L’Accountability
Le RGPD place les organismes au cœur de leur propre conformité : qu’ils soient responsables de traitement ou sous-traitants, ils sont les acteurs de leur conformité au regard du RGPD. C’est la notion d’Accountability.
Un certain nombre d’actions leur reviennent pour assurer la conformité des traitements de données à caractère personnel (DP) :
- Mise en place de mesures de protection, de mesures techniques et organisationnelles afin de répondre aux obligations du RGPD (limiter la quantité de données traitées – minimisation de la collecte, durée de conservation, sécurité, etc…) dès la conception du système de collecte.
- Obligation de documentation de leur activité de traitement des DP
- Obligation de tenir un registre des activités de traitement
- Obligation de rédiger une politique de confidentialité
- Nomination des responsables au sein de l’organisme (Délégué à la Protection des Données – DPO, responsables du traitement)
- Suivi des actions liées aux DP : études d’impact, réévaluation périodique des mesures mises en place et adaptations si nécessaire
- Informer, former et suivre les actions des acteurs de l’organisme, en s’assurant notamment que les mesures de conformité sont respectées, que seules les personnes autorisées ont réellement le droit d’accès aux DP, que ces personnes sont correctement formées et informées des changements opérés sur les traitements et mesures.
L’obligation de documentation
Il appartient au responsable du traitement de prouver à tout moment sa conformité avec le RGPD. Pour cela, il est nécessaire de créer et de maintenir à jour une documentation qui rassemblera les preuves de cette conformité.
Parmi les éléments à intégrer dans sa documentation, on peut citer :
- registre des activités de traitement détaillant la liste des outils de collecte (formulaires de contact, formulaires papier, systèmes informatiques…) et des données personnelles collectées, et pour chacun des traitements, leur finalité, la durée de conservation, le cadre juridique, les destinataires etc…
- politique de confidentialité et mentions d’informations
- procédures de traitement, de sécurité, de protection, de contrôle d’accès
- actions correctives
- bilan des audits réalisés
- registre de violation des données, procédures en cas de violation et mesures correctives
- analyse d’impact
- contrats de sous-traitance
Les outils de conformité obligatoires
Le RGPD rend obligatoires certains outils de conformité :
-
Tenue d’un registre des activités de traitement
Lire l’article Le temps de l’inventaire et le Registre de traitement pour en savoir plus)
-
Nomination d’un Délégué à la Protection des Données – DPO
Lire l’article La distribution des rôles (responsable du traitement, délégué à la protection des données pour en savoir plus sur le DPO)
-
Analyse d’impact à la protection des données – AIPD
Obligatoire pour certains traitements
Cliquez ici pour en savoir plus sur ce qu’est une AIPD -
Tenue d’un registre de violation de données
Voir ci-après pour en savoir plus sur le registre de violation de données
L'AIPD en quelques points
AIPD = Analyse d’Impact relative à la Protection des Données.
L’AIPD a pour but de démontrer la conformité des traitements envisagés par l’organisme. Une AIPD doit être réalisée avant la mise en place d’un traitement de DP par le responsable du traitement, éventuellement assisté du DPO qui aura un rôle de conseil.
Une AIPD est obligatoire si un risque existe et menace les droits et les libertés des personnes physiques : en cas de profilage, en cas d’effet possibles juridiques ou qui pourraient affecter les personnes concernées de manière significative ; en cas de traitement à grande échelle ; en cas de surveillance systématique à grande échelle.
Voici 9 critères qui définissent si un traitement de DP doit faire l’objet d’une AIPD :
- évaluation (y compris profilage)
- décision automatique avec effet légal ou similaire
- surveillance systématique
- collecte de données sensibles ou de données à caractère hautement personnel
- collecte de données personnelles à large échelle
- croisement de données
- personnes vulnérables (enfas, personnes âgées, patients,…)
- usage inovant (nouvelle technologie)
- exclusion du bénéfice d’un droit ou d’un contrat
Si un traitement correspond à au moins 2 de ces critères, l’AIPD est obligatoire.
Source : https://www.cnil.fr/fr/ce-quil-faut-savoir-sur-lanalyse-dimpact-relative-la-protection-des-donnees-aipd
Consultez la liste des traitements pour lesquels une AIPD est obligatoire sur le site de la CNIL,
À quoi sert-elle ?
- À définir les contours d’un futur traitement de données à caractère personnel
- À évaluer les risques de ce traitement pour les personnes (risque d’accès illégitime, de modification ou de suppression intentionnelles, attaque informatique, vol, erreur humaine ou acte malveillant…)
- À identifier les possibles origines des risques
- À évaluer les impacts de ces risques sur les personnes concernées
- À évaluer la vraisemblance des risques et de leur gravité
Que doit contenir une AIPD ?
Elle doit contenir au minimum les éléments suivants :
- une description systématique des opérations de traitement envisagées et des finalités du traitement (+ le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement),
- une évaluation de la nécessité et de la proportionnalité des opérations de traitement à l’égard des finalités,
- une évaluation des risques sur les droits et libertés des personnes concernées,
- les mesures envisagées pour faire face à ces risques.
Le Registre de violation de données
Qu’entend-on par « Violation de données » ?
Il s’agit d’un incident qui affecte les données personnelles traitées par un organisme et qui provoquent l’indisponibilité de ces données, leur perte d’intégrité ou encore de confidentialité.
En cas de violation de données, le responsable de traitement est tenu de respecter :
- l’obligation de documenter en interne : décrire la nature de la violation, le nombre de personnes concernées, le volume de données concerné, les risques pour les personnes concernées, ainsi que les mesures prises pour que l’incident ne puisse se reproduire.
- l’obligation d’informer les autorités (la CNIL pour la France) dans les plus brefs délais et dans les 72 heures si l’incident représente une menace pour les droits et les libertés des individus concernés.
- l’obligation de notifier les personnes concernées.
Bien entendu, il convient de prévenir au maximum les risques, par exemple en adoptant des mots de passe complexes et différents selon les services et les supports, d’effectuer des mises à jour techniques régulières, d’utiliser un système de chiffrement des données, d’installer des pare-feu, de former et de sensibiliser les utitisateurs aux risques de violations de données.
Les outils de conformité recommandés
-
Le Code de conduite
Il s’agit de rédiger des procédures claires et simples afin d’aider tous les acteurs de la conformité dans leurs tâches : des fiches pratiques, des modèles de mentions obligatoires, de mentiones légales, de politique de confidentialité ; des recommandations pour garantir la sécurité et la confidentialité ; des réflexes à adopter pour prévenir les risques de violation des données.
-
La Certification
La certification d’un produit, d’un service ou d’un processus de traitement est réalisée par un organisme-tiers afin d’attester de sa conformité avec le RGPD. Elle est valable 3 ans au-delà desquels une nouvelle validation sera requise. Il s’agit d’une démarche volontaire de l’organisme afin de garantir à ses usagers, fournisseurs, clients et partenaires transparence, conformité et de gagner leur confiance.
Il est possible également de demander la certification des compétences du DPO. Elle n’a rien d’obligatoire mais permet là encore de renforcer la confiance des usagers envers l’organisme.
Vous souhaitez en savoir plus ?
Consultez la Section 5 du RGPD : Codes de conduite et certification sur le site de la CNIL