Comment se mettre en conformité RGPD ?

La démarche de conformité au RGPD ne devrait pas être simplement perçue comme une contrainte technique ou juridique. Elle constitue avant tout une opportunité pour évaluer l'utilisation des services numériques au sein de la collectivité et garantir une prise en compte adéquate de la protection des données personnelles.

La mise en conformité au RGPD implique plusieurs étapes successives, et certaines de ces actions nécessitent une continuité dans le temps pour être réellement efficaces, telles que l'évolution des procédures.

Il s'agit d'une démarche active et constante.

Voici un guide pratique pour vous aider à vous mettre en conformité avec le RGPD.

1. Cartographier les données collectées

La création d'une cartographie des données simplifie la gestion de l'information et assure une transparence complète sur la manipulation des données.

Comment procéder ?

Il est essentiel de commencer par identifier et représenter graphiquement l'ensemble des données que vous avez collectées.

Quelles informations personnelles recueillez vous ? Quelles données permettent d'identifier directement ou indirectement des individus ?

Certaines données sont facilement identifiables, telles que les noms, prénoms et adresses e-mail. Cependant, d'autres, comme les adresses IP, peuvent être plus complexes à repérer.

Ensuite, interrogez vous sur la population concernée (par exemple : enfants, salariés, personnes vulnérables) et réfléchissez à la manière dont vous allez récupérer ces données (collecte numérique ou papier).

La cartographie des traitements doit englober, au minimum, les informations nécessaires figurant dans le registre des traitements, conformément à l'article 30 du RGPD. Cela inclut notamment :

• Les finalités du traitement,
• Les catégories de données,
• Les catégories de personnes concernées,
• Les catégories de destinataires des données,
• Les mesures de sécurité appliquées au traitement

2. Cartographier les données sensibles

Parmi les diverses informations personnelles que vous pouvez recueillir, certaines sont considérées comme sensibles. Cela inclut :

• Origine raciale ou ethnique
• Opinion politique
• Convictions religieuses ou philosophiques
• Appartenance syndicale
• Données génétiques
• Données biométriques
• Données concernant la santé ou l'orientation sexuelle

Par défaut, la collecte de ces données est interdite sauf exception.

Par exemple, une application recensant les personnes atteintes d'une maladie ne collectera pas les mêmes informations qu'une application de prise de rendez-vous.

3. Définir le but de collecte des données

Après avoir réfléchi aux données collectées, il est essentiel de déterminer dans quel but vous les collectez.

Seules les données nécessaires à l'accomplissement des objectifs fixés devraient être collectées. Ce principe est connu sous le nom de minimisation des données.

Le principe de minimisation prévoit que les données à caractères personnelles soient adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

Par exemple, recueillir des informations sur l'orientation religieuse d'un employé ne semble pas être nécessaire pour les processus de gestion des ressources humaines.

4. Ce but est-il justifié ?

Nous venons de voir la collecte de données. Cette collecte prend la forme de fichiers (fichiers clients, fichiers de salariés, ...) , désignés comme des Traitements selon le RGPD. Chaque Traitement doit être légalement fondé, conformément aux dispositions du RGPD.

Ce fondement peut être par exemple l'intérêt légitime, le consentement ou encore le contrat. Une fois que vous avez choisi votre fondement légal, cela aura des implications pratiques.

Par exemple si le fondement de votre collecte est le consentement, le RGPD exige que les entreprises obtiennent le consentement des individus pour traiter leurs données personnelles.

Il est important de mettre en place des mécanismes clairs et faciles d'utilisation (case à cocher, signature manuscrite, ...) pour recueillir ce consentement et de permettre aux utilisateurs de le retirer à tout moment.

Les modifications apportées par le RGPD sur le consentement

Le RGPD n'a pas radicalement altéré le concept de consentement des individus, mais l'a plutôt consolidé en y ajoutant certaines garanties, notamment :

1. Droit de rétractation : les individus ont le droit de retirer leur consentement à tout moment.
2. Preuve du consentement : les responsables du traitement doivent être en mesure de prouver que le consentement a été donné. Nous vous conseillons de tenir un registre des consentements.
3. Consentement explicite : le consentement des individus doit être exprès et manifesté de manière claire.
4. Consentement des mineurs : Les mineurs de moins de 15 ans en France ne peuvent consentir au traitement de leurs données personnelles sans l'autorisation parentale.

Comment obtenir le consentement RGPD ?

Le RGPD établit quatre critères pour un consentement valable :

1. Libre : le consentement doit être donné sans contrainte ni influence.
2. Spécifique : il doit être lié à une finalité spécifique.
3. Éclairé : les individus doivent être informés avant de donner leur consentement.
4. Univoque : le consentement doit être clairement exprimé et ne pas être ambigu. Les cases pré-cochées et les consentements groupés ne sont pas considérés comme univoques.

5. Combien de temps conserver les données ?

Une fois que vous avez identifié les données à utiliser, atteint l'objectif et déterminé le fondement légal, il est essentiel de réfléchir à la période pendant laquelle vous allez conserver ces données. Il est crucial d'harmoniser cette durée de conservation avec l'objectif préalablement fixé, car il n'est pas possible de conserver indéfiniment les données.

Par exemple, demandez-vous s'il est nécessaire de conserver pendant plus de 3 ans les données de candidats pour un recrutement que vous n'avez jamais contactés. Une fois que vous aurez défini cette durée de conservation et qu'elle sera écoulée, il sera nécessaire de mettre en place des mécanismes de suppression ou d'anonymisation des données.

On distingue trois types d'archivage des données personnelles :

• Archivage courant : Il s'agit de la conservation des données par le responsable de traitement en fonction de la finalité du traitement. La durée peut être déterminée contractuellement entre le responsable de traitement et la personne concernée.
• Archivage intermédiaire : Ce type d'archivage intervient lorsque les données peuvent être conservées au-delà de la durée initialement prévue dans le contrat. Cela peut se produire, par exemple, lorsque la loi impose une durée supérieure à celle convenue contractuellement.
• Archivage définitif : Certains types de données ne peuvent faire l'objet d'aucune destruction permanente. C'est notamment le cas des données d'intérêt public, telles que celles ayant une valeur historique, scientifique ou statistique.

6. Communication des données

Maintenant que vous avez examiné les données disponibles au sein de votre organisation, il est crucial de définir vos objectifs, de comprendre les bases légales, de déterminer la durée de conservation et de réfléchir à la transmission de ces données.

Vous avez la possibilité de les transférer en interne, mais dans ce cas, il est essentiel de vous interroger sur les personnes autorisées à y accéder. En effet, l'accès aux données ne doit pas être généralisé à tous les membres de l'organisation. Il peut être nécessaire de créer des profils d'autorisation spécifiques afin de limiter l'accès aux données uniquement aux personnes qui ont besoin d'en connaître.

Alternativement, vous pouvez choisir de transférer les données en dehors de votre organisation. Dans cette optique, les destinataires peuvent être divers, tels que l'hébergeur, le CRM, ou les outils d'envoi de mails. Dans ce cas, il est impératif de vérifier que ces partenaires ou outils sont conformes au RGPD, notamment en leur qualité de sous-traitant.

Les destinataires peuvent également inclure des partenaires externes. Dans ce scénario, il est essentiel de s'assurer que les personnes concernées ont été informées de manière adéquate et, le cas échéant, que leur consentement a été obtenu.

Attention ! Il est important de noter qu'en cas de transfert de données en dehors de l'Union européenne, des mesures de sécurité supplémentaires doivent être mises en place pour garantir la protection des données.

7. Comment informer les personnes concernées de cette collecte de données ?

Les personnes concernées par les traitements doivent recevoir une information complète sur l'utilisation de leurs données. Nous vous encourageons à élaborer des politiques de confidentialité claires et transparentes décrivant le processus de collecte, de traitement, de stockage et de partage des données personnelles. Ces politiques doivent être facilement accessibles et compréhensibles pour les utilisateurs.

8. Répondre aux demandes d'exercices de droit

Les individus dont vous collectez des données personnelles possèdent des droits sur leur utilisation. Ils peuvent ainsi demander la suppression, la modification ou l'accès à leurs données. Ces droits comprennent notamment :

• Droit de suppression
• Droit de modification
• Droit d'accès

Les personnes concernées ont le droit de vous demander tous les emails qui vont les concerner.

Lorsque vous recevez une telle demande, vous disposez d'un délai maximal d'un mois pour y répondre. Il est recommandé d'être bien organisé, car ces individus ont le droit de saisir la CNIL, l'autorité compétente, si vous ne répondez pas dans les délais impartis.

Il est préférable d'utiliser un logiciel RGPD tel que Dastra, qui vous permet de gérer efficacement ces demandes d'exercice de droits.

9. Avez-vous mis en place des mesures de sécurité ?

Assurez-vous que des mesures de sécurité robustes sont en place pour protéger les données personnelles. Nous vous invitons à veiller à sécuriser vos traitements. C'est-à-dire, mettre en place des mesures tant physiques que informatiques pour vous assurer qu'il n'y ait pas d'accès non autorisé aux données personnelles ou alors pour prévenir de toute perte ou altération des données personnelles.

Cela inclut la cryptographie, la gestion des accès, la formation du personnel et la réalisation d'audits réguliers pour identifier et corriger les vulnérabilités.

Enfin, en dernière mesure, nous vous invitons à mettre en place en interne un processus de notification en cas de violation de données personnelles. Dans ce cas là, vous devez informer la CNIL et les personnes concernées si cette violation présente un risque grave pour leurs droits et libertés, par exemple leur vie privée.

10. Sensibiliser le Personnel

La conformité au RGPD nécessite la collaboration de l'ensemble du personnel. Assurez-vous que tous les employés sont informés des politiques et procédures en place, et fournissez une formation régulière sur les principes du RGPD.

11. Effectuer des Évaluations d'Impact sur la Protection des Données

Lors de la mise en place de nouveaux processus ou technologies susceptibles d'impacter la protection des données, réalisez des Analyses d'Impact sur la Protection des Données pour identifier et atténuer les risques potentiels pour les droits et libertés des personnes concernées par le traitement.

12. Suivre l'Évolution des Réglementations

Le RGPD est une législation dynamique. Assurez-vous de rester informé sur les évolutions législatives en matière de protection des données pour adapter vos politiques et procédures en conséquence.

Conclusion

La conformité au RGPD est un processus continu qui nécessite une gestion proactive des données personnelles. En suivant ces étapes, respectez la loi, renforcez la confiance de vos clients et renforcez la sécurité des données.