Article réservé aux abonnés Archimag.com

Petit précis du RGPD : texte, formations et outils pour DPO

  • precis_rgpd.jpg

    ordinateur
    Attention, Le non-respect des dispositions de la loi Informatique et Libertés et du RGPD peut être sanctionné. (Freepik)
  • Sommaire du dossier :

     

    Voici un résumé de ce que comporte le nouveau règlement général sur la protection des données (RGPD), ainsi que des conseils sur les formations via la Cnil ou via des organismes agréés. Enfin, différents outils mis à la disposition des DPO sont présentés. 

    Libelle banniere.gif

    1. Le Règlement

    RGPDLors de son introduction le 25 mai 2018, le RGPD a permis une modification générale des règles sur la protection des données. N’importe quelle donnée personnelle collectée par un organisme entre dans son cadre et doit être protégée par lui.

    Une protection collective

    Le RGPD concerne tout organisme quelle que soient sa taille, son activité et son pays d’implantation situé dans l’Union européenne. Il s’applique tant au secteur privé que public.

    Un consentement préconisé

    Pour toute utilisation de données personnelles de clients, usagers ou citoyens, il faut au préalable demander leur consentement de manière explicite. L’organisme doit ajouter de manière visible un lien vers sa politique de confidentialité. Les informations détenues par l’entreprise ou l’organisation publique doivent être accessibles et transmises obligatoirement à n’importe quelle personne physique en faisant la demande. Le consentement entre l’entité et l’utilisateur doit être clair et explicite. La régulation amenée par le RGPD est définie et déclarée, ce qui permet à l’utilisateur d’être rassuré sur la gestion et le traitement de ses données. Les organismes doivent en conserver une preuve : l’application du « principe d’accountability » suppose en effet qu’ils mettent en œuvre des procédures internes permettant de démontrer le respect des règles de protection des données.

    Relation entre l’utilisateur et l’organisme

    Les utilisateurs ont le droit d’obtenir des entreprises et organisations publiques l’effacement total des données à caractère personnel les concernant. L’accès à leurs données doit donc leur être garanti. La suppression doit intervenir dans un délai maximum de 30 jours suivant la demande.

    Portabilité

    Les utilisateurs peuvent récupérer une partie de leurs données. Cette portabilité leur permet un stockage personnel ou une transmission vers un système tiers — une plateforme — pour une réutilisation autre.

    Des sanctions dissuasives

    Le non-respect des dispositions de la loi Informatique et Libertés et du RGPD peut être sanctionné. Deux instances ont le pouvoir de sanctionner les entreprises. La Cnil peut dans un premier temps contrôler. C’est un moyen privilégié d’intervention, durant lequel la commission vérifie la mise en œuvre de la réglementation. En cas de manquement constaté, elle peut aller jusqu’à décider d’une amende administrative. Dans un second temps, les tribunaux peuvent également agir pour le respect du RGPD. Selon la gravité de la violation, la sanction pour une entreprise peut s’élever jusqu’à 4 % du chiffre d’affaires mondial ou 20 millions d’euros. Ce à quoi peuvent s’ajouter des amendes pénales : au maximum 5 ans d’emprisonnement et 300 000 euros d’amende (article 226-19-1 du Code pénal).

    Le recrutement d’un DPO, parfois obligatoire

    Lors de son annonce, le RGPD a apporté une nouveauté : le délégué à la protection des données (ou data protection officer, DPO). Néanmoins, la nomination d’un DPO n’est pas systématiquement obligatoire. En effet, elle est exigée uniquement dans les trois cas suivants :
    >pour les organismes publics
    >lorsque la gestion des données personnelles exige un suivi régulier et systématique à grande échelle ;
    >lorsqu’il s’agit d’un traitement à grande échelle de données sensibles comme celles qui se rattachent à l’origine, aux opinions politiques, philosophiques ou religieuses, etc.
    En dehors de ces cas, la Cnil encourage tout de même les entreprises à y recourir.

    2. Formations RGPD

    Différentes formations au RGPD ont vu le jour. En effet, elles ont été mises en place pour proposer aux professionnels de découvrir et mieux appréhender le RGPD. Par exemple, la Cnil propose un atelier permettant aux professionnels d’être sensibilisés et de s’initier à la question du RGPD. Cet Atelier RGPD, qui se présente sous forme de Mooc interactif (Atelier-rgpd.cnil.fr), se compose de vidéos, de textes et d’illustrations et est élaboré par des juristes et experts du RGPD.

    De plus, un certain nombre d’organismes ont obtenu de la Cnil un agrément leur permettant de faire passer une certification de compétences en tant que DPO.

    Par ailleurs, les formations pour les futurs DPO se divisent en deux niveaux avec d’un côté les formations courtes allant de un à trois jours — on trouve ici de grands organismes de formation professionnels tels que Cegos, Orsys… – et de l’autre côté les formations longues correspondent à des niveaux bac +3 jusqu’à bac +6 (certificat, diplôme d’université et mastère spécialisé).

    3. Outils

    Avant même l’entrée en application de RGPD, les éditeurs ont adapté leurs logiciels afin de les rendre compatibles avec le nouveau règlement européen. Panorama non exhaustif des outils mis à la disposition des DPO.

    Smart GDPR par Smart Global Privacy
    Smart GDPR propose plusieurs outils destinés à préparer l’entreprise à la conformité : assistant pour la cartographie semi-automatique des traitements (sur plus de 700 secteurs), plan d’action automatique modifiable, conformité des sites et cookies, registres de traitements simplifiés et étendus, audits intelligents et adaptatifs (simple, approfondi), étude d’impact (PIAs).
    Disponible en mode Saas version cloud ou « private cloud », la solution peut importer les travaux de conformité existants et se connecter aux logiciels métier déjà déployés dans l’organisation. Évolutive, Smart GDPR peut également s’adapter aux autres réglementations internationales et sectorielles sur la vie privée.

    Real GDPR Software par GeolSemantics
    Fondé en 2009, l’éditeur GeolSemantics propose une solution baptisée Real GDPR Software qui, outre la conception en « privacy by design », permet de réaliser une série d’actions :

    • inventaire des données et des processus techniques ;
    • anonymisation ou pseudonymisation des données ;
    • audit des contenus ;
    • fiches de traitement (registre) ;
    • fiches individuelles (droits des personnes).

    Axceptio
    Disponible en mode Saas, Axceptio permet le recueil du consentement, la gestion des cookies et des documents contractuels, la portabilité… L’outil de consentement des cookies se présente sous la forme d’un robot conversationnel (chatbot) « dans un format didactique et ludique ». Les consentements des documents contractuels (conditions générales de vente, contrats de licence…) peuvent être accédés via une visionneuse PDF.

    Axceptio occupe une place particulière sur le marché des outils dédiés au RGPD en misant sur la gratuité. À une réserve près : les capacités sont limitées (gestion des cookies, traitement des données personnelles, nombre d’administrateurs, etc.). La version payante, de 10 à 15 euros par mois, propose de meilleures capacités et des outils de personnalisation.

    DataSemantics par Rever
    Fondé en 2004, l’éditeur Rever propose DataSemantics une solution qui se base sur des outils automatisés et industrialisés pour identifier et exploiter les données.
    L’outil permet de gérer la conformité à plusieurs niveaux (juridique, organisationnel, technique) et de normaliser les procédures.
    Une série de modules sont mis à disposition des utilisateurs : fiches de traitement (registres), fiches individuelles (droits des personnes), inventaire des données et des processus techniques, anonymisation ou pseudonymisation des données, audit des contenus, privacy by design.

    Datanaos
    La société Datanaos propose d’accompagner les entreprises lors de toutes les étapes du processus d’anonymisation des données : audit, formation, pilotage, réalisation test, et fonction DPO.
    Première phase, l’audit consiste à réaliser un état des lieux avec une cartographie de l’existant, une analyse des risques, un stress test, etc. Deuxième phase, la formation est assurée en partenariat avec le cabinet MVM Avocat. Elle se déroule sur une ou deux journées autour d’un rappel du texte RGPD et de son impact sur les organisations. Le pilotage du projet, troisième phase, recouvre le planning, la définition des tâches et des acteurs et la validation des livrables.
    Quatrième phase, la réalisation test permet de procéder à l’anonymisation ou pseudonymisation des données ainsi qu’à la mise en place de leur portabilité. C’est également à cette étape qu’intervient la mise à jour des contrats, des mentions légales et des conditions générales de vente. De même, la mise à jour des registres des traitements est abordée à ce moment précis. Enfin, dernière phase, la fonction DPO peut être externalisée auprès de Datanaos qui s’engage à informer le personnel sur les nouvelles obligations et à réaliser l’inventaire des traitements de données.

    Thomas Faidherbe et Bruno Texier

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    RGPD
    Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) est entré en application, s’imposant dans le secteur privé comme dans le secteur public. Un an après, quel est le chemin parcouru par les organismes et les délégués à la protection des données (DPO) pour se mettre en conformité ?
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    des bibliothèques proposant des ressources numériques ont constaté depuis le début du confinement une augmentation des usages de leurs ressources en ligne, selon une enquête flash menée par le ministère de la Culture fin mars 2020.
    Publicité

    Data 2020.PNG