GDPR – Le temps est compté, informez-vous !

GDPR – Le Temps Est Compté, Informez-vous !

En 2018, d’ici quelques mois, les entreprises européennes seront dans l’obligation de se mettre en conformité avec le nouveau Règlement Général sur la Protection des Données Personnelles (RGPD ou GDPR en anglais).

Déclenché initialement par des scandales liés aux GAFA (important pour la compréhension de certaines mesures) et après quatre années de travaux, le Parlement européen a adopté cette réglementation 2016/679 (GDPR) publiée le 24 mai 2016, et applicable le 25 mai 2018. Seront concernées toutes les entreprises, collectivités, associations… manipulant des Données à Caractère Personnel (DCP) de résidents européens.

Elle doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique en harmonisant le cadre juridique applicable à la protection des DCP de ses résidents, en renforçant les droits des personnes concernées, et en responsabilisant les entreprises (avec un alourdissement des sanctions applicables).

Ce règlement remplace la directive sur la protection des données personnelles 1995/46/CE du 24 octobre 1995, laquelle datait des débuts d’Internet. Il s’agit d’une réforme majeure de la législation européenne en matière de protection des données personnelles. Toutes les fonctions sont impactées : juridique, RH, marketing, ventes, SI…

Plus de 200 pages, 99 articles, et environ 4 000 amendements, des sanctions pouvant aller jusqu’à 20 millions d’euros pour les PME ou 4% du CA pour les grands groupes… Cela va faire le bonheur de certains et le malheur des autres, pour le bien ou pour le mal, l’avenir nous le dira ! Nous avons essayé de décrypter l’essentiel pour vous et pour nous.

De quelles données parle-t-on ? Sommes-nous (tous) concernés ? Quelles conséquences pour les applications SiRH et plus particulièrement les solutions de gestion des plannings et des temps ? Quel système de sécurité mettre en place ? Comment cartographier les données concernées ? Comment gérer la pseudonymisation des données, le consentement des salariés ou le droit à l’effacement ? Comment concilier ces mesures avec les autres obligations légales de conservation des données ? Cloud ou local (Saas ou On premise), quelle(s) différence(s) ?

Vous trouverez ci-dessous des pistes pour y voir plus clair.

La loi du 6 janvier 1978 s’articule autour de la notion de donnée nominative, la Convention 108 du Conseil de l’Europe de 1981 lui préfère celle de données personnelles et la directive 95/46/CE choisit l’expression « Donnée à Caractère Personnel ».

D’après la CNIL : « Constitue une Donnée à Caractère Personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » (Exemple : nom, n° de téléphone, photographie, numéro de sécurité sociale, matricule interne, éléments biométriques, lieu de résidence, date de naissance, sexe…). »

Typologie des Données à Caractère Personnel (DCP)

Extrait du guide CNIL PIA (Privacy Impact Assessment), l’outillage

  • DCP courantes : état civil, identité, données d’identification vie personnelle (habitudes de vie, situation familiale, hors données sensibles ou dangereuses…), vie professionnelle (CV, scolarité, formation professionnelle, distinctions…), informations d’ordre économique et financier (revenus, situation financière, situation fiscale…), données de connexion (adresses IP, journaux d’événements…), données de localisation (déplacements, données GPS, GSM…).
  • DCP perçues comme sensibles : numéro de sécurité sociale (NIR), données biométriques, données bancaires.
  • DCP sensibles au sens de la loi Informatique et libertés : opinions philosophiques, politiques, religieuses, syndicales, vie sexuelle, données de santé, origine raciales ou ethniques, relatives à la santé ou à la vie sexuelle, infractions, condamnations, mesures de sécurité.

Les 5 dispositions à retenir pour comprendre le GDPR

Lexique

GAFA : désigne les quatre géants américains de l’Internet fixe et mobile que sont Google, Apple, Facebook et Amazon.

DCP : Données à Caractère Personnel

GDPR : Règlement Général sur la Protection des Données personnelles (GDPR en anglais)

DPO : « Data Protection Officer » (Délégué à la Protection des Données en français).

EDPB : Comité européen de la protection des données (European Data Protection Board en anglais)

CIGREF : Club Informatique des Grandes Entreprises Françaises

AFAI : Association Française de l’Audit et du conseil Informatiques

TECH IN France : Association française des éditeurs de logiciels

Homogénéisation

Le GDPR s’applique à toutes les « organisations », peu importe leur implantation, qui procèdent à un traitement des DCP relatives à des personnes se trouvant sur le territoire de l’Union Européenne.

Consentement

Le consentement des individus quant à la collecte et au traitement des DCP les concernant devra être systématique, explicite et positif. Ce consentement pourra être retiré à tout moment par les individus le demandant. Les entreprises faisant du traitement de données devront, par ailleurs, être en mesure de prouver le recueil de ce consentement le cas échéant. Ce point est étroitement lié à la transparence exigée ; les entreprises devront – et ce dès la phase de collecte – fournir aux individus des informations claires et sans ambiguïté sur la manière dont leurs données seront traitées. Ces informations devront être fournies de façon concise, compréhensive et accessible par tous.

Droit des personnes 

Le GDPR va considérablement renforcer les droits des personnes physiques avec notamment : un droit d’accès facilité pour tous les utilisateurs, un droit à l’effacement (version simplifiée du droit à l’oubli), un droit à la limitation du traitement, un droit à la portabilité des données.

Responsabilisation des acteurs

Le GDPR met fin et remplace le système de déclarations obligatoire auprès de la CNIL. Le rôle des organisations évolue en même temps que le règlement européen et responsabilise les acteurs procédant au traitement de DCP en passant par :

  • Le devoir des organisations de documenter les mesures et procédures de sécurisation des DCP.
  • La mise en place de mesure de sécurité renforcées liées au traitement des DCP avec par exemple la pseudonymisation (anonymisation) des données, des analyses d’impact, des tests d’intrusion…
  • La protection des données par défaut : par exemple grâce à la minimisation et à la limitation de l’accessibilité et de la conservation.
  • L’intégration du principe de « Privacy By Design » qui vise à prendre toutes les mesures pour protéger les droits des personnes en amont, dès la conception d’un produit ou d’un service, et tout au long du cycle de vie des données, de leur collecte à leur suppression.
  • L’encadrement des sous-traitants présentant les garanties suffisantes pour parer à d’éventuelles failles. Dans ce cas, l’entreprise cliente – responsable des traitements – sera tenue pour responsable et devra revoir les contrats signés pour intégrer les clauses relatives au DCP. Ainsi, le GDPR instaure un régime de co-responsabilité des sous-traitants.
  • « Data breach », la notification en cas de fuite de données. En cas de faille de sécurité, l’entreprise devra la notifier à l’autorité de régulation compétente (en France, la CNIL) dans un délai de 72h. Les personnes physiques concernées devront être informées « dans les meilleurs délais » si la faille ou la violation de données comporte un risque élevé pour les droits et libertés.
  • La désignation d’un « Data Protection Officer » (« Délégué à la Protection des Données »). Doté d’un rôle très important, le DPO sera chargé de piloter la gouvernance des données, de contrôler la conformité de l’entreprise avec le GDPR et de conseiller le(s) responsable(s) des traitements. L’obligation de désignation d’un DPO ne s’applique qu’aux entreprises réalisant des traitements sur des données sensibles et/ou à grande échelle.

Aussi, des sanctions administratives (avertissement, mise en demeure de l’entreprise…) ou financières sont prévues par le règlement.

Contrôle

La création du Comité européen de la protection des données (« European Data Protection Board »).  Il encourage l’élaboration de codes de conduite qui devront être soumis pour approbation à l’autorité nationale de contrôle.

200 jours pour finir de se préparer

Le respect du GDPR nécessite donc la mise en œuvre pour les organisations comme pour leurs sous-traitants de nouveaux dispositifs techniques et organisationnels. Les 6 étapes préconisées par la CNIL pour s’y préparer :

  1. Désigner un pilote
  2. Cartographier vos traitements de données personnelles
  3. Prioriser les actions
  4. Gérer les risques
  5. Organiser les processus internes
  6. Documenter la conformité

Au travers nos solutions, les managers et les RH traitent des volumes conséquents de Données à Caractère Personnel dans le cadre des processus d’administration du personnel, de gestion des temps, de planification, de covoiturage, de suivi des performances…. Pour être conforme au GDPR, il leur faudra notamment identifier et localiser les données personnelles des collaborateurs mais aussi informer ceux-ci. Les données personnelles devront être sécurisées et manipulées uniquement par des personnes habilitées qui s’assureront que les règles de rétention propres à chaque type de données soit conformes aux exigences. Ainsi les organisations doivent former mais surtout sensibiliser en interne les personnes amenées à manipuler ces données.

En attendant d’aller plus loin, pour chaque traitement, demandez-vous :

  • Qui ? (Qui est le responsable de traitement, qui sont les sous-traitants ?)
  • Quoi ? (Quelles DCP ?)
  • Pourquoi ? (Finalité de traitement)
  • Où ? (Hébergement / pays)
  • Jusqu’à quand ? (Temps de conservation des données)
  • Comment ? (Sécurité mise en place)

Collaboration active de Holy-Dis avec l’écosystème de TECH IN France

Nous vous en dirons plus après la participation de Olivier Roubin (Chef de produits) au colloque de restitution des travaux du CIGREF, l’AFAI et TECH IN France « Entreprises, les clés d’une application réussie du GDPR » qui aura lieu le Mardi 14 novembre 2017.

Holy-Dis est membre de TECH IN France depuis 2006 et a participé à ce titre à différentes rencontres et réunions de travail sur le sujet.

Ressources légales sur le GDPR

Règlement européen : se préparer en 6 étapes LIEN GDPR – CNIL >>

GDPR – General Data Protection Regulation >>

Une approche ludique sur le GDPR par Ledieu avocats >>

Guide CNIL PIA-1 (Privacy Impact Assessment), La méthode LIEN PIA-1, LA MÉTHODE : COMMENT MENER UNE ÉTUDE D’IMPACT SUR LA VIE PRIVÉE >>

Guide CNIL PIA-2 (Privacy Impact Assessment), L’outillage LIEN PIA-2, L’OUTILLAGE : MODÈLES ET BASES DE CONNAISSANCES DE L’ÉTUDE D’IMPACT SUR LA VIE PRIVÉE >>

Guide CNIL PIA-3 (Privacy Impact Assessment), Les bonnes pratiques LIEN PIA-3, LES BONNES PRATIQUES : MESURES POUR TRAITER LES RISQUES SUR LES LIBERTÉS ET LA VIE PRIVÉE >>

 

 Contactez-nous sur le sujet RGPD@holydis.com

 

Back To Top