Les Drives suffisent pour être en conformité avec le RGPD

FAUX. Les Drives sont certes pratiques, mais ils n’offrent pas tous les outils nécessaires à une gouvernance de l’information sereine, conforme aux exigences du RGPD. D’autres outils sont nécessaires pour respecter, dès le 25 mai, ce texte capital s’agissant de l’exploitation en Europe des données personnelles.

Les Drives, une solution insuffisante

Les Drives (Google Drive, Microsoft OneDrive et autres Dropbox) sont des outils pratiques pour le stockage des données. Mais ils ne permettent pas d’en faire plus, en particulier à un moment où un texte important comme le RGPD va entrer en application.

Cette nouvelle loi européenne va en effet accorder de nouveaux droits aux particuliers :

  • Le droit d’accès aux données ;
  • Le droit d’être informé sur le traitement des données utilisées ;
  • Le droit de rectification ;
  • Le droit d’opposition ;
  • Le droit de portabilité des données, dans certains cas (nous en reparlerons !) ;
  • Le droit à l’oubli.

Certes, tous ne sont pas nouveaux. Certains étaient déjà inscrits dans la loi informatique et libertés de 1978. Ceux qui existaient déjà sont néanmoins renforcés, réaffirmés et harmonisés au niveau européen. Et si les Drives n’étaient déjà pas suffisants pour les respecter, ils ne le seront pas plus avec le RGPD !

Des outils à la disposition des DPO

Dans une TPE, une PME ou un grand groupe, il est donc capital d’adopter de nouveaux outils pour respecter le RGPD. Il s’agit notamment des logiciels automatisés de gestion des données personnelles. Ceux-ci permettent :

  • de lister les traitements automatisés ;
  • de créer une base documentaire mise à jour en temps réel ;
  • d’identifier là où se trouvent les données sensibles dans les ensembles non-structurés comme structurés, pour y accéder plus facilement et mener les éventuelles opérations correctrices ;
  • de cartographier l’ensemble des traitements ;
  • de tenir le registre des traitements ;
  • d’éditer un bilan annuel, à mettre à disposition de la CNIL en cas de contrôle ;
  • de gérer l’ensemble des tâches demandées par les consommateurs, en lien avec les droits évoqués ci-dessus.

La CNIL propose ainsi l’outil PIA, qui permet de faire un premier pas dans la gestion des données dans le respect du RGPD. À tester !

Et pour aller plus loin, notamment si vous devez embaucher un DPO ? Vous pouvez, dans ce cas, vous tourner vers un outil de File Analysis, comme ceux que propose Everteam. Combinant des fonctions de NLP (Naturel Language Processing), d’auto-classification, d’archivage et de gouvernance de l’information, ils permettent d’accéder plus vite et plus précisément aux données suite, par exemple, à une sollicitation de consommateurs. Ils proposent ainsi une indexation automatique des caractéristiques techniques des fichiers, une analyse du contenu des documents en vue d’une identification automatique des données personnelles, un renforcement des mesures de prévention des risques, une réalisation automatique d’actions préconfigurées… Bref, tout ce qu’il faut pour montrer à la CNIL que l’on est bien dans la bonne direction, celle d’un respect complet du RGPD !

Vous souhaitez en savoir plus sur les outils à disposition du RGPD ? Deux solutions : téléchargez notre Guide du DPO prêt à l’action, ou contactez les équipes d’Everteam !

Lors des premiers contrôles, la CNIL sera clémente

VRAI, mais… d’une part, cela ne durera pas et ne concernera pas toutes les dispositions du texte, et d’autre part, la clémence de la CNIL dépendra aussi de la volonté montrée par l’entreprise contrôlée de respecter le RGPD ! Explications.

Une clémence réelle, mais aussi relative

Le Règlement Général sur la Protection des Données entrera en application le 25 mai prochain. Il semble illusoire de penser que, d’ici là, toutes les entreprises concernées par le RGPD seront prêtes, avec un DPO en place si elles doivent en embaucher un, ainsi qu’un registre des activités de traitement sur les rails. « Tout le monde ne sera pas forcément conforme le 25 mai, l’essentiel est d’avoir pris conscience et de s’engager dans cette démarche de conformité », indique ainsi Jean Lessi, le secrétaire général de la CNIL, au magazine en ligne Solutions Numériques.

Si la CNIL semble s’engager sur la voie de la clémence, celle-ci ne sera que relative : les obligations auxquelles les entreprises doivent faire face depuis la loi Informatiques et Libertés continueront à être strictement contrôlées par l’organisme de contrôle. En revanche, celles qui concernent des obligations nouvelles, comme la portabilité ou la notification de violation de données, feront plus l’objet d’un accompagnement que d’une sanction immédiate. « [La CNIL est] consciente de la nouveauté des obligations, [et] va intégrer la nécessaire courbe d’apprentissage dans sa politique répressive », explique le responsable. Ainsi, « dans les premiers mois » et sauf en cas « de manquements manifestes et graves », les sanctions prononcées à la suite d’infractions aux nouvelles dispositions intégrées dans le RGPD devraient être assez rares, sinon exceptionnelles.

La CNIL semble donc prendre la voie de l’apaisement et de la pédagogie, bien consciente que toutes les entreprises ne peuvent être prêtes le 25 mai. « Il y a une prise de conscience tardive des obligations en matière de traitement de données personnelles, mais l’essentiel, c’est cette possibilité pour les citoyens, professionnels, petits et grands acteurs, de monter en compétence, en maturité. »

Un problème d’effectifs pour la CNIL ?

La CNIL compte sur cette prise de conscience des impératifs liés au RGPD pour que les données personnelles soient « rendues » aux citoyens. Elle se heurte aussi à un réel problème d’effectifs : ceux-ci n’ont pas bougé depuis plusieurs années, et restent aux alentours de 200 personnes. Imaginer que la CNIL contrôlera tout le monde dès le mois de juin est irréel, d’autant qu’elle n’a pu répondre à toutes les demandes liées aux diverses réglementations nouvelles (en 2017, selon les chiffres officiels, la CNIL a reçu 170 000 appels à sa permanence juridique, 15 000 requêtes sur son outil en ligne et 4,4 millions de visites sur le site, une augmentation de 1,8 million par rapport à l’année précédente).

Pour y remédier et accélérer le respect du RGPD, la CNIL va muscler l’accompagnement qu’elle propose en ligne. FAQ, outils de diagnostics en ligne, packs sectoriels, offres de conseils et d’informations… tous ces dispositifs doivent être renforcés dans les prochaines semaines. À surveiller !

Vous voulez mettre toutes les chances de votre côté de respecter les impératifs du RGPD, en prévision d’éventuels contrôles opérés par la CNIL ou par tout autre organisme de contrôle européen ? Téléchargez notre Guide du DPO prêt à l’action !

Je ne suis pas concerné par le recrutement d’un DPO. Le RGPD ne me concerne donc pas !

FAUX ! Dès lors que votre activité vous amène à traiter un certain volume de données personnelles, l’application du RGPD (Règlement Général sur la Protection des Données) est obligatoire dans votre structure. Et ce, que vous soyez concerné ou non par le recrutement d’un DPO. Voyons cela en détails !

Les entreprises concernées par le RGPD

Les textes du RGPD s’appliquent, selon la loi, « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Ils concernent les entreprises :

  • Qui possèdent un établissement installé au sein de l’Union européenne ;
  • Et/ou qui proposent une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l’Union européenne. Ce qui implique l’ensemble des actions de profilage visant cette cible !

De fait, le RGPD ne prévoit pas de critères de taille d’entreprise ou de secteur d’activité. Pas plus qu’il n’aborde la question du lieu de stockage des données. Ainsi, en principe, toute entreprise qui cible, par ses activités commerciales ou prospectives, le territoire de l’Union européenne et effectue des traitements de données à caractère personnel est concernée par l’application du RGPD. C’est une petite révolution par rapport à la loi Informatique et libertés : celle-ci se basait sur des critères d’établissement et de moyens de traitement pour définir si une entreprise était ou non concernée. Avec le RGPD, c’est la fin (le traitement des données d’un citoyen d’un pays membre de l’UE) qui justifie les moyens !

Un allègement pour les PME

Vous êtes une PME, et les textes du RGPD vous font un peu peur ? C’est compréhensible : ce texte prévoit de lourdes amendes pour les entreprises qui ne prendraient pas toutes les précautions pour garantir aux citoyens de l’Union européennes qu’ils pourront, à tout moment, reprendre le contrôle sur leurs données personnelles.

Une bonne nouvelle toutefois : si le respect du RGPD est obligatoire pour toutes les entreprises qui exploitent des données personnelles, quelle que soit leur taille, le texte prévoit un réel allégement des obligations pour les structures qui comptent moins de 250 salariés. Cet allégement concerne l’obligation de tenue d’un registre des activités de traitement. Celle-ci n’est ainsi pas obligatoire pour « une entreprise ou à une organisation comptant moins de 250 employés, sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données visées à l’article 9, paragraphe 1, ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ».

Vous pensez pouvoir rentrer dans cet allègement ? Un conseil : vérifiez-le auprès d’un avocat spécialisé en protection des données personnelles. Mieux vaut prévenir que guérir !

L’application du RGPD, c’est dans quelques semaines ! Vous souhaitez vous préparer ? Téléchargez notre Guide du DPO prêt à l’action !

Le RGPD, pour un archivage renouvelé !

Le Règlement général sur la protection des données, qui entrera en vigueur en mai 2018, impose de repenser totalement la façon dont on archive les données. Le premier impératif ? Ne plus confondre l’archivage, qui offre des fonctionnalités supplémentaires, et la simple sauvegarde, qui se contente de « fixer » dans le temps des informations ! Mais que doivent permettre les outils d’archivage à l’heure du RGPD ? Everteam fait le point !

Avec un Drive, c’est possible ?

Répondons immédiatement à cette question « basique ». Non, on ne peut pas faire de la gouvernance de l’information avec Google Drive, Microsoft OneDrive ou encore Dropbox, et encore moins à l’heure du RGPD. Ces outils souffrent en effet de ne pas permettre un tri dynamique dans les données, d’être limités en interopérabilité, de ne pas prendre en compte toutes les sources d’information, de ne pas permettre de maîtriser les coûts, ou encore de ne pas sécuriser les informations. Autant de caractéristiques qui les excluent, de fait, de l’esprit du RGPD…

C’est quoi, l’archivage à l’heure du RGPD ?

Nous l’avons dit : le RGPD offre (ou réaffirme) aux consommateurs de nouveaux droits en matière de données personnelles. Ainsi, ils peuvent consulter celles dont disposent les acteurs économiques ou institutionnels à leur sujet, les modifier, les transférer, les supprimer… Le tout, sans justification, et dans un délai raisonnable !

Autant dire que la gestion du capital informationnel devient un enjeu majeur pour les entreprises concernées par ces demandes. Un outil d’archivage digne de ce nom doit en effet permettre :

  • La gestion de tout type de contenu, indépendamment de sa nature (fichier ou donnée) ou de son support (physique ou électronique) ;
  • De retrouver dans les meilleurs délais une information demandée par un consommateur ou par un organisme de contrôle (comme la CNIL) ;
  • D’anticiper tout changement dans le système d’information, que ce soit s’agissant de l’intégration ou de la sécurité ;
  • D’être un garant du respect du cadre réglementaire, normatif ou législatif ;
  • De proposer un système de recherche unifiée ;
  • De proposer un téléchargement aisé des archives ;
  • D’archiver automatiquement des flux de données et de documents issus du système d’information…

Une valeur ajoutée pour les données exploitées

L’archivage devient ainsi, à l’époque du RGPD, plus qu’une solution de stockage. Il permet de renouveler la confiance accordée par les consommateurs aux entreprises et aux institutions. Il offre aux données de ces dernières des solutions de gouvernance de l’information plus poussées, donnant une nouvelle valeur ajoutée aux données exploitées.

Ainsi, l’archivage doit permettre d’analyser et de nettoyer les file sharing. De repérer les documents les plus engageants. De réduire les délais, coûts et risques en matière de migration. De maîtriser le capital informationnel. Bref, de faire « plus » et « mieux » !

Les solutions d’archivage compatibles avec le RGPD permettent à la fois de respecter les obligations nouvelles nées de ce texte européen, mais aussi de donner une nouvelle valeur aux données exploitées. De quoi aborder avec sérénité l’application du RGPD !

La destruction des données, clé de voûte du RGPD

Les données ont longtemps été considérées comme un nouvel « or noir ». Bien exploitées, elles permettaient aux entreprises de trouver de nouvelles cibles pour leurs produits et/ou leurs services, de mieux vendre et de mieux s’adapter aux attentes de leurs marchés. Sauf qu’avec le RGPD, le « rapport de force » s’inverse : ce sont les consommateurs qui reprennent le contrôle des informations qu’ils laissent à la disposition des acteurs économiques, associatifs et institutionnels. Ce qui implique que de nouveaux outils doivent être utilisés, permettant notamment un meilleur accès aux données et une destruction plus aisée. Décryptage.

La fin de la donnée éternelle

Certes, cela paraît déjà lointain, mais fut un temps où les données étaient stockées sur un support papier, et conservées dans de grands classeurs, eux-mêmes rangés sur des étagères. À cette époque, la question de la destruction des données ne se posait pas vraiment : à un moment ou à un autre, elles passaient à la déchiqueteuse, en général lorsqu’il fallait de la place et que l’on était certain que l’on en n’aurait plus besoin. Avec l’avènement du stockage numérique, les choses ont changé : le réflexe de tout stocker s’est petit à petit imposé. Et ce, sans date limite.

Avec le RGPD, ce genre de pratique appartient désormais au passé. Ce texte, applicable dès le 25 mai 2018, oblige les acteurs économiques et institutionnels à déterminer une durée de stockage des données. Chaque document, chaque information, chaque élément sur tel ou tel consommateur, doivent « disparaître », à une date précise, du capital informationnel (1 mois pour les images d’un dispositif de vidéosurveillance, 3 ans pour les coordonnées d’un prospect qui ne répond à aucune sollicitation, 10 ans pour les données d’un dossier médical…). Mieux : l’entreprise doit être en mesure de les détruire en amont, sur simple demande du particulier concerné.

Le rôle essentiel du DPO

Or, cette automatisation de la gouvernance de l’information passe par l’adoption de nouveaux outils, qui permettront d’accéder aux données et de les détruire le cas échéant. C’est le DPO (Data Protection Officer) qui devra impulser leur arrivée dans le système d’information.

Ainsi, un logiciel automatisé de gestion des données personnelles permettra notamment au DPO de gérer l’ensemble des tâches demandées par les consommateurs, qui correspondent à autant de nouveaux droits (ou de droits renforcés) suggérés par le RGPD : consultation des données (« Que sait l’entreprise X sur moi ? »), suppression (« Je ne souhaite plus apparaître dans le listing des gens à contacter ponctuellement pour me proposer de redevenir client »), modification (« Je ne suis pas célibataire, merci de me proposer des services qui correspondent à mes attentes ») ou encore anonymisation (« Je ne souhaite plus être associé à telle caractéristique »).

Aller plus loin avec le « File analysis »

Si la CNIL propose un outil, appelé PIA (Privacy impact assessment), permettant de conduire et de formaliser des analyses d’impact sur la protection des données dans le cadre du RGPD, il peut être intéressant, dans les plus grandes structures, de se tourner vers un outil de File analysis. À l’instar de celui que propose Everteam, ces logiciels permettent d’analyser des contenus non-structurés comme semi-structurés, et combinent des fonctions de NLP (Natural language processing), d’auto-classification, d’archivage et de gouvernance de l’information. L’objectif ? Accéder plus vite et plus précisément à son capital informationnel, et réaliser de façon automatique des actions préconfigurées, qui s’optimisent au fur et à mesure de l’apprentissage par le logiciel !

L’accès aux données, et leur destruction en cas de besoin, doivent être au cœur de votre politique de gouvernance de l’information. Vous souhaitez en savoir plus sur les outils qui vous permettront de respecter le RGPD ? Contactez les équipes d’Everteam !

RGPD : quels outils pour la gestion des données ?

Le RGPD s’applique en entreprise grâce à des outils adaptés à ses impératifs. Le plus important de ces impératifs ? Assurer aux consommateurs, qui auraient confié quelques données, que l’entreprise ou l’institution qui les a récupérées sera en mesure de les modifier ou de les supprimer. Il convient donc d’être en mesure d’anticiper les demandes, d’accompagner les requêtes dans des temps convenables, de corriger les erreurs qui ont pu être faites par le passé, ou encore d’accéder directement à la bonne information. Vous l’aurez compris : sans outil de gestion des données, pas de RGPD respecté !

PIA, un outil pour la conduite d’une analyse d’impact relative à la protection des données

Le premier outil permettant de respecter le RGPD est fourni directement par la CNIL. Le logiciel PIA (Privacy impact assessment) permet en effet de faciliter et d’accompagner la conduite d’une analyse d’impact relative à la protection des données. Rappelons que celle-ci deviendra obligatoire pour certains traitements à partir du 25 mai 2018 !

PIA s’articule autour de trois axes :

– Une méthode d’analyse d’impact proposée par la CNIL, avec plusieurs outils de visualisation qui permettent de comprendre en un coup d’œil l’état des risques du traitement étudié ;

– Une liste des points juridiques qui garantissent la licéité du traitement, accompagnée des mesures protectrices des droits des personnes concernées ;

– Un statut « open source », permettant au logiciel de s’adapter à vos besoins et/ou de recevoir de nouvelles fonctionnalités.

Le logiciel automatisé, au centre de la gestion des données personnelles

Les analyses d’impact effectuées, il reste à gérer au quotidien les informations collectées. Cela passe par l’adoption d’un logiciel automatisé de gestion des données personnelles. Il constitue une base solide pour une gouvernance de l’information « RGPD compatible », puisqu’il permet :

– De lister l’ensemble des traitements automatisés ;

– De mettre à jour en temps réel la base documentaire ;

– D’accéder plus facilement aux données sensibles, qu’elles se trouvent dans des ensembles structurés ou non-structurés ;

– De créer une cartographie des traitements ;

– De créer un registre des traitements ;

– D’éditer un bilan annuel des traitements, que la CNIL pourrait être amenée à demander lors d’un contrôle ;

– De supprimer, modifier ou exporter les données, à la demande des consommateurs concernés…

Vous souhaitez aller plus loin ? Les outils de File analysis sont à votre disposition. Ils permettent de disposer d’un point d’accès centralisé, idéal pour rechercher une information suite à une sollicitation de la part des personnes concernées ou de la CNIL lors d’un contrôle, en qualifiant plus tôt l’information.

Une gestion des données efficace, c’est l’assurance de se mettre en conformité facilement avec les exigences de la CNIL pour les DPO. D’ailleurs, nous avons préparé un véritable guide pour ceux qui s’apprêtent à occuper ce rôle capital. Cliquez ici pour le consulter !

RGPD : Le DPO est-il obligatoire ?

Oui… et non ! Tout à la fois juriste, pédagogue, informaticien et porte-parole, le DPO (Data Protection Officer) est en entreprise le garant de l’application du RGPD, qui entrera en application dans quelques semaines — le 25 mai pour être exact. Mais il n’est pas obligatoire pour tout le monde !

En effet, le texte du Règlement Général sur la Protection des Données est très clair. Disposer d’un DPO (interne ou externe, peu importe tant qu’il est facilement joignable et peut exercer sa mission de manière complète) est indispensable pour les entreprises et les institutions qui se retrouvent dans les descriptions suivantes :

– Être une autorité ou un organisme public ;

– Être une entreprise dont les activités lui imposent de réaliser un suivi « régulier et systématique », à « grande échelle », des personnes ;

– Être un organisme (quel que soit le statut, privé ou public) dont les activités de base lui imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

C’est flou ? Oui, un peu. Les concepts de « suivi régulier et systématique » et « à grande échelle » peuvent être assez vagues. Reste que le G29, regroupant les organismes de contrôle européens (dont la CNIL française), a précisé quelque peu les choses. Ainsi, tout suivi des données « continu ou ponctuel », « récurrent ou itératif », « en cours ou se produisant pendant des périodes données » sera considéré comme régulier. Tout suivi « prévu, organisé ou méthodique » aura aux yeux de la CNIL l’étiquette de « systématique ». Enfin, un suivi « à grande échelle » sera apprécié en fonction de nombre de personnes suivies, du volume de données collectées et de la durée de traitement, mis en rapport avec le périmètre géographique de l’organisme.

À la lecture de ces critères, vous pensez qu’un DPO, ce n’est pas pour vous ? Deux conseils : tout d’abord, consultez un avocat ou en expert de la gestion des données pour vous assurer que la CNIL (ou tout autre organisme de contrôle européen) n’aura pas une lecture différente de votre traitement des données. Ensuite, n’oubliez pas que cela ne vous exonère pas de vos obligations « made in RGPD » : le DPO est le référent de ce nouveau texte pour certaines entreprises, mais le texte lui-même s’applique partout ! Ainsi, vous devez être en mesure de rendre aux consommateurs leurs données personnelles et leur exploitation, via de nouveaux droits et d’autres qui sont renforcés :

  • Le droit d’avoir accès aux données les concernant ;
  • Le droit de les modifier ;
  • Le droit de les supprimer (le fameux « droit à l’oubli ») ;
  • Le droit d’en limiter l’accès ;
  • Le droit de les transférer à un autre acteur économique ou institutionnel…

Vous êtes concerné par l’obligation d’avoir un DPO ? Mieux, vous vous apprêtez à le devenir vous-même ? Everteam a pensé à vous : téléchargez et consultez notre guide du DPO prêt à l’action » !

RGPD : quels impératifs juridiques pour les entreprises ?

L’application du RGPD en entreprise ne repose pas uniquement sur l’adoption de nouveaux outils, comme un logiciel de File Analysis ou d’archivage optimisé. La mise en conformité avec ce texte va en effet supposer de définir une véritable stratégie juridique et réglementaire. Celle-ci permettra de s’assurer, en cas de contrôle, de ne pas risquer d’amende.

La désignation d’un DPO, étape prioritaire

Première étape lorsque l’on veut appliquer le RGPD en entreprise ? La désignation d’un DPO, ou Délégué à la protection des données. Certes, il n’est obligatoire que dans les cas suivants :

  • Les autorités ou les organismes publics (les administrations, les ministères…) ;
  • Les entreprises dont les activités imposent de réaliser un suivi « régulier et systématique », à grande échelle, des personnes ;
  • Les organismes dont les activités de base leur imposent de traiter « à grande échelle » des données considérées comme sensibles (les données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale…) ou des données en lien avec des condamnations pénales et/ou des infractions.

Vous ne vous reconnaissez pas dans cette description ? Mieux vaut être certain de ne pas être concerné avant de mettre l’option DPO de côté. Pour cela, contactez un avocat ou un expert de la CNIL, lequel pourra vous aider à déterminer si vous rentrez dans les cases prévues par le RGPD. Dans tous les cas, n’oubliez pas que, DPO ou non, toutes les entreprises doivent assurer aux consommateurs d’avoir accès aux droits prévus par le RGPD : consultation des données les concernant, modification, suppression, limitation de l’accès, transfert à un autre acteur économique…

Un renforcement du dispositif contractuel

Vous recueillez les données des consommateurs dans le cadre de vos activités ? Veillez à ce que leur accord soit clairement formulé dans les documents que vous leur soumettez. Ainsi, vous avez l’obligation de demander au consommateur l’autorisation de collecter et d’utiliser ses données personnelles afin que leur traitement soit validé et accepté par la CNIL. Attention, pour obtenir cette autorisation, les cases prévues à cet effet (« J’accepte que mes données personnelles soient utilisées » par exemple) ne peuvent désormais plus être précochées. Enfin, notez que les autorisations obtenues ne peuvent plus être considérées comme irrévocables et « globales » : le consommateur bénéficie d’un droit d’opposition à l’utilisation de ses données à des fins de marketing direct, et d’un droit d’opposition au profilage selon les informations qu’elles contiennent.

La réalisation d’études d’impacts

Les études d’impacts constituent l’un des éléments de réassurance, destinés à la CNIL ou à tout autre organisme de contrôle. Si elles ne sont pas obligatoires, elles constituent un point intéressant du RGPD, puisqu’elles vont permettre aux responsables de traitements (ainsi qu’aux fournisseurs de solutions permettant ces traitements) de justifier du niveau de garantie proposé en termes de protection des données. Visant les traitements considérés comme « à risque », elles peuvent être réalisées à différents moments de l’application du RGPD. C’est un investissement, certes, mais qui prend tout son sens à la lecture des sanctions potentielles pour non-respect du RGPD !

RGPD : les sanctions
Le texte du RGPD est clair sur les sanctions encourues par les contrevenants au RGPD : les amendes administratives pourront s’élever à 10 millions d’euros ou à 4 % du chiffre d’affaires annuel mondial de l’entreprise – c’est le montant le plus important qui sera retenu par l’autorité compétente. Autant dire que se mettre en conformité n’est plus une option !

 

L’application du RGPD doit se faire dans le respect des règles édictées par ce nouveau texte européen. Au besoin, n’hésitez pas à vous faire accompagner pour être certain de ne commettre aucun impair : certes, la CNIL pourra se montrer conciliante les premiers temps. Mais elle n’hésitera pas à « faire des exemples », et sa clémence — largement hypothétique rappelons-le — ne durera qu’un temps !

RGPD : tous les secteurs sont concernés !

Le Règlement général sur la protection des données (RGPD) entrera en vigueur le 25 mai 2018. Il ne doit pas être vu comme un carcan, enfermant les acteurs économiques dans de nouvelles obligations qui ne feraient que limiter leurs possibilités d’action — et donc de générer du chiffre d’affaires. Au contraire, il doit être vu comme une chance de renouveler la confiance qu’accordent les consommateurs aux entreprises. Mais quels sont les secteurs les plus touchés par le RGPD ? Faisons le point !

Les assurances

Les acteurs du secteur de l’assurance doivent se mettre en conformité avec le RGPD, et ce au plus vite. En effet, ils manipulent des données personnelles et sensibles : informations d’identité, moyens de paiement, habitudes de consommation, état civil… Bref, ils cochent toutes les cases pour figurer parmi les premiers que la CNIL ne manquera pas de contrôler dès l’application du nouveau Règlement général sur la protection des données !

Ce qui explique qu’ils soient concernés par la nomination d’un DPO, ou Délégué à la protection des données. Celui-ci devra ainsi assurer, lors de tout contrôle, que son entreprise est capable de maîtriser (et de communiquer) les informations suivantes : les données personnelles enregistrées, leur provenance, les noms et rôles des personnes autorisées à les utiliser, l’objectif et l’utilisation des données ainsi que leur lieu de conservation, et les personnes qui ont accès à ces données !

Les banques

Historiques de paiement, solvabilité, charges qui pèsent sur le budget… les banques manipulent, elles aussi, des informations confidentielles sensibles. Elles devront dès le mois de mai assurer à leurs clients qu’elles pourront respecter leurs nouveaux droits liés au RGPD :

  • Le droit d’accès aux données ;
  • Le droit d’être informé sur le traitement des données utilisées ;
  • Le droit de rectification ;
  • Le droit d’opposition ;
  • Le droit de portabilité des données ;
  • Le droit à l’oubli.

Il ne s’agit donc pas uniquement, pour les banques, d’adopter de nouveaux outils. De nouveaux réflexes sont à prendre dès maintenant pour satisfaire aux exigences du législateur. Un exemple ? L’abandon des cases précochées dans les formulaires !

Le e-commerce

Secteur moins sensible que la banque ou l’assurance, le e-commerce n’en est pas moins concerné par l’application du RGPD. Il faut dire que dans son cas, l’utilisation des données personnelles est au centre de la démarche commerciale : recommandation de produits, publication d’avis, achats suggérés automatiquement, paniers conservés malgré la fermeture d’une session, envoi de newsletters et autres opérations promotionnelles…

La CNIL (ou toute autre autorité de contrôle en Europe) pourrait donc être amenée à effectuer rapidement des contrôles auprès des acteurs du e-commerce. D’autant qu’elle a sans doute à l’esprit les difficultés éprouvées par les consommateurs pour se désabonner de certaines newsletters, ou ne plus recevoir de sollicitations par SMS ou par téléphone… Et, si elle devait ne pas y penser, certains consommateurs ne se priveront pas de lui rappeler les problèmes rencontrés !

Contrainte ou opportunité commerciale ?

La question mérite d’être posée : le RGPD est-il une contrainte pour les entreprises, ou peut-il devenir une opportunité commerciale ? Sans doute un peu des deux : c’est une contrainte puisqu’il impose un nouveau traitement des données, l’adoption de nouveaux outils, voire la nomination d’un DPO. Mais il peut aussi être considéré comme une opportunité, celle de montrer aux consommateurs que l’on est une entreprise digne de confiance, qui utilise les données personnelles dans le respect de la loi et sans exagération, et qui est à l’écoute des envies des particuliers de ne plus recevoir de sollicitation non-désirée !

Le RGPD s’apprête à impacter tous les secteurs d’activité. Banque, e-commerce et assurance ne sont que quelques exemples. Nous vous en fournirons d’autres très bientôt ! En attendant, n’hésitez pas à contacter notre équipe pour poser toutes vos questions.

RGPD : quelles nouvelles missions pour les avocats ?

Le Règlement général sur la protection des données (RGPD) change le quotidien de nombreux professionnels. Le DPO est l’exemple le plus évident, puisque… pour lui, tout est à créer ! Les avocats, quant à eux, se positionnent également sur le créneau pour leurs clients. L’objectif ? Fournir des prestations de conseil, pour les aider à passer cette étape sans encombre.

Un accompagnement global

Depuis l’officialisation de l’entrée en vigueur du RGPD, nombre de cabinets se sont positionnés sur le créneau. Ils proposent un accompagnement global, fait de plusieurs types de prestation :

  • Rédaction de politiques de protection des données personnelles adaptées à l’activité et à la structure du client ;
  • Mise en rapport de cette politique avec la charte informatique ;
  • Mise en place d’un système automatisé de traitement des données personnelles et d’outils de contrôle ;
  • Sensibilisation du COMEX ou des salariés et collaborateurs à la culture RGPD ;
  • Formation aux tenants et aux aboutissants du RGPD…

Et les prestataires ?

Les avocats peuvent aussi aider les entreprises à obtenir de leurs prestataires des informations sur le traitement des données effectué dans le cadre de leurs processus. Ainsi, faire appel à un avocat pour vérifier les contrats des sous-traitants vous aidera à réduire les risques de rencontrer une quelconque mauvaise surprise lors d’un contrôle.

C’est d’ailleurs dans le cadre d’une visite surprise de la CNIL ou de tout autre organisme de contrôle que la présence d’un avocat peut être précieuse. Il peut ainsi vous fournir une assistance (contrôle sur place, contrôle sur convocation, contrôle sur pièces…) durant le contrôle en lui-même, ou, s’il le faut, dans l’étape d’après, notamment dans le cadre de recours contre des délibérations de la CNIL (refus d’autorisation, sanctions prises pour cause de défauts constatés dans le traitement des données…).

Faut-il faire appel à un avocat ?

Passer par un avocat pour s’assurer de respecter les règles et l’esprit du RGPD n’est pas obligatoire. Le DPO, notamment, doit posséder un profil alliant des compétences techniques à des connaissances juridiques, pouvant, théoriquement, dispenser d’un accompagnement de la part d’un avocat, du moins sur le long terme.

Il peut néanmoins être intéressant de se faire conseiller durant les premiers mois d’application du RGPD, afin de bien se former aux impératifs du règlement. Il sera également un allié précieux en cas de contrôle. Assurez-vous, cependant, de choisir un professionnel parfaitement au fait du contenu des textes, qui s’est véritablement formé sur le sujet !

Les avocats font partie des premiers à avoir compris que le RGPD constituait une réelle opportunité pour proposer de nouvelles missions à leurs clients. Ils peuvent, en complément d’un accompagnement par un professionnel de la gouvernance de l’information, être précieux pour rester certain de ne rater aucun alinéa du RGPD ! Dans tous les cas, vous pouvez solliciter notre équipe qui saura vous conseiller et vous accompagner dans votre démarche.