Se poser la question de la finalité des traitements

Vous souhaitez mettre en place un formulaire de collecte de données sur votre site internet ? Posez-vous les bonnes questions et soyez clair sur les objectifs de cet outil et le cadre dans lequel vous allez traiter les données personnelles collectées.

L’obligation de « minimiser » les données collectées

Posez-vous la question des données qui sont strictement nécessaires à l’exécution du service ou de l’objectif fixé.
« Les données collectées doivent être limitées aux seules données nécessaires à atteindre la finalité annoncée. »
Exemples : L’abonnement à une newsletter ne nécessite pas la collecte de la date de naissance ou de l’adresse postale de l’abonné. L’adhésion à une association ne nécessite pas de stocker un numéro de sécurité sociale.

Limitez les données aux seuls besoins que vous avez pour permettre la bonne exécution du service proposé.

Le devoir d’information des personnes

Lorsque vous mettez en place un outil de collecte de données personnelles, vous avez le devoir d’en informer la personne concernée. Vous devez notamment lui communiquer les informations suivantes :

• L’identité du responsable du traitement,
• Les finalités poursuivies par le traitement (exemple : gestion d’un fichier-client, prospection commerciale, publication dans un annuaire, une liste de membres…),
• Le caractère obligatoire ou facultatif des réponses à apporter (et des conséquences éventuelles, à leur égard, d’un défaut de réponse), des destinataires des données,
• La durée de leur conservation,
• Le droit des personnes fichées d’opposition, d’accès et de rectification ainsi que des modalités d’exercice de ces droits,
• Les transmissions éventuellement envisagées à des tiers.

Pour votre site internet :

Placez à côté de chaque formulaire de collecte (contact, newsletter, sondage, etc…) un court texte qui regroupe ces mentions d’informations et faites un lien vers votre page de Politique de Confidentialité.

Garantir à la personne ses droits RGPD

• Droit d’accès (Article 15) : la personne concernée par les données personnelles a le droit de vérification et de consultation des données personnelles le concernant, et cela gratuitement et à tout moment.
• Droit de rectification (Article 16)
• Droit à l’effacement: droit à l’oubli (Article 17)
• Droit à la limitation du traitement (Article 18) : en cas d’inexactitude des données, de traitement illicite, de changement de finalité de l’usage de ces données, ou en cas d’opposition au traitement par exemple.
• Droit à la portabilité des données (Article 20) : « Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle »

Vous devez clairement expliquer à la personne concernée comment il peut demander la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.

La sécurisation des données personnelles

Le prestataire technique qui est en charge de stocker les données doit garantir à la personne la sécurisation de ces données pour éviter la « violation » des données personnelles. La loi précise que des mesures appropriées doivent être mises en place sur le plan technique. Article 4.12.

Quels risques ?

• Faille de sécurité de la base de données
• Accès non-autorisé
• Piratage informatique
• Destruction, perte ou altération des données

Quelles mesures de sécurisation doivent être prises ?

Tout type de mesures techniques et organisationnelles adaptées à la situation, à la nature des données et à la probabilité des risques. Il peut s’agir :

• Pseudonymisation et chiffrement des données
• Actions techniques et organisationnelles pour garantir la confidentialité, l’intégrité, la disponibilité et la résilience constante des systèmes et des services de traitement
• Actions de sauvegarde des bases de données pour en rétablir l’accès et la disponibilité
• Procédures visant à tester l’efficacité des procédures techniques

Le responsable technique des données doit être en mesure de prouver qu’il a mis tout en œuvre pour garantir la sécurité des données personnelles dont il a la charge « compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques » (Article 32.1)

Extrait de la CNIL (https://www.cnil.fr/fr/organiser-les-processus-internes) :

Organiser les processus implique notamment :

• de prendre en compte de la protection des données personnelles dès la conception d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données;
• de sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
• de traiter les réclamations et les demandes des personnes concernées quand à l’exercice de leurs droits(droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) ;
• d’anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.

Que faire en cas de violation des données ?

La loi impose au responsable du traitement de notifier aux personnes concernées par les données personnelles stockées que celles-ci ont été divulguées, détruites ou encore altérées.
Modèle de notification de violation des données personnelles (CNIL) : https://www.cnil.fr/sites/default/files/typo/document/CNIL_Formulaire_Notification_de_Violations.pdf

La confidentialité des données

Sécurité et confidentialité vont de paire ! Dans vos processus de traitement de données personnelles, vous devez vous assurer que seules les personnes déclarées destinataires de ces données y auront accès.

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des « tiers autorisés » ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).

La durée de conservation des informations

Les données personnelles ont une date de péremption !
Le responsable d’un fichier doit fixer une durée de conservation raisonnable en fonction de l’objectif du fichier. Il peut s’agir d’une durée courte, par exemple dans le cadre d’une demande d’information par le biais d’un formulaire de contact : une fois que la réponse a été apportée à l’internaute, sa demande et ses informations personnelles n’ont à priori plus aucune raison d’être stockées.
Il peut s’agir d’une durée plus longue lorsqu’elle est liée à l’exécution d’un contrat : contrat d’embauche d’un salarié, contrat de vente d’un produit ou d’un service par exemple. Dans ce cas, il est possible d’indiquer que la durée de conservation des données est égale à celle du contrat, voire même au-delà pour permettre la mise en place d’un service après-vente par exemple.

Les durées de conservation généralement admises :

• La durée maximale de conservation de données personnelles est fixée à 36 mois.
• La durée maximale de conservation de cookies est fixée à 13 mois.

Dans tous les cas, vous devez indiquer à la personne concernée combien de temps vous vous engagez à conserver ses données.
Et à l’issue de cette période, vous devez supprimer ces données, bien évidemment !

Voici quelques conseils pratiques à appliquer pour que votre site internet et vos pratiques au quotidien soient conformes au RGPD :

• Listez l’ensemble des données que vous collectez et traitez, quels que soient les supports et les canaux que vous utilisez (site web, sondages, réseaux sociaux, newsletter, fichier-client, cahier, répertoire téléphonique, post-it !).
• Demandez-vous si vous pouvez rationaliser ces outils de collecte et de conservation de ces données personnelles pour mieux les contrôler.
• Vérifiez que les données collectées ne rentrent pas dans la catégorie des données dites « sensibles ».
• Demandez-vous pourquoi vous collectez ces données. Faites une liste la plus exhaustive possible de tout ce que vous faites actuellement et de ce que vous désirez faire plus tard des données que vous avez collectées.
• Le pourquoi de la collecte, ce n’est ni plus ni moins que la définition de la finalité de chaque traitement. Listez maintenant l’ensemble des finalités que vous vous fixez.
• Chaque finalité doit être reliée à un processus de traitement de DP. Par exemple : le formulaire de contact sert à récupérer les informations de la personne pour vous permettre de lui répondre ; le formulaire d’abonnement à votre newsletter vous permet d’envoyer votre actualité et vos messages promotionnels à vos clients.
• Pour chaque traitement, minimisez les données à collecter aux seuls objectifs du traitement : par exemple, lorsque vous n’avez pas besoin spécifiquement de l’identité de la personne, privilégiez la pseudonymisation des données que vous collectez.
• Vérifiez la présence des mentions d’information près de tous les outils de collecte de DP sur votre site internet.
• Créez ou mettez à jour votre Politique de confidentialité.
• Privilégiez des outils clairs et sans ambiguïté pour recueillir le consentement des personnes (case à cocher, menu déroulant). Ne pré-cochez aucune case et abandonnez la formule : « Si vous continuez votre navigation sur ce site, nous considérons que vous acceptez notre politique de confidentialité » !
• Mettez en place un outil de suivi de la conservation des DP et si possible un outil d’effacement automatique des DP à l’issue de la période de conservation prévue.
• Vérifiez que la protection et la sécurité des DP sont assurées durant tout le processus de collecte, de traitement et de sauvegarde (chiffrement, pseudonymisation, accès par mot de passe…).
• Mettez à jour régulièrement votre outil de publication (WordPress, Spip, Prestashop…), les extensions et les versions de Php et MySQL sur le serveur.
• Renforcez les accès aux données personnelles et à votre espace d’administration du site : utilisation de mots de passe complexes et changés fréquemment, double-authentification…
• Faites-en sorte que tous les acteurs de traitement des DP soient bien formés et informés sur tous les points du RGPD.

Le responsable du traitement

Nous l’avons vu, le responsable du traitement est le responsable de l’ensemble des opérations, procédures et application du droit vis à vis des usagers d’un organisme public ou privé.

Il est possible de nommer un ou plusieurs responsables de traitement au sein d’un organisme (le RGPD parle alors de « coresponsabilité » et de « responsables de traitements conjoints »). Dans ce cas, la répartition des rôles et des responsabilités de chacun doit être clairement définie dans un contrat ou une convention.
D’autre part, les personnes concernées par ce traitement conjoint doivent en être informées et savoir qui contacter pour exercer ses droits.

Le délégué à la protection des données (DPO)

Le DPO informe et conseille les organismes, contrôle la conformité des opérations et joue le rôle d’interface entre l’organisme qui collecte et traite des DP, les personnes concernées par ces traitements et les autorités de contrôle.

Il peut être nommé en interne ou externalisé selon certaines conditions, il peut également être mutualisé entre plusieurs organismes. Il peut être désigné à temps plein ou à temps partiel.
Ses coordonnées doivent être rendues publiques pour faciliter les démarches des personnes concernées par les traitements de DP et les organismes de contrôle.

Attention : la nomination d’un DPO est obligatoire dans 3 cas :

1. si la structure est une autorité nationale, régionale, locale ou un organisme public,
2. si la structure est un organisme privé dont les activités de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
3. si la structure est un organisme privé dont les activités de base l’amène à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales ou à des infractions.

Son rôle central est vaste et majeur : informer et former les acteurs des traitements de données à caractère personnel, avoir un rôle consultatif, contrôler les procédures en interne, rendre des rapports d’audits, participer en amont à la mise en place d’un nouveau traitement de DP, rédiger les documentations et mentions d’informations ainsi que les registres de traitement…

Au regard de la loi, ce n’est pas le DPO qui peut être sanctionné en cas de manquement mais bien le responsable des traitements.

Pour nommer un DPO, l’organisme doit veiller à ce que celui-ci ait les qualités professionnelles, les connaissances et aptitudes nécessaires, les
moyens matériels et organisationnels, et le positionnement nécessaire à son activité (notamment être indépendant, pouvoir agir en toute impartialité et être à l’abri de tous conflits d’intérêts). Il doit être opérationnel dès sa nomination.

La question des sous-traitants

Un sous-traitant est un organisme qui traite des données personnelles pour le compte et sur instructions d’un autre organisme, dans le cadre d’un service ou d’une prestation.
Quelques exemples :

• prestataires informatiques,
• services d’hébergement,
• services de maintenance informatique
• services de télésurveillance,
• sociétés du numérique qui effectuent un traitement sur les données,
• organismes de publicité, de communication ou de prospection,
• services de comptabilité, gestion de paie, etc…

Les obligations du responsable du traitement

Il appartient aux responsables du traitement de veiller à bien choisir leurs sous-traitants (compétence, confiance, procédures conformes…) et à conclure avec chaque sous-traitant un contrat de sous-traitance.

Les obligations du sous-traitant

1. Transparence et traçabilité
   Un contrat doit être établi entre l’organisme et sous-traitant qui détaille les obligations de chacun, les instructions reçues du donneur d’ordre (de façon à permettre au sous-traitant de prouver qu’il a agi sur instructions documentées du responsable du traitement).
   Le sous-traitant doit être en capacité de fournir des preuves de sa conformité à tout moment aux responsables de traitement pour lesquelles il agit et aux autorités de contrôle.
   Par ailleurs, le sous-traitant doit tenir un registre des catégories d’activités de traitement qui recense ses clients et les traitements qu’il effectue pour leur compte
2. Sécurité des données traitées
   Concrètement, le sous-traitant est soumis aux mêmes obligations de protection et de sécurisation que les responsables de traitement. Il doit donc être en conformité avec les obligations définies dans le RGPD et être en mesure de le prouver.
3. Encadrement de la sous-traitance ultérieure (si le sous-traitant fait appel lui-même à un sous-traitant)
   Par exemple, demander au donneur d’ordre de fournir une autorisation écrite à une sous-traitance ultérieure.
4. Accompagnement du responsable du traitement
   Le sous-traitant doit accompagner le responsable du traitement dans ses tâches et obligations, l’informer en cas de violation de données ou de tout incident lié à la sécurité des DP, lui transmettre les demandes d’exercice de droits reçues des usagers du services, etc…

Pour plus de détails sur les recommandations du RGPD en cas de sous-traitance, je vous invite à consulter l’Article 28 du RGPD.

L’Accountability

Le RGPD place les organismes au cœur de leur propre conformité : qu’ils soient responsables de traitement ou sous-traitants, ils sont les acteurs de leur conformité au regard du RGPD. C’est la notion d’Accountability.

Un certain nombre d’actions leur reviennent pour assurer la conformité des traitements de données à caractère personnel (DP) :

• Mise en place de mesures de protection, de mesures techniques et organisationnelles afin de répondre aux obligations du RGPD (limiter la quantité de données traitées – minimisation de la collecte, durée de conservation, sécurité, etc…) dès la conception du système de collecte.
• Obligation de documentation de leur activité de traitement des DP
• Obligation de tenir un registre des activités de traitement
• Obligation de rédiger une politique de confidentialité
• Nomination des responsables au sein de l’organisme (Délégué à la Protection des Données – DPO, responsables du traitement)
• Suivi des actions liées aux DP : études d’impact, réévaluation périodique des mesures mises en place et adaptations si nécessaire
• Informer, former et suivre les actions des acteurs de l’organisme, en s’assurant notamment que les mesures de conformité sont respectées, que seules les personnes autorisées ont réellement le droit d’accès aux DP, que ces personnes sont correctement formées et informées des changements opérés sur les traitements et mesures.

L’obligation de documentation

Il appartient au responsable du traitement de prouver à tout moment sa conformité avec le RGPD. Pour cela, il est nécessaire de créer et de maintenir à jour une documentation qui rassemblera les preuves de cette conformité.

Parmi les éléments à intégrer dans sa documentation, on peut citer :

• registre des activités de traitement détaillant la liste des outils de collecte (formulaires de contact, formulaires papier, systèmes informatiques…) et des données personnelles collectées, et pour chacun des traitements, leur finalité, la durée de conservation, le cadre juridique, les destinataires etc…
• politique de confidentialité et mentions d’informations
• procédures de traitement, de sécurité, de protection, de contrôle d’accès
• actions correctives
• bilan des audits réalisés
• registre de violation des données, procédures en cas de violation et mesures correctives
• analyse d’impact
• contrats de sous-traitance

Les outils de conformité obligatoires

Le RGPD rend obligatoires certains outils de conformité :

• Tenue d’un registre des activités de traitement
  

  Lire l’article Le temps de l’inventaire et le Registre de traitement pour en savoir plus)

• Nomination d’un Délégué à la Protection des Données – DPO

  Lire l’article La distribution des rôles (responsable du traitement, délégué à la protection des données pour en savoir plus sur le DPO)

• Analyse d’impact à la protection des données – AIPD

  Obligatoire pour certains traitements
  Cliquez ici pour en savoir plus sur ce qu’est une AIPD
  

• Tenue d’un registre de violation de données

  Voir ci-après pour en savoir plus sur le registre de violation de données

Les outils de conformité recommandés

• Le Code de conduite
  

  Il s’agit de rédiger des procédures claires et simples afin d’aider tous les acteurs de la conformité dans leurs tâches : des fiches pratiques, des modèles de mentions obligatoires, de mentiones légales, de politique de confidentialité ; des recommandations pour garantir la sécurité et la confidentialité ; des réflexes à adopter pour prévenir les risques de violation des données.
  

• La Certification

  La certification d’un produit, d’un service ou d’un processus de traitement est réalisée par un organisme-tiers afin d’attester de sa conformité avec le RGPD. Elle est valable 3 ans au-delà desquels une nouvelle validation sera requise. Il s’agit d’une démarche volontaire de l’organisme afin de garantir à ses usagers, fournisseurs, clients et partenaires transparence, conformité et de gagner leur confiance.
  Il est possible également de demander la certification des compétences du DPO. Elle n’a rien d’obligatoire mais permet là encore de renforcer la confiance des usagers envers l’organisme.
  

Vous souhaitez en savoir plus ?
Consultez la Section 5 du RGPD : Codes de conduite et certification sur le site de la CNIL