Identifier auquel des 4 niveaux de complexité RGPD votre société doit se référer

Business & People

Identifier auquel des 4 niveaux de complexité RGPD votre société doit se référer

18 octobre 2019 Non classé 0

Depuis son entrée en application le 25 mai 2018, le RGPD (règlement général sur la protection des données) a fait de la protection des données un enjeu (risque / opportunité) pour les entreprises françaises et européennes. Plusieurs sanctions ont ainsi été infligées par la CNIL (Commission nationale de l’informatique et des libertés). L’exemple de Google sanctionné en janvier 2019 de 50 M€ après un contrôle de la CNIL, pour manquement aux obligations de transparence en est la preuve. Quand CapGemini annonce que 39% des consommateurs dépensent jusqu’à 24% de plus chez les entreprises qui protègent leurs données personnelles.

Si le particulier n’est pas concerné, toute entreprise ou organisme est soumis aux dispositions du RGPD. En fonction des types de données et du traitement effectué, l’organisme va rentrer dans 1 des 4 catégories de conformité que l’on peut établir sur la base des obligations des 99 articles du RGPD (règlement (UE) 2016/679). La sanction peut aller jusqu’à 4% de CA mondial ou 20 M€.

 

Faites le test et identifier votre niveau de conformité nécessaire

Ou voir plus en détail, toutes les implications du RGPD !

Qu’est-ce qu’un donnée personnelle

Il s’agit de toute information permettant d’identifier une personne physique directement ou indirectement, ou par croisement des données :

  • nom, prénom
  • adresse mail
  • carte de paiement
  • numéro de téléphone
  • identifiant (numéro client par exemple)
  • numéro de sécurité sociale
  • adresse IP
  • photo d’un visage
  • vidéo montrant une personne,
  • Une donnée de ocalisation
  • Un matricule interne
  • Un enregistrement vocal
  • etc.

Peu importe que ces informations soient confidentielles ou publiques : elles restent personnelles.

Que la provenance soit de la prospection directe, via des réseaux sociaux ou internet, des fichiers achetés ou juste des adresses IP, …

Que ce soit un fichier employés, clients, fournisseurs… à partir du moment où vous créez un fichier.

A quoi correspond la notion de traitement en RGPD

Il est fait référence à toute action effectuée sur des données à caractère personnel de personnes physiques.

Exemples :

Collecte d’informations via une fiche de renseignements, un bordereau d’inscription, un questionnaire, un formulaire de contact, un formulaire d’inscription à une newsletter…

Enregistrement d’une base de données, d’un fichier clients par exemple…

Mise à jour d’un fichier fournisseurs,…

Mise en place d’un système de vidéosurveillance…

la consultation, la diffusion, le rapprochement, la destruction…

Renforcer le droit des personnes

Il couvre l’ensemble des résidents de l’UE, et garantit aux internautes, aux utilisateurs d’objets connectés, un client ou un prospect un certain nombre de droits confortés, renforcés ou nouveaux sur l’utilisation de leurs données personnelles

 

Les mentions RGPD

Les personnes doivent en effet savoir ce que vous allez faire de leurs données, donner leur consentement au traitement et être en mesure d’exercer facilement leurs droits.
A chaque fois que vous collectez des données personnelles, le support utilisé (formulaire, questionnaire, etc.) doit ainsi comporter certaines informations :

  • identité et coordonnées du responsable du traitement (ou de son représentant),
  • finalités du traitement effectué,
  • base juridique du traitement,
  • destinataires des données,
  • durée de conservation des données,
  • droit d’introduire une réclamation auprès d’une autorité de contrôle,
  • etc.

Un consentement clair et explicite

Les entreprises susceptibles d’utiliser vos données personnelles doivent ainsi vous demander votre accord, “sous une forme compréhensible et aisément accessible, formulée en des termes clairs et simples”. L’internaute devra désormais cocher lui-même la case “oui” ou “non”, et pourra aussi revenir sur sa décision, sans donner de justification.

 

Le portage, le droit à l’oubli et à la modification

Le RGPD prévoit en outre un “droit à l’oubli”, vous permettant de demander l’effacement des informations personnelles collectées qui lui sont liées, à tout moment, y compris chez les partenaires et les sous-traitants des entreprises concernées ; et un droit de portabilité des données.  Ce droit vous permettra de récupérer auprès des entreprises vos données collectées, et d’en disposer – non plus sous la forme de fichiers imprimables (et souvent inutilisables), mais sous forme numérique, ce qui vous permettra ainsi de les réutiliser avec d’autres services (application, réseau social, FAI, etc.)..

 

Le droit d’être informé en cas de piratage des données

En 2016, Uber avait attendu 1 an avant de révéler qu’il avait été hacké. Cela concernait les données de 57 millions d’utilisateurs.

 

Introduction du principe des actions collectives

 

Un droit à réparation des dommages matériel ou moral

Transparence et responsabilité des acteurs

La responsabilisation des acteurs constitue aussi un pilier. Afin d’assurer la protection des données collectées, les acteurs qui traitent ces données devront mettre en place des mesures de protection et être capable de démontrer leur conformité à tout moment.

Les mentions et l’obtention de consentements clairs et explicites ont été vus précédement.

Vous devez garder une preuve de tous les consentements que vous avez obtenus (enregistrement, Opt-in…)

Vous devez démontrer que chaque donnée est pertinente et répond à l’objectif du traitement des données.

C’est obtenir l’accord du destinataire de la publicité :

S’il n’a pas dit « oui », c’est « non ».

Avant d’envoyer de la publicité électronique par mail, SMS, MMS ou fax, il faut obtenir l’accord du destinataire ;

Cet accord s’obtient le plus souvent par une mention comme celle ci :  « Si vous souhaitez recevoir des propositions commerciales de nos partenaires par voie électronique, merci de cocher cette case » ;

Ne pas respecter cette règle constitue infraction qui peut être punie d’une amende de 750 euros par message publicitaire.

C’est lorsque le destinataire de la publicité ne s’est pas opposé :

s’il n’a pas dit « non », c’est « oui ».

C’est donc l’inverse : à défaut de s’opposer à recevoir des publicités, la personne pourra en recevoir.

Cette fois, la mention prend le plus souvent cette forme : « Si vous ne souhaitez pas recevoir des propositions commerciales de nos partenaires par courrier postal, merci de cocher cette case » 

Cela concerne notamment la publicité adressée par voie postale ou par téléphone, ainsi que la publicité par voie électronique pour des produits similaires ou analogues à ceux déjà acquis par un client auprès du professionnel qui le démarche.

  •  BtoC

(Business vers les consommateurs)

Pas de message commercial sans accord préalable du destinataire. Pour pouvoir utiliser des données de particuliers vous devez donc avoir un consentement explicite avec opt-in.

  • En BtoB

(Business vers les professionnels)

L’information préalable et le droit d’opposition sont les maîtres mot. Vous devez informer les personnes et donner la possibilité de modifier l’usage qui est fait des données. L’objet de la sollicitation doit aussi être en rapport avec la profession de la personne démarchée. On utilise plutôt ici le opt-out.

 Vous êtes en effet tenu à une obligation légale d’assurer la sécurité des données personnelles que vous détenez.

Vous devez être en mesure de retrouver les données de la personne mais aussi de pouvoir lui transmettre ces données sous une forme électronique.

L’obligation faite aux entreprises de ne collecter que ce qui est strictement nécessaire : votre âge ou votre genre ne vous serons ainsi plus demandés par une société désirant vous envoyer une newsletter, par exemple.Si vous n »avez pas besoin du nom, et qu’un pseudo vous suffit.

La Cnil recommande que les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans soient supprimées.

La notion de données sensibles et/ou particulières

Attention RGPD ! Certaines données sont dites « sensibles« . Leur traitement nécessite de prendre des mesures supplémentaires. Il s’agit notamment du traitement de données :

  • révélant l’origine raciale ou ethnique,
  • portant sur les opinions politiques, religieuses ou philosophiques, sur l’appartenance syndicale,
  • concernent la santé, l’orientation sexuelle,
  • génétiques ou biométriques,
  • portant sur des infractions et condamnations pénales.

Les données particulières vont plus correspondre à des données de profilage, des données croisées ou à grande échelle…

La notion de profilage et de prise de décision entièrement automatisée

Le profilage est défini à l’article 4 du RGPD. Il s’agit d’un traitement utilisant les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme par exemple déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc.

Un traitement de profilage repose sur l’établissement d’un profil individualisé, concernant une personne en particulier. Il vise à évaluer certains de ses aspects personnels, en vue d’émettre un jugement ou de tirer des conclusions sur elle. Il ne comprend donc pas les traitements purement statistiques ayant pour objectif d’acquérir une vue d’ensemble sur un groupe.

Le profilage a lieu lorsque vos aspects personnels sont évalués afin de réaliser des prédictions à votre sujet, même si aucune décision n’est prise. Par exemple, si une entreprise ou une organisation évalue vos caractéristiques (telles que votre âge, votre sexe, votre taille) ou vous classe dans une catégorie, cela signifie que vous êtes profilé.

La collecte et l’analyse de l’activité des personnes, par exemple sur Internet, les réseaux sociaux ou les sites marchands, permettent de construire des profils pour mieux cerner leur personnalité, leurs habitudes d’achat ou leur comportement.

Mais tout simplement lors des entretiens de recrutement par la RH ou par un cabinet spécialisé.

 

La prise de décision

La prise de décision exclusivement automatisée a lieu lorsque des décisions sont prises à votre sujet par des moyens technologiques et sans aucune intervention humaine. Elles peuvent même être prises sans profilage.

Le profilage et la prise de décision automatisée sont courants dans un certain nombre de secteurs, tels que la banque et la finance, la fiscalité et les soins de santé. Ils peuvent être plus efficaces, mais moins transparents, et peuvent limiter votre choix.

Les décisions exclusivement automatisées sont autorisées lorsque:

  • la décision est nécessaire (c’est-à-dire qu’il n’existe pas d’autre manière d’atteindre le même objectif) pour conclure ou exécuter un contrat avec vous,
  • vous avez donné votre consentement explicite.

Sous-traitants et RGPD

De même, le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability.

Dans le contrat entre le client et le sous-traitant doivent donc être inclues des clauses spécifiques au RGPD.

Chacun est tenu de vérifier la conformité de l’autre. Le sous-traitant doit en plus tenir un registre supplémentaire (Voir plus loin).

Ces contrats de sous-traitants permettent à toute entreprise de faire appel, comme par le passé, à des sociétés de communication, de marketing, commerciales ou de consulting et de partager les fichiers sous certaines conditions (Consentement préalable des personnes du fichier…).

Attention, si votre activité est de sous-traiter le démarchage (marketing ou direct), alors vous êtes considéré comme agir à grande échelle. Vous dépendez donc des données particulières.

Accéder au guide des sous-traitants de la CNIL:

Qu’est-ce qui change pour la prospection

Le fait de démarcher une personne avec un contact direct ne nécessite pas d’être en conformité avec le RGPD. Personne ne vous interdira jamais de frapper aux portes d’un immeuble pour vendre vos produits. De même si vous prenez les pages jaunes et commencez une prospection téléphonique.

Par contre, la protection commence à partir du moment où vous constituez un fichier suite à votre prospection. Ou tout simplement si vous utilisez une base de données pour faire votre prospection. Est-elle conforme aux RGPD ?

Créer sa propre base de données: Si vous vous constituez une base de données, c’est que vous avez obtenu le consentement des personnes et vous pouvez le prouver.

Acheter une base de données implique que dans cette base il y a déjà le consentement des personnes pour que VOUS utilisiez leurs données.

Utiliser votre propre base de données historique implique qu’il s’y trouve déjà les consentements. Si ce n’est pas le cas, alors votre priorité est de l’obtenir le plus vite possible.

Une autre solution est de passer par le sous-traitant pour effectuer le démarchage. Assurez-vous bien entendu que sa base de données est conforme.

Si vous prospectez par téléphone à partir d’un fichier type pages jaunes, vous devez à votre tour recueillir le consentement de la personne et en apporter la preuve (en général via un enregistrement de la conversation ou l’envoi d’un email post conversation).

De la même manière, vous ne pouvez pas à priori contacter des personnes issues de réseaux sociaux via des actions marketing. Vos contacts vous ont donné leur accord de communiquer via le réseau mais pas d’utiliser leurs coordonnées pour de la prospection.

Désigner un DPO et un RTD

Dans vos mentions doit apparaître le RTD (Responsable du traitement des données). La personne a contacter si un particulier ou un client veut user de son droit de rectification ou de supression ou de portage…

Chaque responsable de traitement et son sous-traitant doivent mettre en place des procédures et des actions afin de respecter le principe d’accountability. 

Le délégué à la protection des données (DPO) doit l’aider dans ce processus, en assurant un respect à la lettre des principes clés du RGPD. Ou dans la réalisation si nécessaire d’une analyse d’impact, d’une mise en œuvre d’un registre des traitements, traitements répondant au privacy by design et by default, etc.

Nommer un DPO est obligatoire pour tous les organismes du secteur public, toutes les entreprises dont l’activité entraîne le traitement de données personnelles à grande échelle et toutes les entreprises traitant des données personnelles “sensibles”.

Le DPO aura reçu une formation agrée et éventuellement il devra justifer d’une certification.

Pour en savoir plus: Devenir DPO par la CNIL

Les registres et analyse d’impact

Les notions de registres et d’analyse d’impact deviennent obligatoires dans certains cas.

 

Les registres

Vous devez recenser l’ensemble de vos traitements de données dans un registre des activités de traitement (prévu par l’article 30 du RGPD).

Ce registre permet d’identifier précisément :

  • les personnes qui interviennent dans le traitement des données,
  • les catégories de données traitées,
  • ce que vous faites de ces données,
  • qui accède aux données,
  • à qui elles sont communiquées,
  • la durée de conservation des données
  • les mesures de sécurité mises en place.

Les entreprises de moins de 250 salariés ne doivent inscrire sur ce registre que les traitements suivants :

  • les traitements non occasionnels : gestion de la paie, fichiers clients, fichiers fournisseurs…
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes : vidéosurveillance, systèmes de géolocalisation
  • enfin les traitements qui portent sur des données sensibles.

Par ailleurs, si vous opérez des traitements en tant que sous-traitant pour le compte de clients, vous devez mettre en place un second registre : le registre du sous-traitant.

 

L’analyse d’impact

Les entreprises devront faire des “études d’impact sur la vie privée” (PIA – Privacy Impact Assessment) dès qu’elles détiennent des données sensibles telles que l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses (non exhaustif).

Il existe 9 cas obligatoire d’analyse d’impact.

Le privacy by design et l’impact sur les SSII / ESN

(Entreprise du Service Numérique)

Il s’agit de limiter le nombre d’informations collectées, et ce dès la conception des bases de données. Afin de certifier la prise en compte du respect de la vie privée dès la conception, une norme ISO devrait prochainement être créée par l’Organisation internationale de normalisation. Ces sociétés doivent intégrer dès le design de leur produit, la protection des données a été pensée.

Notifier les autorités en cas de violation

Il devient obligatoire de notifier à l’autorité de protection des données dans les 72 heures en cas de violation de données à caractère personnel.

Transfert des données hors de l’union européenne

Des mesures spécifiques (sécurité) doivent être prise en cas de transfert des données à caractère personnel en dehors de l’UE. Ces données même en dehors de l’UE restent soumises au même principe de traitement.

Il est alors impératif d’indiquer clairement si vos données restent dans votre pays ou dans l’UE. Autrement il sera nécessaire de prouver que le pays de partage a bien des dispositions reconnues par votre autorité de contrôle compétente nationale.

Conclusion

Respecter le RGPD peut se réduire à des mentions légales si vous n’avez qu’un site Web vitrine (Niveau 1) avec un consentement sur les cookies nécessaire pour l’analyse du trafic de votre site.

Mais très vite si vous avez des employés par exemple vous passez à un niveau de conformité supérieur. Le consentement écrit ou via des opt-in devient nécessaire (Niveau 2). Que ce soit pour gérer votre fichier client, fournisseurs ou pour vos news letters. Transparence, minimisation, sécurité… doivent être claires et explicites. La tenue d’un registre semble très utile pour déjà justifier que vous ne rentrer pas dans un niveau 3.

Il sera alors essentiel de déterminer si vous rentrer dans le traitement de données sensibles ou particulières, ou si les données sont au coeur de votre activité. Et ainsi de pouvoir justifier des registres, des analyses d’impact et de la présence d’un DPO (Niveau 3) dans ces cas la.

La reconnaissance d’un code de conduite (publié par la CNIL entre autres) et sa revendication vous entraîne dans un niveau 4.

Faites le test et identifiez votre niveau de complexité RGPD pour être sur de respecter la loi européenne et de vous démarquer de vos concurrents.

Laisser un commentaire