel relatives à un enfant est licite lorsque l’enfant est âgé d’au moins 16 ans).

 

6.     Révisez vos procédures de demande de consentement

Le consentement est l’une des principales bases juridiques de traitement des données personnelles. L’une des étapes les plus importantes de la préparation au GDPR consiste à réviser de quelle manière vous sollicitez le consentement des usagers à utiliser leurs données, ainsi que les procédures de stockage et de gestion des consentements. L’autorité de protection peut en effet en exiger les preuves.

Le consentement doit être :

  • Accordé librement et pouvoir être retiré facilement ;
  • Spécifique : vous devez obtenir un consentement séparé pour chaque différente opération de traitement des données. La demande de consentement doit être séparée des autres procédures requérant un accord de l’usager (acceptation des conditions générales, etc.) ;
  • Documenté : vous devez expliquer à vos clients et prospects à quoi ils consentent et les informer sur leur droit de retirer leur consentement à tout moment ;
  • Clair et donné activement : les cases pré-cochées ne sont pas admises. L’usager doit donner activement son consentement.

En outre, les sociétés qui fournissent des services en ligne aux mineurs doivent obtenir le consentement des parents ou du tuteur légal, si l’enfant a moins de 16 ans (ou de 13 ans, en fonction de la décision que prendra le pays où il réside).

 

7.     Donnez-vous les moyens de respecter les droits des usagers

Le GDPR assure la protection de la vie privée et de la liberté des citoyens européens en renforçant leurs droits relatifs à la collecte et au traitement de leurs données personnelles.

La protection des données dès la conception du traitement : vérifiez avant tout que vous collectez et traitez uniquement les données dont vous avez réellement besoin pour atteindre vos objectifs. Vous réduirez ainsi les risques de violation des droits de vos utilisateurs.

Assurez-vous ensuite que vos procédures et traitements permettent l’exercice des droits des usagers :

  • Droits d’accès ;
  • De rectification des données inexactes ou incomplètes ;
  • De portabilité (nécessité pour la société de remettre sur demande les données dans un format électronique lisible) ;
  • De retrait du consentement ; 
  • D’oubli/d’effacement des données ;
  • De refuser le marketing direct ;
  • De s’opposer au profilage.

Vous devrez mettre en place des procédures vous permettant de traiter les demandes des usagers relatives à leurs droits susmentionnés.

 

8.     Préparez des procédures de gestion des violations de données

Le GDPR introduit une obligation de signaler les violations des données à caractère personnel à l’autorité de protection des données (notamment la CNIL en France ou l’ICO en Grande-Bretagne) dans les 72 heures. Si la violation menace les droits et libertés des propriétaires des données, vous devez également les informer dans les plus brefs délais.

Pour anticiper les éventuelles failles de sécurité ou pertes de données, que vous en soyez responsable ou victime, vous devez mettre en place des processus internes pour détecter, analyser et signaler les violations de données.

L’ICO recommande notamment de recenser les différents types de données personnelles en votre disposition et de documenter les cas susceptibles de nécessiter une notification à l’autorité de protection des données et aux personnes concernées en cas de violation des données.

 

9.     Encadrez vos transferts de données hors Union Européenne

Le GDPR restreint le transfert de données personnelles hors Union européenne. De nombreuses entreprises et organisations sont concernées (parfois sans le savoir), car elles utilisent des services tiers, tels que :

  • Les services de type cloud ;
  • Les plateformes d’emailing ;
  • Les services d’hébergement Internet…

Vous devez donc vérifier vers où vous transférez les données personnelles de vos utilisateurs et si le pays où se trouve le prestataire ou le sous-traitant lui-même veille suffisamment à la protection des données.

Le GDPR énonce plusieurs modalités de transfert des données hors Union Européenne, notamment :

  • Vers un pays dont le niveau de protection des données est reconnu comme adéquat par la Commission européenne ;
  • Vers une entreprise qui a mis en place des binding corporate rules (BCR ou règles internes d’entreprise contraignantes) qui représentent une sorte de code de conduite de la société en matière de transferts des données ;
  • Vers une société qui a adopté des clauses contractuelles types de la Commission européenne, constituant une garantie appropriée en matière de protection des données ;
  • En présence d’une décision judiciaire ou administrative s’appuyant sur un accord international ;
  • En cas de dérogations pour des situations particulières (notamment le consentement explicite des utilisateurs ou une nécessité contractuelle).

Notons que le transfert des données personnelles vers des sous-traitants européens nécessite également votre attention. Il sera de votre responsabilité de vous assurer que ces entreprises tierces respectent les dispositions du GDPR.

 

Les nouvelles dispositions du GDPR sont complexes et la mise en conformité de votre entreprise avec le règlement, qui entrera en vigueur le 25 mai 2018, nécessitera probablement la mise en place de nombreux processus. N’attendez pas le dernier moment…

Cet article pourrait également vous intéresser :

GDPR et Email Marketing : ce qui va changer le 25 mai 2018