En cas de contrôle, le registre est indispensable

VRAI ! Le registre des activités de traitement est l’une des pièces principales que demandera la CNIL (ou tout autre organisme européen) dans le cas d’un contrôle de l’utilisation des données personnelles. Mais il n’est pas le seul document à fournir, loin de là. Décryptage.

Comment se passe un contrôle ?

Dès le 25 mai, le RGPD s’appliquera sur l’ensemble du territoire européen. Cela signifie que dès le lendemain, des contrôles pourraient être effectués par la CNIL – même si cela paraît peu probable.

Comment se passerait un tel audit ? D’abord, il faut savoir que la décision serait prise « par le président de la CNIL, sur proposition du service des contrôles ». Elle pourrait, par exemple, faire suite à une plainte d’un tiers.

Trois types de contrôle peuvent être effectués. Le contrôle sur place, tout d’abord, le plus souvent sur convocation, au moins 8 jours avant la date du rendez-vous. Le contrôle dans un local de la CNIL, ensuite, également sur convocation et dans les mêmes délais. Le contrôle en ligne, parfois sans avoir besoin de prévenir le responsable du traitement visé. Dans ce dernier cas, les contrôles « se limitent à la consultation des données librement accessibles ou rendues accessibles, y compris par imprudence, négligence ou du fait d’un tiers ».

Les documents à fournir

On l’a dit, le registre des activités de traitement est le principal document à fournir en cas de contrôle effectué par la CNIL. Rappelons que celui-ci est obligatoire pour les entreprises de plus de 250 salariés et pour celles qui effectuent des traitements sensibles selon l’article 30 du RGPD. Il doit comprendre un certain nombre de documents et d’informations, tenus à jour :

  • L’identification du traitement ;
  • Le nom du responsable du traitement en question ;
  • La finalité du traitement (principale et secondaire, voire plus) ;
  • La durée de conservation des données…

La CNIL cherchera par ailleurs à obtenir « copie du maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre des traitements de données à caractère personnel ». Il convient donc de prévoir d’être en mesure de lui fournir des copies des contrats de sous-traitance informatique, par exemple.

Et la suite ?

Après un contrôle, un procès-verbal est établi, listant notamment les pièces qui ont été communiquées à la CNIL et ont fait l’objet d’une copie. Celles-ci sont ensuite étudiées. Deux issues sont alors possibles :

  • La CNIL n’a pas d’observation particulière à formuler. Elle clôture le contrôle « par un courrier du président de la CNIL qui peut contenir des recommandations (modification des durées de conservation, des mesures de sécurité…) » ;
  • La CNIL a trouvé des choses à redire. Le dossier est alors transmis à la formation restreinte de l’organisme de contrôle, qui réétudiera les pièces et les conclusions des agents. Elle pourra alors prononcer des avertissements, mettre en demeure de se mettre en conformité ou de suspendre les flux de données en dehors de l’Union européenne, voire prononcer des sanctions (jusqu’à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires de l’entreprise).

Les sanctions prévues par le RGPD ont le mérite d’être dissuasives. Si elles ne seront probablement pas prononcées dès le 25 mai, ne tardez pas à vous mettre en conformité, en vous référant à notre Guide du DPO prêt à l’action !

C’est le DPO et lui seul qui assure la conformité au RGPD

FAUX ! Le respect du RGPD est un travail d’équipe, qui concerne autant le DPO que les collaborateurs, la DSI et les avocats. Voici comment fonctionne cette « dream team » de la bonne gestion des données personnelles…

Le DPO, le chef d’orchestre

Le DPO est le référent RGPD de l’entreprise pour laquelle il travaille, que ce soit en tant que salarié (à temps complet comme à temps partiel) ou en tant que prestataire externe. Il est un véritable chef d’orchestre, puisqu’il va coordonner l’action de tous ses collaborateurs en :

  • S’informant sur les nouvelles obligations ;
  • Tenant à jour un registre de traitement des données personnelles ;
  • Assistant les décideurs sur les conséquences des traitements, en cours ou potentiels ;
  • Concevant des actions de sensibilisation ;
  • Répondant aux demandes de la CNIL ou de tout autre organisme de contrôle.

Le DPO est donc un élément de coordination en interne (auprès de ses collaborateurs et de sa hiérarchie) et en externe. Son rôle est stratégique à plus d’un titre, et son profil, à la fois technique et juridique. Un vrai mouton à cinq pattes !

L’avocat, le conseil

L’arrivée du RGPD et son application le 25 mai, voilà bien une source de préoccupation pour les chefs d’entreprise ! Les avocats sont donc nombreux à s’être positionnés dans un rôle de « pacificateur », de conseil, dans le cadre d’un accompagnement global « RGPD compliant » proposant les prestations suivantes :

  • Aide à la décision sur la nécessité ou non de recruter un DPO ;
  • Rédaction de politiques de protection des données personnelles adaptées à l’activité et à la structure du client ;
  • Mise en rapport de cette politique avec la charte informatique ;
  • Mise en place d’un système automatisé de traitement des données personnelles et d’outils de contrôle ;
  • Sensibilisation du COMEX ou des salariés et collaborateurs à la culture RGPD ;
  • Formation aux tenants et aux aboutissants du RGPD…

Il peut ainsi être pertinent de se faire conseiller durant les premiers mois d’application du RGPD. Un avocat sera également un allié précieux en cas de contrôle !

La DSI, la main dans les rouages

Bien sûr, l’application du RGPD va reposer sur des compétences techniques, aux mains de la DSI de l’entreprise. Il va ainsi s’agir pour elle d’installer, dans la durée, deux principes incontournables : l’accountability d’une part, consistant à mettre en œuvre des mécanismes et procédures internes démontrant que les règles relatives à la protection des données sont bien respectées, et le Privacy by default et by design d’autre part, incitant à déployer des process attentifs à la protection des données, dès la phase de conception.

La DSI est ainsi particulièrement concernée par l’article 32 du RGPD, évoquant une « obligation générale de sécurité », qui repose sur plusieurs impératifs :

  • La pseudonymisation et le chiffrement des données ;
  • L’intégrité, la disponibilité, la résilience et la confidentialité ;
  • Des phases de test, d’analyse et d’évaluation du SI ;
  • La mise en place de moyens pour rétablir l’accès et la disponibilité des données.

La DSI a ainsi pour mission de transformer, concrètement, les process de l’entreprise pour l’aider à respecter les impératifs du RGPD. Lesquels seront synthétisés par le DPO, et validés, si besoin, par les avocats.

Les collaborateurs, un changement de mentalité

Le RGPD touche toutes les composantes de l’entreprise. Ainsi, il impose aux collaborateurs un véritable changement dans les mentalités. Ils devront donc se montrer plus attentifs aux règles de respect des données personnelles, aux process et aux informations utilisées. Et ne pas oublier que, dans l’esprit du RGPD, toute donnée facultative dans une démarche commerciale est une donnée à ne pas utiliser !

L’application du RGPD est une affaire d’équipe. Vous vous apprêtez à en prendre la tête, et à devenir DPO ? Téléchargez notre Guide du DPO prêt à l’action !

Le Top 5 des blogs sur la gouvernance de l’information

À l’heure du RGPD (règlement général sur la protection des données) et du tout numérique, la gouvernance de l’information est en perpétuel mouvement. Everteam, éditeur de logiciels et leader mondial dans ce domaine, vous propose son Top 5 des blogs sur la gouvernance de l’information, qui vous permettront de vous tenir à jour sur ce sujet inépuisable.

1/ Le blog de Marie-Anne Chabin, pointure de l’information numérique

Professeure associée à l’université Paris 8, Marie-Anne Chabin a fondé, en 2000, le cabinet de conseil Archive 17, au sein duquel elle aide les entreprises à mieux gouverner leurs actifs informationnels. Elle a participé à plus de 80 projets d’archivage.

Dans son blog, elle livre ses analyses sur la société et rédige des billets humoristiques, dans lesquels la gouvernance de l’information tient une place de choix. Marie-Anne Chabin définit ses articles comme une « critique malicieuse et hebdomadaire de l’information numérique dans la société ; à l’usage de ceux qui pensent (et donc archivent) ».

http://www.marieannechabin.fr/

2/ Le blog d’Alain Bensoussan, pour les questions juridiques de la gouvernance de l’information

6 janvier 1978. La loi relative à l’informatique, aux fichiers et aux libertés réglemente la liberté de traitement des données personnelles ainsi que les conséquences de l’activité informatique. Une révolution juridique, qu’épousent immédiatement Alain Bensoussan, avocat à la Cour d’Appel de Paris, et son cabinet, qui se spécialise, dès 1978, dans le droit de l’informatique puis, plus globalement, des nouvelles technologies.

En 2012, le cabinet crée Lexing, premier réseau international d’avocats technologues dédié au droit des technologies avancées.

Fort de 40 ans d’expertise, Alain Bensoussan propose aujourd’hui, dans son blog, des articles traitant des questions juridiques liées à la gouvernance de l’information. Bien sûr, le RGPD, qui entrera en vigueur le 25 mai, est au cœur de nombreuses publications.

On retrouve également des sujets d’actualité générale traités sous un angle juridique, comme celui sur la tendance des jouets connectés qui peuvent dissimuler un risque d’espionnage et bien plus encore.

https://www.alain-bensoussan.com/avocats/category/publication/articles/

3/ Le blog Markess, spécialiste de la transformation digitale

Société d’études indépendante, Markess est spécialisée, depuis plus de 20 ans, dans l’analyse des marchés du numérique et les stratégies de transformation digitale des entreprises et administrations.

Markess propose, à travers son blog, de « maîtriser la valeur business du digital ». Concrètement, elle donne des outils aux organisations pour appréhender leurs clients, leurs prospects et même leurs collaborateurs. Retrouvez ainsi des sujets sur la relation client, la relation citoyen ou encore les ressources humaines, traités sous l’angle de la transformation numérique. Des thématiques comme l’archivage, le cloud computing, la big data, la dématérialisation ou les réseaux sociaux sont largement abordées.

http://blog.markess.com/

4/ Le blog du CR2PA, spécialiste de l’archivage

Le CR2PA, le Club des responsables de politiques et projets d’archivage, a été créé en 2008 par des directeurs de projets d’archivage, parmi lesquels Marie-Anne Chabin, dont le blog fait également référence dans le domaine de la gouvernance de l’information. Il défend l’archivage managérial. Il alerte également les utilisateurs sur le risque de non-archivage et sur l’importance, pour les entreprises, de mettre en place une réelle politique d’archivage.

Aussi, sur le blog de CR2PA, vous trouverez de nombreux articles sur les problématiques des archives ainsi que plusieurs MOOC (massive online open course), des formations en ligne ouvertes à tous, par exemple sur l’usage des mails.

https://blog.cr2pa.fr/news/

5/ Le blog de Sollan, boîte à outils de l’ECM

Fondé en 2001, Sollan est un acteur incontournable de la gestion d’information et de contenus numériques (ECM) spécialisé dans le conseil et l’intégration de solutions spécifiques.

Créée en 2001, Sollan est devenu un acteur incontournable dans le domaine de la gestion de l’information et des contenus numériques (ECM). Dans son blog, Sollan propose, logiquement, de bon nombre d’articles autour de l’ECM, la digitalisation, ainsi que plusieurs webinars sur des thèmes donnés. Sollan traite aussi de sujets d’actualité tels que l’incontournable RGPD. Ce blog donne des outils très concrets aux entreprises et administrations concernées par les problématiques de gouvernance de l’information avec comme leitmotiv : “structure the unstructured.”

http://www.sollan.com/www/fr/sollan-news

Vous cherchez d’autres sources sur la gouvernance de l’information ? N’hésitez pas à vous rendre sur le blog d’Everteam !

 

RGPD : quelles nouvelles missions pour les avocats ?

Le Règlement général sur la protection des données (RGPD) change le quotidien de nombreux professionnels. Le DPO est l’exemple le plus évident, puisque… pour lui, tout est à créer ! Les avocats, quant à eux, se positionnent également sur le créneau pour leurs clients. L’objectif ? Fournir des prestations de conseil, pour les aider à passer cette étape sans encombre.

Un accompagnement global

Depuis l’officialisation de l’entrée en vigueur du RGPD, nombre de cabinets se sont positionnés sur le créneau. Ils proposent un accompagnement global, fait de plusieurs types de prestation :

  • Rédaction de politiques de protection des données personnelles adaptées à l’activité et à la structure du client ;
  • Mise en rapport de cette politique avec la charte informatique ;
  • Mise en place d’un système automatisé de traitement des données personnelles et d’outils de contrôle ;
  • Sensibilisation du COMEX ou des salariés et collaborateurs à la culture RGPD ;
  • Formation aux tenants et aux aboutissants du RGPD…

Et les prestataires ?

Les avocats peuvent aussi aider les entreprises à obtenir de leurs prestataires des informations sur le traitement des données effectué dans le cadre de leurs processus. Ainsi, faire appel à un avocat pour vérifier les contrats des sous-traitants vous aidera à réduire les risques de rencontrer une quelconque mauvaise surprise lors d’un contrôle.

C’est d’ailleurs dans le cadre d’une visite surprise de la CNIL ou de tout autre organisme de contrôle que la présence d’un avocat peut être précieuse. Il peut ainsi vous fournir une assistance (contrôle sur place, contrôle sur convocation, contrôle sur pièces…) durant le contrôle en lui-même, ou, s’il le faut, dans l’étape d’après, notamment dans le cadre de recours contre des délibérations de la CNIL (refus d’autorisation, sanctions prises pour cause de défauts constatés dans le traitement des données…).

Faut-il faire appel à un avocat ?

Passer par un avocat pour s’assurer de respecter les règles et l’esprit du RGPD n’est pas obligatoire. Le DPO, notamment, doit posséder un profil alliant des compétences techniques à des connaissances juridiques, pouvant, théoriquement, dispenser d’un accompagnement de la part d’un avocat, du moins sur le long terme.

Il peut néanmoins être intéressant de se faire conseiller durant les premiers mois d’application du RGPD, afin de bien se former aux impératifs du règlement. Il sera également un allié précieux en cas de contrôle. Assurez-vous, cependant, de choisir un professionnel parfaitement au fait du contenu des textes, qui s’est véritablement formé sur le sujet !

Les avocats font partie des premiers à avoir compris que le RGPD constituait une réelle opportunité pour proposer de nouvelles missions à leurs clients. Ils peuvent, en complément d’un accompagnement par un professionnel de la gouvernance de l’information, être précieux pour rester certain de ne rater aucun alinéa du RGPD ! Dans tous les cas, vous pouvez solliciter notre équipe qui saura vous conseiller et vous accompagner dans votre démarche. 

B.A.-BA : l’archivage à valeur probatoire

La dématérialisation se développe à vitesse grand V. Il faut dire qu’elle présente un certain nombre d’avantages, permettant par exemple de gagner du temps et de simplifier la gouvernance de l’information au sein des entreprises. Elle représente pourtant un défi : les documents numériques étant par nature plus faciles à falsifier que les documents papiers, comment s’assurer de leur intégrité et de leur conformité ? C’est là qu’intervient l’archivage à valeur probatoire. Explications.

Une loi de 2000 au centre des préoccupations

L’archivage à valeur probatoire a été encadré par une loi (n°2000-230) datant du 13 mars 2000. Celle-ci stipule en effet dans son article 4 que « l’écrit sur support électronique a la même force probante que l’écrit sur support papier ». Cependant, pour que cette « force probante » soit reconnue, des critères bien précis ont été identifiés. Ce sont eux qui vont permettre à toute personne ou tout organisme susceptible de consulter des documents, d’être certains qu’ils n’ont pas été modifiés, altérés ou remplacés.

Archiver, ce n’est pas uniquement sauvegarder

Si l’archivage à valeur probatoire (ou « probante ») est devenu un enjeu majeur pour les entreprises, c’est donc parce qu’il ne s’agit pas uniquement de sauvegarder des documents. L’archivage va en effet plus loin : il doit permettre de garantir leur authenticité (les documents ont bien été produits par ceux qui affirment les avoir produits), leur confidentialité (n’y ont accès que les personnes expressément autorisées), leur pérennité (ils seront toujours accessibles lorsque l’on en aura besoin) et leur intégrité (ils n’ont pas été modifiés par une personne malintentionnée). L’idée ? Qu’ils puissent être utilisés comme preuve irréfutable en cas de litige, que ce soit avec un client, une administration ou une autre entreprise !

Trois exigences pour une valeur probatoire reconnue

Pour qu’un document électronique, archivé dans le cadre d’une stratégie de gouvernance de l’information, ait la même valeur qu’un document papier, trois impératifs ont donc été identifiés :

  1. Un certificat électronique doit permettre d’authentifier l’origine du document, ainsi que l’identité de son auteur ;
  2. Une signature électronique doit permettre d’attester de l’intégrité du contenu, avec horodatage ;
  3. Un coffre-fort électronique doit garantir que le système d’archivage est suffisamment sécurisé pour assurer la pérennité du document.

Ainsi, les systèmes d’archivage électroniques doivent être conformes aux normes ISO 14641-1 et NF Z42-013. Ce sont elles qui assureront, lors de tout contrôle, que le triptyque « Authentification / Intégrité / Pérennité » est bien respecté !

Et un document papier numérisé ?

La question mérite d’être posée : quelle valeur prend un document papier une fois numérisé ? L’original peut-il « communiquer » à la copie digitale sa valeur et son caractère irréfutable ? La réponse est techniquement « oui » mais légalement il faut être prudent et s’assurer de respecter les exigences liées aux Normes NFZ 42026 et NFZ42013. La première décrivant les exigences liées à la numérisation de façon à obtenir une copie numérique fidèle, c’est à dire conforme sur la forme et le contenu à l’original papier.

La seconde décrivant les exigences liées à la conservation du document électronique dans un système d’archivage électronique garantissant notamment l’intégrité, la traçabilité,la pérennité et la disponibilité des archives. Cependant d’un point de vue légal, aucun arrêté ne mentionne ces normes et ne sont donc pas « d’application obligatoire » même s’il existe des jurisprudence relative à la fiabilité des documents électoniques archivés dans SAE NFZ42013. A cela s’ajoute la règlementation du 5 décembre 2016 relatif à la fiabilité des copies et l’arrêté du 22 mars 2017 fixant les modalités de numérisation des factures papier.

Quelques exemples d’archivage à valeur probatoire…

L’archivage à valeur probatoire est un allié précieux dans de nombreux domaines :

  • Les ressources humaines, par exemple, dans le cas des contrats de travail (et notamment des attributions officielles), des fiches de salaire…
  • L’immobilier, s’agissant des baux et ruptures de baux, des DPE…
  • Le commerce, pour les contrats, factures, commandes, dossiers clients…
  • La comptabilité, pour les bilans, les comptes de résultat, les pièces justificatives…

L’archivage à valeur probatoire est une preuve en cas de contrôle. Il doit constituer une partie essentielle de votre démarche de gouvernance de l’information. Vous souhaitez vous faire accompagner dans celle-ci ? Connaître les éléments à mettre en place pour ne prendre aucun risque avec vos documents stratégiques ? Contactez les équipes d’Everteam ou faites une demande de démo !

Les contenus numériques, le nouvel atout majeur des entreprises

Les contenus numériques, le nouvel atout majeur des entreprises

L’information, de par son rôle essentiel dans la prise de décisions opérationnelles comme stratégiques, est un enjeu vital des organisations d’aujourd’hui. Mais face à la pléthore d’informations et ses différentes formes, l’entreprise se trouve aujourd’hui confrontée à des nouveaux enjeux : comment exploiter des contenus aussi hétérogènes dans leurs formes ? Comment donner du sens à des données de masse ? Comment les identifier et trier afin que cette information apporte une contribution réelle à la gestion des entreprises ? Comment consulter et analyser les données pour comprendre et agir en temps réel ?

Une information protéiforme

Et c’est là que se situe le défi. Face aux données structurées que les entreprises  savent exploiter, 80% de l’information créée en entreprise est non structurée. Cette information :

  • provient de multiples émetteurs – clients, salariés, prospects, experts, sous- traitants, communauté etc.
  • vit sous des formes disparates comme les textes, les images, les vidéos, les commentaires et avis etc.
  • est publiée sur de différents types de supports : sites web, messagerie, post sur les réseaux sociaux, référentiel documentaire, avis sur un forum, mémo interne, notamment…

Elle est pourtant à forte valeur ajoutée décisionnelle pour le constructeur automobile qui aura besoin des rapports des concessionnaires, des avis sur les forums de passionnés, des enquêtes d’accidents pour améliorer sa gamme de produits : pour l’équipe médicale qui appuiera sa prise en charge sur les dernières ordonnances, les données issues d’un tensiomètre connecté et les compte rendus d’intervention ; pour l’entreprise qui évaluera son lancement de nouveau produit en analysant les réactions sur les réseaux sociaux ; pour le support technique qui définira la meilleure solution grâce aux rapports d’intervention, aux forums d’utilisateurs et aux descriptifs techniques.

Il est à noter qu’il n’y a pas de séparation stricte entre les informations structurées et non-structurées, mais plutôt une constante cohabitation.

Explorer l’information

Outre la problématique du sourcing et de la collecte de l’information, tout se joue sur la transformation des données en contenu, du contenu en indicateurs, d’indicateurs en tendances et en décisions. L’objectif est de proposer aux utilisateurs une information bonifiée dans un contexte donné, des données enrichies et signifiantes grâce à des systèmes utilisés pour aller rechercher les données, les contextualiser et les corréler avec d’autres types d’informations. C’est dans ce contexte de gestion et de management de l’information que s’inscrit la valeur ajoutée des solutions ECM (Enterprise Content Management) de gestion de contenus qui permettent de gérer des informations de toute nature, qu’elles soient structurées ou non-structurées, et ce tout au long de leur cycle de vie, c’est-à-dire : – de leur élaboration – de leur diffusion – de leur exploitation – et de leur sort final d’archivage Une solution ECM de gestion de contenus comporte également des fonctions collaboratives permettant le partage et l’échange de l’information.

En tant que brique stratégique de l’architecture informatique, une solution ECM adaptée contribue à faire des contenus numériques l’atout majeur des organisations : grâce à la maîtrise active des contenus d’une part (gestion électronique de documents, dématérialisation et archivage) et à leur valorisation croisée d’autre part (big data et content analytics).