Un guide pratique pour comprendre les objectifs et les implications du règlement européen n° 2016/679 relatif à la protection des personnes physiques, à l’égard du traitement de leurs données à caractère personnel (GDPR / RGPD) et initier les bonnes mesures pour s'y conformer.
1. GDPR, le guide pratique pour bien démarrerDécembre 2017
Livre blanc
Ce qu’il faut savoir sur
Le Règlement Général sur la Protection
des Données n° 2016/679
2. 2
Mise en perspective du GDPR
Les 3 objectifs du règlement européen
Des changements majeurs pour les entreprises
Un dossier complexe à mettre en œuvre
Zoom sur le DPO – Data Protection Officer
6 étapes pour se conformer au GDPR
Comment démontrer sa conformité
Mémo - Les définitions clés
3
7
8
11
14
17
26
29
3. 3
Livre blanc
GDPR, le guide pratique pour bien démarrer
Mise en perspective
du GDPR
Le règlement européen n° 2016/679 relatif à la protection des
personnes physiques, à l’égard du traitement de leurs données à
caractère personnel, constitue une avancée majeure du système
juridique encadrant la protection de la vie privée.
Ce règlement remplace la directive 95/46/CE sur la protection des
données personnelles qui constituait le texte européen de référence
depuis 1995… bien avant l’émergence des géants d’Internet, GAFA et
consorts.
Face aux progrès technologiques fulgurants (big data, internet des
objets, intelligence artificielle…) qui transforment nos sociétés et nos
vies en favorisant un environnement numérique de plus en plus
omniprésent et pervasif, l’Union Européenne a adopté ce nouveau
règlement avec l’objectif de « redonner aux citoyens le contrôle de
leurs données personnelles ».
Le nouveau règlement européen sur la protection des données a été
définitivement adopté par le Parlement européen le 14 avril 2016 et ses
dispositions seront directement applicables dans l'ensemble des 28
États membres de l'Union européenne à compter du 25 mai 2018.
L’application du règlement aura également un impact extraterritorial
dans la mesure ou les sociétés non-européennes qui traitent des
données personnelles de résidents européens devront s’y conformer
(article 3 du règlement).
En cas de non-conformité au GDPR, les sociétés s’exposent à de lourdes
sanctions ! Le règlement donne aux régulateurs le pouvoir d'infliger des
sanctions financières allant jusqu'à 4% du chiffre d'affaires
mondial annuel d'une entreprise ou 20 millions d'euros (le montant
le plus élevé étant retenu) en cas de non-respect (article 83(6) du
règlement).
4. 4
Livre blanc
GDPR, le guide pratique pour bien démarrer
Par son étendue et face aux lourdes sanctions financières encourues, les
obligations définies par le GDPR ne peuvent être ignorées d’aucune
organisation. Le sujet du traitement des données à caractère
personnel doit être pris au sérieux, ce dont veut nous faire prendre
conscience le législateur.
Au-delà de l’aspect contraignant, il faut donc y voir une
conscientisation et un véritable changement d’état d’esprit à
adopter vis-à-vis de ces données particulières qui nous sont confiées.
La responsabilité à l’égard de ces données est en définitive une preuve
de respect des personnes, citoyens, usagers, clients : elle permet
d’établir un lien de confiance, ce qui représente pour les
organisations un atout à valoriser.
5. 5
Livre blanc
GDPR, le guide pratique pour bien démarrer
▪ Le GDPR est le texte de référence européen en matière de protection des données à
caractère personnel
▪ Applicable dans l'ensemble des États membres de l'UE à compter du 25 mai 2018
▪ Sanctions jusqu’à 20 millions d'euros ou 4% du CA annuel mondial de l'entreprise
▪ Objectifs :
▪ Renforcer le droit des personnes
▪ Responsabiliser les entreprises réalisant des traitements
▪ Renforcer la coopération avec les autorités protectrices des données personnelles
L’application du règlement ayant un impact extraterritorial, dans la mesure ou les sociétés
non-européennes qui traitent des données personnelles de résidents européens devront
s’y conformer (article 3 du règlement), le règlement européen a un réel impact pour des
entreprises internationales du monde entier.
En raison de la portée mondiale du règlement, nous préférons le terme anglais GDPR -
General Data Protection Regulation, au terme français RGPD - Règlement Général sur
la Protection des Données. Nous utilisons donc l’acronyme GDPR dans l’ensemble de
nos documents.
En bref
6. 6
Le sujet du traitement des données à caractère
personnel doit être pris au sérieux, ce dont veut
nous faire prendre conscience le législateur.
7. 7
Les 3 objectifs
du règlement européen
Le GDPR s’appliquera dès mai 2018 à
toute entreprise européenne qui collecte,
traite et stocke des données personnelles.
Ce règlement, à destination des entreprises,
veut simplifier, harmoniser et renforcer la
protection des données personnelles.
Le texte vise trois objectifs :
• Renforcer les droits des personnes
physiques
• Responsabiliser les entreprises qui
traitent les données à caractère personnel
• Consolider les pouvoirs des autorités
européennes en renforçant la coopération
entre les autorités protectrices de données
personnelles
Le GDPR a un véritable intérêt pour les
citoyens des 28 pays membres de l’UE. Il
renforce l’information sur l’usage des
données, uniformise les règlements
concernant la protection des données et
instaure la possibilité du droit à l’oubli à
l’échelle européenne.
Ce règlement répond au besoin en matière de
transparence, et rassure les clients des
entreprises.
Du point de vue des entreprises responsables
de traitement, une simple déclaration à
l’autorité de contrôle (comme la CNIL pour la
France) ne suffit plus.
Il s'agit à partir de maintenant d'être en
mesure de prouver à n’importe quel
moment, que les données à caractère
personnel sont protégées et impossible à
utiliser en cas de vol.
Le nouveau règlement européen met donc
l'entreprise face aux risques concrets et aux
défis de la cyber-sécurité.
Pour toutes les entreprises manipulant des
données personnelles (donc quasiment
l’intégralité des entreprises), le nouveau
règlement européen constitue l’un des
changements majeurs de ces dernières
années.
Livre blanc
GDPR, le guide pratique pour bien démarrer
8. 8
Livre blanc
GDPR, le guide pratique pour bien démarrer
Des changements majeurs
pour les entreprises
Les objectifs du GDPR se déclinent en une
série de changements majeurs pour les
entreprises concernant : de nouveaux droits
des personnes physiques, la
responsabilisation des organisations
effectuant des traitements de données à
caractère personnel, et des obligations
légales vis-à-vis des autorités de contrôle.
Nouveaux droits des personnes physiques
• Le droit à l’oubli
• Le droit d’accès, de modification,
d’effacement
• Le droit à la portabilité des données
• Le droit à l’opposition de toute opération
marketing
Responsabilisation des entreprises
• La responsabilité en matière de traitement
de données (principe « d’accountability »
avec des sanctions lourdes pour les
contrevenants)
• La gestion des consentements des
personnes concernée (y compris des
enfants)
• L’information des personnes concernées
quant aux traitements de leurs données
• La documentation de toutes les mesures et
procédures utiles pour assurer la
protection des données
• La protection des données par les concepts
de « Privacy by design & by default »
• L’évaluation obligatoire d’impact des
risques sur la protection des données dans
certains cas
• La notification de violations de données à
l’autorité de contrôle et aux personnes
concernées en cas de risque réel d’atteinte
à la protection de leur vie privée, dans un
délai de 72h
• La nomination d’un délégué à la protection
des données (DPO) est obligatoire pour
certaines entreprises
• Le transfert international de données en
dehors de l’Union Européenne sous des
conditions strictes
• Même si votre entreprise n’est pas dans
l’UE, la réglementation s’applique
Pouvoir des autorités européennes
• Un mécanisme de « guichet unique »
Un nouveau guichet unique Européen est
créé pour les entreprises. Cela signifie que les
entreprises, en cas de traitement
transfrontalier, ne devront faire face qu’à une
autorité de surveillance unique pour
l’ensemble de l’Europe et non pas au sein de
chaque état. Ceci rend plus simple et moins
coûteux les échanges des entreprises au sein
de l’UE.
9. 9
Livre blanc
GDPR, le guide pratique pour bien démarrer
Le GDPR impose de nouvelles normes et
obligations pour les entreprises qui n’ont que peu
de temps pour s’y préparer.
Or, des études faites au printemps 2017 sont
inquiétantes : plus de 50% des entreprises
affirment qu’elles ne seront pas prêtes à temps.
Les raisons évoquées : pas assez ressources,
difficulté à prioriser les chantiers, manque de
compréhension, trop de complexité…
10. 10
Une imbrication étroite entre le légal, la
technologie et l’usage qui implique la
collaboration des expertises.
11. 11
Livre blanc
GDPR, le guide pratique pour bien démarrer
La protection des données à caractère
personnel est un dossier complexe.
Né des avancées des technologies de
l’information et de la communication,
dont les progrès ont bouleversé
l’économie et la société, l’usage des
données à caractère personnel n’a fait que
croître jusqu’à se banaliser.
Les risques encourus par un usage
malveillant ou abusif de ce type particulier de
données ont suscité logiquement l’intérêt du
législateur pour aboutir à des mesures
juridiques dans un but de protection des
personnes.
Il apparait donc une imbrication étroite
entre le légal, la technologie et l’usage de
ces technologies, créant une complexité qui
nécessite des compétences expertes et
pluridisciplinaires. Le dossier est donc à la
fois légal et technologique, tout en
recouvrant des aspects organisationnels
essentiels. En effet, il est souvent nécessaire
d’impliquer de nombreux contributeurs
internes dans l’organisation, ainsi que des
sous-traitants externes pour couvrir le champ
complet des traitements de données.
A titre d’exemple, le recueil et le traitement
des données personnelles dans les
organisations incombent à des acteurs tels
que :
• Les ressources humaines et les services
généraux pour les données collaborateurs,
• Le marketing et le commerce pour les
données clients et prospects,
• Le service informatique pour nombre de
fonctions support,
• Des prestataires externes et des services
de traitement et de stockage dans le cloud
en mode SaaS.
En plus de ces nombreux intervenants, il faut
également prévoir de rendre compte de
l’avancement des travaux en lien avec les
données personnelles auprès des instances de
direction et animer des sessions de
sensibilisation et de formations pour des
collaborateurs.
En conclusion, le GDPR ne peut être pris
comme un dossier uniquement juridique,
organisationnel ou technique. Il doit être pris
dans son ensemble en recourant à une
approche holistique ne négligeant aucun
des 3 domaines d’expertise nécessaires :
• Le domaine juridique
• Le domaine organisationnel
• Le domaine technique
Un dossier complexe
à mettre en œuvre
13. 13
Livre blanc
GDPR, le guide pratique pour bien démarrer
Légale
En premier lieu, la problématique est d’ordre légal, puisqu’il s’agit
de répondre à des obligations légales définies dans le GDPR. Des
compétences juridiques avancées dans le domaine de la protection des
données à caractère personnel sont donc requises. En outre le
règlement, ou du moins ses critères d’application, vont évoluer dans le
temps : il faut être en mesure de suivre les nouveaux développements
du règlement européen à partir de sa mise en application.
Organisationnelle
Chaque organisation est unique par sa culture, son activité et ses
pratiques. Il est nécessaire d’évaluer précisément , par le biais d’un
audit, la nature et le fonctionnement de chaque organisation pour
comprendre à quelles obligations légales elle doit se conformer et par
quels moyens elle y parviendra. Il est également nécessaire de créer une
véritable culture des données à caractère personnel chez tous les
intervenants en lien avec ces données pour favoriser leur coopération au
sein de l’organisation.
Technique
Au-delà des procédures et de l’acculturation des organisations, la
plupart des mesures à mettre en œuvre pour se conformer au
GDPR seront de nature technologique. Pour faire face au cyber-
risque, il existe un ensemble de bonnes pratiques et d’outils. Pour
répondre de manière adéquate aux obligations du règlement européen,
il faut donc avoir une bonne compréhension de l’environnement
technologique, des pratiques et des outils à disposition. Comme dans le
domaine juridique, une veille constante est nécessaire.
Une triple problématique…
14. 14
Livre blanc
GDPR, le guide pratique pour bien démarrer
Zoom sur le DPO
Data Protection Officer
Une nouveauté majeure du GDPR sur laquelle il est important de s’arrêter est la création
de la fonction de Délégué à la Protection des Données (DPD) ou Data Protection Officer
(DPO).
La nomination d’un DPO est imposée à toutes les instances publiques et à toutes les entreprises
privées effectuant des traitements de données personnelles systématiques ou à grande échelle. Il
ne suffit pas ici de changer l’intitulé de poste de votre correspondant informatique et liberté (CIL)
pour satisfaire cette nouvelle exigence, mais bel et bien de mettre en œuvre une véritable
gouvernance transverse et indépendante autour de la protection des données personnelles au sein
de votre organisation.
Le DPO a comme missions et prérogatives :
• D’informer l’organisation et le personnel de leurs obligations en matière de gestion des
données personnelles,
• De superviser la mise en œuvre et le suivi des initiatives de mise en conformité au GDPR,
• D’être le point de contact et de centralisation de toutes les demandes d’application des droits
des personnes (droit à l’oubli, droit d’accès, droit à la portabilité, etc.),
• De coopérer avec l’autorité de contrôle,
• De participer à l’élaboration des analyses d’impacts, obligatoires pour certains types de
traitements (profiling, données sensibles, etc.).
3 cas de désignation obligatoire :
1. Le responsable de traitement est une autorité ou un organisme public ;
2. Les activités de base du responsable de traitement le conduisent à réaliser un suivi régulier
et systématique des personnes à grande échelle ;
3. Les activités de base du responsable de traitement le conduisent à traiter à grande échelle
des données dites « particulières » ou relatives à des condamnations pénales et infractions.
Fait intéressant : la désignation d’un DPO est un moyen d’attester de la conformité d’une
organisation au GDPR (selon le considérant 77 du règlement).
15. 15
La désignation d’un DPO est un moyen d’attester
de la conformité d’une organisation au règlement
européen.
16. 16
Une méthodologie rigoureuse, étape par étape, est
nécessaire pour couvrir tous les aspects du GDPR et
pourvoir attester de sa conformité.
17. 17
6 étapes pour se conformer au GDPR
Livre blanc
GDPR, le guide pratique pour bien démarrer
Plusieurs autorités de contrôle ont publié des guides par étapes
afin de mener à bien un projet de mise en conformité au GDPR.
Allant de quelques étapes à une douzaine, ils listent de façon détaillée
les points d’attention et les opérations indispensables pour arriver à une
conformité démontrable.
Le guide en 6 étapes de l’autorité de contrôle française, la CNIL, nous
parait le mieux structuré pour mener correctement son projet sans se
perdre dans les détails.
Voici le 6 étapes préconisées :
1. Désigner un pilote
2. Cartographier vos traitements de données
3. Prioriser les actions
4. Gérer les risques
5. Organiser les processus internes
6. Documenter la conformité
18. 18
Livre blanc
GDPR, le guide pratique pour bien démarrer
1. Désigner un pilote
Pour piloter la gouvernance des données à caractère personnel et la mise en conformité au
GDPR, il faut un responsable compétant et indépendant, disposant d’une mission claire et
des moyens nécessaires pour y aboutir.
Ce pilote peut être une personne formée interne à l’organisation, par exemple le CIL
(Correspondant Informatique et Libertés), ou une personne externe, par exemple un consultant
spécialisé dans la protection des données à caractère personnel.
Désignez au besoin un DPO (Data Protection Officer)* ou une personne qui est responsable
du respect des règles de protection des données. Évaluez la place que cette personne occupe
au sein de la structure et de la politique de votre entreprise ou organisation afin d’éviter tout
conflit d’intérêt et de pouvoir justifier de son indépendance.
* Le GPDR requiert pour certaines entreprises et organisations qu’elles désignent un délégué à la
protection des données (DPD/DPO), par exemple pour les autorités publiques ou les sous-traitants
dont la tâche consiste à observer régulièrement et systématiquement des personnes concernées,
ce à grande échelle. Il est important que, soit une personne de l’organisation, soit un conseiller
externe soit responsable du respect des principes de protection des données et que cette personne
ait les connaissances, l’implication et la compétence de le faire. Vous devez dès lors juger si votre
entreprise ou organisation a l’obligation de désigner un tel délégué.
Mission du DPO :
• Être en capacité d’imposer la loi et de remonter l’importance des sujets de données
personnelles au top management
• Éviter d’être en position de conflits d’intérêt et d’agir indépendamment des personnes qui
définissent les traitements
• Être en mesure de comprendre la législation et ses principes clés
• Identifier les nouveaux cas et anticiper les non conformités au plus vite
19. 19
Livre blanc
GDPR, le guide pratique pour bien démarrer
2. Cartographier vos traitements de données personnelles
Recenser tous les traitements de votre activité de façon précise et méthodique est
indispensable pour mesurer concrètement l’impact du GDPR sur votre organisation. La
tenue d'un registre des traitements vous permet de faire le point.
Documentez les différents types de traitements de données que vous effectuez et identifiez
le fondement légal pour chacun d’entre eux. De nombreuses entreprises et organisations n’ont
peut-être pas défini à l’époque un fondement légal pour les traitements de données qu’elles
réalisent.
En vertu de la législation actuelle, les conséquences pratiques sont peu nombreuses voire
inexistantes. Le GPDR change toutefois la donne car les droits de la personne concernée peuvent
différer selon la base légale du traitement de données. L’exemple le plus parlant est le fait que la
personne concernée dispose d’un droit renforcé pour demander la suppression de ses données si
son consentement était à la base du traitement.
Il est important de préciser dans la déclaration de confidentialité le fondement légal qui a été
choisi pour le traitement de données et d’indiquer également ce fondement chaque fois que l’on
répond à une demande d’accès. Vérifiez donc quels traitements de données vous effectuez,
déterminez la base légale et documentez vos démarches avec soin, à la lumière de l’exigence de
responsabilité.
3. Prioriser les actions à mener
Mesurer les écarts entre vos pratiques actuelles et le GDPR. Sur la base du registre des
traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à
venir. Priorisez ces actions en fonction des risques que font peser vos traitements sur les droits et
les libertés des personnes concernées.
20. 20
Livre blanc
GDPR, le guide pratique pour bien démarrer
Si votre entreprise ou organisation traite déjà des données à caractère personnel, vous devez
fournir certaines informations aux personnes concernées, comme l’identité du sous-traitant et la
manière dont il utilisera les données. Ces informations sont généralement communiquées sous la
forme d’une déclaration de confidentialité.
Le GDPR requiert que cette déclaration de confidentialité soit complétée par de nouveaux
types d’information. Il faudra ainsi désormais communiquer le fondement légal du traitement
de données et les délais pendant lesquels vous conserverez les informations, préciser si vous
échangez les données en dehors de l’Union européenne et prévoir la possibilité pour la personne
concernée de porter plainte auprès de l’autorité de contrôle si elle estime que ses données à
caractère personnel sont traitées à tort. Le GDPR requiert que ces informations soient
communiquées de manière concise, dans une langue compréhensible et claire.
Évaluez vos contrats existants, principalement avec des sous-traitants, et apportez les
changements nécessaires en temps utile. Le GPDR crée un système intelligent qui établit le
rapport entre le responsable du traitement et les sous-traitants. Il détermine même les conditions
qui s’appliquent aux activités de sous-traitance. Pour approfondir ces conditions, vous devez
évaluer les contrats existants et apporter les modifications nécessaires.
Le GPDR souligne l’importance des mesures de sécurité applicables aux banques de données. En
cas d’outsourcing, il est également important d’évaluer si les mesures de sécurité qui étaient
prévues dans les contrats existants sont toujours adéquates et répondent aux exigences du GPDR.
Si votre entreprise ou organisation est active au niveau international, vous devez
déterminer de quelle autorité de contrôle vous relevez. Le GPDR prévoit un règlement
quelque peu complexe pour déterminer quelle autorité de contrôle prend la direction des
opérations lors de l’examen d’une plainte à caractère international, par exemple lorsqu’un
traitement de données se rapporte à des résidents de plusieurs États membres. L’autorité chef de
file est déterminée selon l’endroit où l’entreprise ou l’organisation a son établissement principal
ou selon l’établissement où sont prises les décisions relatives aux traitements de données. Pour
un siège principal traditionnel, on peut le déterminer assez facilement.
21. 21
Livre blanc
GDPR, le guide pratique pour bien démarrer
Cela se complique dans le cas d’entreprises ou d’organisations complexes, implantées sur
plusieurs sites, où les décisions relatives à différentes activités de traitement sont prises à divers
endroits. Pour savoir clairement quelle autorité de contrôle est en charge de votre entreprise ou
organisation, il est conseillé d’établir à quel endroit votre organisation prend ses décisions les
plus importantes quant aux traitements de données. Cela vous permettra de déterminer votre «
établissement principal » et donc aussi l’autorité de contrôle compétente.
4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer
des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener,
pour chacun de ces traitements, une analyse d'impact sur la protection des données (en
anglais, Data protection impact assessment ou Privacy Impact Assessment).
De manière générale, réaliser un PIA est une bonne pratique pour s’assurer de créer un traitement
conforme au GDPR et respectueux de la vie privée, que celui-ci soit susceptible ou non
d’engendrer des risques élevés sur la vie privée.
Le PIA doit être réalisé avant la mise en œuvre du traitement. C’est un processus itératif, les
analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements
majeurs des modalités d’exécution du traitement.
Mener un PIA est obligatoire pour tout traitement susceptible d'engendrer des risques élevés pour
les droits et libertés des personnes concernées (Article 35 du RGPD).
22. 22
Livre blanc
GDPR, le guide pratique pour bien démarrer
5. Organiser les processus internes
Pour garantir un haut niveau de protection des données personnelles en permanence,
mettez en place des procédures internes qui garantissent la protection des données à tout
moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la
vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès,
modification des données collectées, changement de prestataire).
Familiarisez-vous avec les notions de « protection des données dès la conception » et «
d’analyse d’impact relative à la protection des données », mieux connues sous les termes
suivants : « Privacy by design » et « Privacy impact assessment ».
Examinez la manière dont vous pouvez mettre en œuvre ces concepts dans le fonctionnement de
votre entreprise ou organisation. Ils peuvent être liés à d’autres processus organisationnels tels
que la gestion des risques et la gestion des projets. Évaluez d’ores et déjà les situations où il sera
nécessaire de réaliser de telles analyses. Qui s’en chargera ? Qui doit y être associé ? L’analyse se
fera-t-elle de manière centrale ou de manière locale ?
Intégrer dès le début la protection des données et, dans ce cadre, réaliser une analyse
d’impact font partie des « bonnes pratiques » d’une entreprise ou organisation. Il ne
s’agissait auparavant que d’une exigence implicite des principes de protection des données. Le
GDPR en fait une exigence légale claire. À noter que vous ne devez pas systématiquement réaliser
une analyse d’impact. Celle-ci n’est requise que dans des situations à haut risque, par exemple
lorsqu’une nouvelle technologie est mise en œuvre ou lorsqu’une opération de profilage peut
entraîner des effets considérables pour les personnes concernées. Lorsque le PIA indique que le
traitement de données comporte un « risque élevé », il est nécessaire d’obtenir l’avis de l’autorité
de contrôle » quant à la licéité du traitement à la lumière du GDPR.
23. 23
Livre blanc
GDPR, le guide pratique pour bien démarrer
Vous devez vérifier si les procédures actuelles dans votre entreprise ou organisation prévoient
tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à
caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie
électronique.
Le GDPR prévoit notamment les droits suivants pour la personne concernée :
• Information et accès aux données à caractère personnel
• Rectification et suppression des données
• Objection à l’encontre de pratiques de marketing direct
• Objection à l’encontre de prises de décision automatisées et de profilage
• Portabilité des données
Le droit de portabilité des données est une nouveauté. Il s’agit d’une forme améliorée de l’accès
où la personne concernée a le droit d’obtenir les données à caractère personnel la concernant
dans un format structuré, couramment utilisé et lisible électroniquement. La plupart des
entreprises et organisations le font déjà, mais si vous utilisez encore des impressions papier ou
une forme électronique inhabituelle, c’est de nouveau le bon moment pour revoir votre copie.
Prévoyez une mise à jour de vos procédures d’accès existantes et réfléchissez à la manière dont
vous traiterez désormais les demandes d’accès eu égard aux nouveaux délais du GPDR.
Le GDPR prévoit de nouvelles règles qui déterminent la manière d’agir à l’égard de demandes
d’accès. Dans la plupart des cas, il faudra donner suite à la demande d’accès dans les 30
jours et ce gratuitement. Des demandes manifestement non fondées ou excessives peuvent être
facturées ou refusées. Si votre entreprise ou organisation veut être en mesure de refuser des
demandes d’accès, vous devez adapter la politique et les procédures en conséquence. Vous devez
donner à la personne concernée qui demande l’accès certaines informations complémentaires
comme les délais de conservation des informations et le droit de faire rectifier des données
inexactes. Si votre entreprise ou organisation traite un grand nombre de demandes d’accès, les
modifications prévues par le GPDR auront un impact considérable.
24. 24
Livre blanc
GDPR, le guide pratique pour bien démarrer
Il faut qu’au niveau logistique, toutes les demandes puissent être traitées dans le délai prévu et
que la personne concernée reçoive les informations nécessaires. Une réflexion approfondie doit
être menée à ce sujet. À terme, il peut se révéler rentable de développer un système grâce auquel
la personne concernée peut consulter elle-même les données en ligne. Les entreprises et
organisations sont encouragées à réaliser une analyse coûts/bénéfices d’un tel système d’accès en
ligne.
Evaluez la manière dont vous demandez, obtenez et enregistrez le consentement et
apportez les modifications nécessaires. Le GDPR mentionne les termes “consentement” et
“consentement explicite”. La distinction n’est pas très claire, étant donné que le consentement
doit dans les deux cas être libre, spécifique, éclairé et univoque.
Prévoyez des procédures adéquates pour détecter, rapporter et analyser des fuites de
données à caractère personnel. Évaluez pour ce faire les différents types de données à caractère
personnel que vous conservez et documentez celles qui relèveraient de l’obligation de déclaration
si une fuite de données survenait. Dans certains cas, vous devez informer directement la personne
concernée faisant l’objet de la fuite de données, par exemple lorsque la fuite peut donner lieu à
des pertes financières personnelles. Toutes les fuites de données ne devront pas être signalées à
l’autorité de contrôle – seules celles pour lesquelles il est probable que la personne concernée
subira une quelconque forme de dommages, par exemple suite à un vol d’identité ou à la violation
d’une obligation de secret.
6. Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la
documentation nécessaire.
Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés
régulièrement pour assurer une protection des données en continu.
26. 26
Livre blanc
GDPR, le guide pratique pour bien démarrer
Comment démontrer sa conformité
Une documentation complète et détaillée permettra de démontrer sa mise en conformité
ainsi que le respect des obligations du règlement européen. Au cas par cas, elle
comprendra certains éléments nécessaires ou non, en fonction de la situation de
l’organisation.
Voici un aperçu de la documentation à constituer :
Les documents concernant la fonction de DPO
Fiche de poste ou Lettre de mission du DPO
Contrat de services pour DPO externe ou mutualisé
Les documents concernant vos traitements de données personnelles
Registre des traitements (pour les responsables de traitements) ou des catégories d’activités
de traitements (pour les sous-traitants)
PIA, Analyse d’impact sur la protection des données pour les traitements susceptibles
d'engendrer des risques élevés pour les droits et libertés des personnes
L'encadrement des transferts de données hors de l'Union européenne (notamment, les
clauses contractuelles types, les BCR et certifications)
27. 27
Livre blanc
GDPR, le guide pratique pour bien démarrer
Les documents concernant l’information des personnes
Mentions d’information
Déclaration de confidentialité
Procédures/Modèles de Recueil du Consentement des personnes concernées
Procédures relatives aux Droits des Personnes concernées
Les éléments contractuels qui définissent les rôles et les responsabilités des intervenants
Contrats, clauses sous-traitant
Procédure interne en cas de violation de données
Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement
de leurs données repose sur cette base.
Les documents de suivi dans le temps
Plan de vérification et de suivi
29. 29
Mémo
Les définitions clés
Donnée à caractère personnelle (DCP)
En anglais « personal data »
Toute information permettant d’identifier
directement ou indirectement une personne
physique (nom, coordonnées, e-mail, n° de
contrat, plaque d’immatriculation, photo,…).
Ce règlement, à destination des entreprises,
veut simplifier, harmoniser et renforcer la
protection des données personnelles.
Toute information se rapportant à une
personne physique identifiée ou identifiable
(ci-après dénommée «personne concernée») ;
est réputée être une «personne physique
identifiable» une personne physique qui peut
être identifiée, directement ou
indirectement, notamment par référence à un
identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation,
un identifiant en ligne, ou à un ou plusieurs
éléments spécifiques propres à son identité
physique, physiologique, génétique,
psychique, économique, culturelle ou sociale;
Personne concernée
En anglais « data subject »
Toute personne qui peut être identifiée,
directement ou indirectement, par
l’intermédiaire de données à caractère
personnelle.
Toute personne qui peut être identifiée,
directement ou indirectement, par le biais
d’un identifiant (par exemple un nom, un
numéro d’identification, des données de
localisation, …) ou d’un ou plusieurs
éléments spécifiques propres à son identité
physique, physiologique, génétique,
psychique, économique, culturelle ou sociale.
En d’autres termes, une personne concernée
est un utilisateur final dont les données à
caractère personnel peuvent être recueillies.
Définition officielle de « personne concernée
» dans l’article 4.1 du GDPR.
Fichier de données à caractère personnel
Tout ensemble structuré et stable de données
à caractère personnel accessibles selon des
critères déterminés constitue un fichier de
données à caractère personnel.
Traitement de donnée à caractère
personnelle (TDCP)
En anglais « processing »
Toute opération effectuée sur des données à
caractères personnelle quel que soit le
procédé utilisé (collecte, enregistrement,
organisation, conservation, adaptation,
modification, extraction, consultation,
utilisation, verrouillage, effacement ou
destruction, transmission, …).
L'article 4 du règlement définit un traitement
Livre blanc
GDPR, le guide pratique pour bien démarrer
30. 30
Livre blanc
GDPR, le guide pratique pour bien démarrer
comme " toute opération ou tout ensemble
d'opérations effectuées ou non à l'aide de
procédés automatisés et appliquées à des
données ou des ensembles de données à
caractère personnel, telles que la collecte,
l'enregistrement, l'organisation, la
structuration, la conservation, l'adaptation
ou la modification, l'extraction, la
consultation, l'utilisation, la communication
par transmission, la diffusion ou toute autre
forme de mise à disposition, le
rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction;"
Finalités d'un traitement (objectifs d’un
traitement)
En anglais « purposes of processing »
Objectif principal d’une application
informatique de données personnelles.
Exemples de finalité : gestion des
recrutements, gestion des clients, enquête de
satisfaction, surveillance des locaux, etc.
Responsable de traitement (RT)
En anglais « controller »
Organisation, Entreprise, organisme,
autorité, personne physique professionnelle
qui détermine les finalités ou objectifs (le
pourquoi) et les moyens (le comment) du
traitement.
Sous-traitant (ST)
En anglais « processor »
Organisation, Entreprise, organisme,
autorité, personne physique professionnelle
qui traite des DCP pour le compte du RT.
Délégué à la Protection des Données
(DPD)
En anglais « Data Protection Officer
(DPO) »
Le délégué à la protection des données au
sein d’une organisation, entreprise,
organisme, autorité... a pour rôle de veiller à
ce que celle-ci protège convenablement les
données à caractère personnel des personnes
concernées, conformément à la législation en
vigueur.
Définition officielle de « délégué à la
protection des données » ainsi que des
informations sur la sélection et les
responsabilités du délégué à la protection des
données, dans les articles 37, 38 et 39 du
GDPR.
Autorité de contrôle
Autorité nationale en charge du respect des
législations portant sur les données
personnelles (Exemple : en France : la CNIL,
au Luxembourg : la CNPD, en Belgique : la
CPVP, etc.)
31. 31
Livre blanc
GDPR, le guide pratique pour bien démarrer
A propos de Data Protection Services®
par Aïon Solutions
Data Protection Services, de la société Aïon Solutions, est une offre de services dédiée à la
conformité au GDPR, regroupant les compétences d’une équipe pluridisciplinaire composée de
juristes spécialisés et d’experts en technologies de l’information.
Cette offre comprend les services de DPO externes certifiés, les prestations de mise en
conformité au GDPR et de suivi, ainsi que la gestion de la documentation justifiant de cette
conformité*.
Des options couvrant les cyber-risques viennent compléter notre offre afin d’offrir un service
complet clé en main.
* Avec le concours du cabinet juridique NNA Legal, partenaire d’Aïon Solutions, nous avons élaboré une méthode
structurée en 6 étapes incluant les préconisations de 3 autorités de contrôle européenne de référence (CNIL, CNPD,
CPVP). Notre checklist exhaustive permet de balayer tous les aspects à traiter dans un processus de mise en
conformité au GDPR.
De plus, afin d’agir avec précaution sur certains aspects encore peu détaillés du GDPR, nous nous appuyons sur les
travaux du G29 (Groupe de travail Article 29 sur la protection des données).
Le G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée. Les
principales missions du groupe de travail sont : 1) Conseiller la Commission européenne et lui donner un avis
autorisé, sur toute mesure communautaire ayant une incidence sur les droits et libertés des personnes physiques à
l'égard du traitement des données à caractère personnel et de la protection de la vie privée ; 2) Promouvoir une
application uniforme des directives européennes au moyen de la coopération entre les autorités de contrôle de la
protection des données ; 3) Émettre des recommandations, des règles d'entreprise contraignantes, destinées au grand
public.