RGPD : conformité et obligations

Depuis son entrée en vigueur en 2018, le Règlement Général sur la Protection des Données a demandé aux entreprises de s’adapter afin de prouver le consentement des internautes avec lesquels elles interagissent (cette adaptation visant principalement les « cookies » et les traceurs publicitaires). Comment s’assurer de la conformité de son entreprise au RGPD ?

Période transitoire et sursis additionnel du RGPD

Depuis sa mise en application, le RGPD a été sujet à différentes polémiques et controverses. Pour y répondre, la Commission Nationale Informatique et des Libertés (CNIL) a assuré une période transitoire de 12 mois, jusqu’en mai 20219.

Cette période de transition a permis à tous les acteurs de se mettre en conformité avec la politique de protection et de la sécurité des données personnelles.

L’autorité de protection a mis en place un plan d’action visant le ciblage publicitaire. Via le délais de transition, il a été plus facilement possible pour les acteurs publicitaires de se conformer aux règles de protection des données collectées.

Le 1er octobre 2019, la Cour de Justice de l’Union Européenne a décidé d’abolir le consentement par défaut pour favoriser un consentement actif et spécifique. De ce fait, les éditeurs web et publicitaires doivent eux-aussi se mettre en conformité et respecter le RGPD.

Comment être en conformité avec le RGPD ?

Depuis 2020, la CNIL procède à une vérification complète du respect des obligations légales du règlement européen. De ce fait, si l’entreprise possède un site internet, elle devra se mettre en conformité avec :

• L’analyse d’impact ;
• La portabilité des données ;
• La tenue d’un registre des traitements et des violations.

Le RGPD s’appuie sur plusieurs points essentiels :

• Le consentement ;
• La transparence ;
• Le droit des personnes ;
• La responsabilité.

La notion de consentement doit être active, spécifique et informée. L’utilisateur devra donner son accord pour le traitement de ses données personnelles. Ce consentement doit pouvoir être retiré à tout moment.

A savoir :
Les entreprises « Business to Business », ou « BtoB », n’ont pas à demander ce consentement.

Le RGPD oblige également les organisations à fournir aux personnes concernées toutes les informations concernant le traitement des données collectées. L’objectif est d’avoir une transparence totale sur ce point.

De plus, certains droits des personnes doivent être impérativement respectés, notamment le droit à l’oubli et le droit à la portabilité des données. Ce droit permettra à l’utilisateur de :

• Récupérer les informations fournies si besoin ;
• Transférer les informations fournies à un tiers.

Le RGPD incombe aussi plusieurs responsabilités aux entreprises, à savoir :

• Le traitement des données à caractère personnel ;
• La sécurité des données collectées ;
• Le principe du « privacy by design » ;
• La sous-traitance et les prestations conformes aux RGPD ;
• La nomination d’un « Data Protection Officer » (DPO), responsable de la protection et de la conformité des données de l’entreprise.

Tout manquement à ces responsabilités peut exposer l’entreprise à des sanctions.

Désignation d’un délégué à la protection des données personnelles

La gouvernance des données personnelles d’une organisation doit être centralisée auprès d’une personne centrale : le DPO. Ce délégué agit comme responsable du RGPD dans le sens où il aura pour mission d’informer, conseiller et contrôler tous les collaborateurs internes.

Il est impératif de réunir un comité de consultation et de prise de décision sur le RGPD dont le DPO fera évidemment partie. La désignation de ce délégué n’est toutefois pas une obligation légale. Elle reste néanmoins fortement recommandée pour toute structure comportant plus de 50 collaborateurs dont la gestion du RGPD est essentielle.

Le délégué à la protection des données personnelles se doit d’accomplir les missions suivantes :

• Informer et conseiller le personnel en interne ;
• Dialoguer avec les sous-traitant pour réunir les informations nécessaires ;
• Communiquer sur la conformité de l’organisation auprès de la clientèle ;
• Contrôler et vérifier le respect du règlement RGPD ;
• Conseiller l’entreprise et préconiser des études d’impact pertinentes sur la gestion des données personnelles ;
• Communiquer avec les autorités de contrôle et pouvoir répondre efficacement aux demandes de bonne conformité ;

Le DPO doit également pouvoir s’informer sur ses obligations, de se former à la méthodologie de mise en conformité, de réaliser un inventaire des traitement des données personnelles et de sensibiliser les responsables de chaque pôle pour mettre en place des actions efficaces.

Le RGPD prévoit que le DPO bénéficie d’une protection dans l’exercice de ses fonctions. En effet, il est stipulé qu’il « ne peut être relevé de ses fonction ou pénalisé pour l’exercice de ses missions » par l’employeur. Il doit pouvoir exercer ses fonctions en totale indépendance et ne pourrait être sanctionné pour l’exercice de sa mission de DPO. Cependant, il ne bénéficie pas du statut donné aux élus du personnels, délégués syndicaux et autres salariés protégés. Ainsi, le licenciement du DPO ne possédant pas d’autre statut professionnel ou qui ne s’acquitte pas de ces missions est autorisé. Il peut également être sanctionné ou licencié au motif de manquements au règlement interne de son entreprise (qui s’applique à tous les salariés), dans le cas où celui-ci soit compatible avec son indépendance de fonction garantie par le RGPD.

PIA et identification des risques

Une fois les différents traitements de données identifiés et organisés, une analyse d’impact pour les données sensibles est à effectuer. Cette analyse d’impact sur la protection des données personnelles est nommée PIA (pour Privacy Impact Assesment), et conditionnera les futurs traitements des données.

Le PIA se présente sous la forme d’une étude visant à définir des traitements de données respectant la vie privée des personnes. Cette étude est essentielle car elle permet de garantir une bonne partie de la conformité au RGPD.

L’étude se compose d’outils d’évaluation avec deux grands axes principaux, à savoir :

• Les principes et droits fondamentaux non négociables fixés par la loi, non modulables quelles que soient les circonstances ;
• La gestion des risques sur la vie privée, en déterminant les risques possibles sur les données personnelles et les mesures pour les contrer.

Ainsi, l’analyse PIA doit contenir :

• Une description du traitement étudié et des finalités ;
• L’évaluation de la nécessité et de la proportionnalité des traitements sur les données au regard des finalités ;
• Une évaluation des risques pour les droits et libertés des personnes et lister les mesures de protection face aux risques.

Le PIA doit être réalisé avant tout mise en place de traitement de données. Les analyses d’impact se doivent d’être revues régulièrement pour pouvoir corriger les mesures mises en place, notamment en cas de changements majeurs sur l’exécution des traitements. Ce sont aux personnes suivantes de se charger de l’analyse :

• Le responsable de traitement, qui valide le plan d’analyse d’impact et s’engage à mettre en œuvre le plan d’action défini ;
• Le DPO qui élabore le plan d’action et garantit son exécution ;
• Les différents sous-traitants, qui fournissent les informations nécessaires à l’élaboration du PIA ;
• Les responsables métiers, qui fournissent les éléments nécessaires ;
• Les personnes concernées par le PIA, qui donne leur avis sur les traitements réalisés.

A savoir :
Le PIA est obligatoire pour tous les traitements engendrant des risques élevés pour les droits et libertés des personnes, soit dès lors qu’un traitement concerne des données sensibles. Une liste de neuf critères d’évaluation a été définie pour déterminer si un PIA est obligatoire sur un traitement. A partir de deux critères sur neuf, le PIA devient obligatoire. 

Recrutement et données personnelles des candidats

En raison de la multiplication des canaux de recrutement, de plus en plus de données peuvent être collectées par les recruteurs dans leurs démarches. Ces donnés doivent toutefois respecter le RGPD. Pour cela, la CNIL a publié un guide destiné à accompagner les professionnels au cours des différentes étapes de leur recrutement.

Par l’intermédiaire de ce guide, la CNIL veut répondre au besoin du recruteur d’être accompagné et de connaître le positionnement de la commission sur l’exploitation des données personnelles issues notamment :

• Des canaux de recrutement tels que les réseaux sociaux, publicités ou encore moteurs de recherche spécialisés ;
• Des outils de communication tels que la visioconférence ou les chatbots ;
• De l’utilisation d’une intelligence artificielle ;
• Du recours à des outils d’évaluation des « soft skills » des candidats.

Le guide comprend ainsi un rappel à la réglementation sur la protection des données dans le domaine du recrutement ainsi que section dédiée à l’utilisation des nouvelles technologies. Via un système de questions-réponses, il explique la réglementation sur, entre autres :

• La collecte des données, leur traitement, leur conservation et leurs conditions d’accès ;
• La responsabilité des traitements de données mis en oeuvre dans le cadre du recrutement ;
• Les droits des candidats sur leurs données personnelles ;
• L’utilisation des données publiquement disponibles dans le cadre du recrutement ;
• Les outils auxquels le recrutement peut recourir.
• Etc..

Ce guide est logiquement très dense au vu de la complexité du sujet à traiter. La CNIL suggère donc un processus composé de cinq questions à se poser pour les recruteurs afin de respecter le traitement des données personnelles, à savoir :

• Quelles informations peuvent être utilisées et pour quoi faire ?
• Sous quelles conditions peuvent être utilisées ces informations ?
• Qui peut avoir accès aux informations personnelles collectées sur les candidats ?
• Quelles garanties pour la vie privée des candidats ?
• Comment document la conformité au RGPD ?

Documentation des actions entreprises

Pour respecter le RGPD, une des étapes clés est la documentation de la conformité. Il est nécessaire de constituer et rassembler tous les différents éléments gravitant autour du RGPD dans un dossier unique. Ce-dernier devra être réévalué et actualisé de manière régulière pour suivre la vie des traitements et toutes modifications qui pourraient intervenir. Ce dossier se compose des éléments suivants :

• Les documents sur le traitement des données personnelles :
  • Registre des traitements ou des catégories d’activités de traitements ;
  • Analyse d’impact sur la protection des données ;
  • Encadrement des transferts en cas de traitement hors de l’UE ;
• Les informations aux personnes propriétaires des données personnelles traitées :
  • Mentions d’information ;
  • Recueil du consentement des personnes concernées ;
  • Procédures pour l’exercice des droits de rectification et rétractation.
• Les contrats définissant les rôles et responsabilités des acteurs :
  • Contrats avec les sous-traitants et clauses de confidentialité ;
  • Procédures internes en cas de violation de données ;
  • Preuves de consentement des personnes concernées si le traitement de leurs données repose sur cette base.

Une fois tous ces éléments rassemblés, le dossier démontre la conformité de l’organisation au RGPD.