L'émergence des nouvelles technologies et la mondialisation des échanges ont engendré un bouleversement de l'économie. Aujourd'hui, les personnes physiques rendent publiques des données les concernant qui sont collectées et exploitées par les entreprises et les autorités publiques. Cette exploitation des données permet de cibler plus précisément les personnes, de connaître leurs habitudes, leurs goûts, leurs opinions... C'est un atout certain pour les opérateurs économiques, et un danger potentiel pour les personnes concernées.
C'est la raison pour laquelle le législateur européen a imaginé le Réglement général sur la protection des données n°2016/679 (RGPD), qui définit un cadre juridique unifié pour régir la collecte et le traitement des données personnelles dans l’ensemble de l’Union européenne.
La philosohie du RGPD est novatrice : il tend à renforcer les droits des personnes en imposant aux opérateurs économiques une conformité basée sur la transparence et la responsabilisation. Ainsi, le responsable d’un traitement de données doit s’assurer que les données collectées le sont dans un cadre légal et de manière nécessaire et proportionnée à l’objectif qu’il poursuit. Ces exigences sont d’autant plus importantes que le traitement porte sur des données sensibles (données relatives à santé, aux opinions politiques, à l’appartenance syndicale, etc.). Il appartient également au responsable du traitement d’assurer la sécurité et l’intégrité des données, ainsi que la conformité à la loi de l’usage qui en est fait par ses sous-traitants. Il doit enfin veiller à ce que les personnes concernées soient informées de l'usage qui est fait de leurs données et qu'elles puissent exercer leurs droits, notamment de rectification et de suppression des données.
Cette démarche de responsabilisation impose aux entreprises de réaliser une cartographie des traitements de données, d'informer les usagers de leurs services, de notifier les failles de sécurité, voire de nommer un « délégué à la protection de données » et de réaliser une analyse d’impact sur les droits des personnes concernées. Elles doivent aussi s'adapter constamment aux évolutions du droit et de la technologie, faute de quoi elles encourent des sanctions encadrées, graduées et renforcées, pouvant aller jusqu’à 20 millions d’euro ou 4% de leur chiffre d’affaire mondial.
Grâce à notre expertise en matière de protection des données, nous vous aidons à faire face à ces enjeux et à mettre votre entreprise en conformité à la réglementation française et européenne.
Audit & Mise en conformité RGPD
Nous proposons plusieurs formules de mise en conformité RGPD de votre entreprise. La mise en conformité consiste à cartographier vos traitements de données et à vérifier qu'ils sont conformes à la législation européenne et française en vigueur. Nous vérifions ainsi que les traitements de données sont licites, nécessaires et proportionnés au but poursuivi, que les données sont suffisamment sécurisées et que les droits de personnes concernées sont respectés. Nous identifions les problèmes potentiels et vous proposons des solutions efficaces pour y remédier.
Dans quel cas ? Un premier audit global est effectué pour l'ensemble des traitements de données réalisés par l'entreprise (données comptables, RH, clients, etc.). Par la suite, cet audit pourra être mis à jour ponctuellement lorsque des opérations de traitement sont modifiées, ou lorsque de nouvelles opérations sont créées.
Pour qui ? L'audit est utile à toute personne qui met en œuvre des opérations de collecte et de traitement des données personnelles, de l'entrepreneur individuel à la grande entreprise, en passant par la PME.
Délégué à la Protection des Données / Data Protection Officer
Nous pouvons être votre Délégué à la Protection des Données et assurer, durant toutes les étapes de la vie de votre entreprise et pour tous ses projets, sa conformité à la législation française et européenne sur la protection des données. Contrairement à la mise en conformité, qui est une opération ponctuelle, la désignation d'un délégué à la protection des données prévient les risques sur le long terme.
Dans quel cas ? Le délégué à la protection des données assure une mission permanente de conseil et de surveillance, auprès de l'entreprise responsable des traitements de données. Il permet de maintenir dans le temps la conformité de l'entreprise au RGPD et de gérer les risques en tenant compte des évolutions technologiques et légales.
Pour qui ? Le délégué à la protection des données est utile pour les entreprises mettant en œuvre des traitements nombreux, importants en volume de données, qui évoluent dans le temps ou qui portent sur des données sensibles. Lorsque les traitements portent sur des volumes importants de données ou sur des données sensibles, la désignation d'un délégué à la protection des données est obligatoire.
Gestion des risques & Analyse d'impact
Nous vous aidons à prévenir et gérer les risques inhérents à l'activité de votre entreprise, en particulier lorsque son modèle économique implique la collecte ou le traitement de données personnelles. Une gestion des risques consciencieuse accroît les performances de l'entreprise et valorise son image auprès du public. Nous pouvons, à cet égard, réaliser une analyse d'impact détaillée de vos traitements de données (article 35 RGPD).
Dans quel cas ? La gestion des risques est utile en toutes circonstances. Elle peut se concevoir dans le cadre d'une mission ponctuelle (risques liés à un projet déterminé) ou de manière plus globale au niveau de l'entreprise. Le délégué à la protection des données participe à la gestion des risques.
Pour qui ? La gestion des risques globale est particulièrement utile pour les entreprises qui traitent des données sensibles ou des volumes importants de données. Une gestion des risques ponctuelle est utile pour évaluer et prévenir les risques liés à un projet déterminé.
La réalisation d'une "cartographie" consiste à répertorier tous les traitements de données réalisés par l'entreprise en précisant, pour chacun d'eux, ses principales modalités. Par nature synthétique, la cartographie offre une vision d'ensemble des traitements de données à l'échelle de l'entreprise.
Pour chaque traitement, la cartographie indique notamment:
Lorsque la cartographie révèle des traitements non conformes au RGPD, il devient nécessaire de définir les actions à entreprendre pour contrôler et corriger ces traitements. Ces actions doivent répondre au double objectif, d'une part, de permettre à l'entreprise de réaliser ses objectifs et, d'autre part, de respecter la réglementation relative aux données personnelles. Elles prennent donc en compte plusieurs facteurs : les ressources matérielles disponibles, les contraintes temporelles, la gestion des risques, etc.
Les actions à prévoir portent notamment sur :
La mise en conformité RGPD doit être maintenue dans le temps et suivre l'évolution de la technologie et de la réglementation.
Pour anticiper les risques, il peut être utile de :
Un rapport d'audit contenant la cartographie des données et la description des actions de mise en conformité permet au responsable du traitement de démonter le sérieux de sa démarche auprès des autorités de contrôle.
Le rapport d'audit RGPD peut contenir des informations confidentielles, car la mise en conformité RGPD implique d'analyser en détails tous les processus de l'entreprise qui concernent des données personnelles. C'est pourquoi vous ne devriez confier une mission d'audit qu'à un employé ou un tiers de confiance tel qu'un cabinet d'avocats inscrits dans un barreau français, dont le travail est entièrement soumis au secret professionnel protégé par la loi française.
L'abréviation RGPD signifie "Réglement Général sur la Protection des Données". Elle désigne le Réglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Le RGPD est applicable dans toute l'Union Européenne depuis le 25 mai 2018.
Comme tout réglement européen, le RGPD est directement applicable en France. Il a la même force qu'une loi française.
Ce réglement est particulièrement important en ce qu'il change profondément la philosophie du droit de la protection des données personnelles. Avant le RGPD, les traitements de données devaient faire l'objet d'une déclaration préalable à la CNIL, et certains traitements de grande ampleur ou portant sur des données sensibles devaient être préalablement autorisées par la CNIL. Le RGPD supprime ces exigences de déclaration ou d'autorisation préalable, et les remplace par des règles de responsabilisation des entreprises. Il en découle qu'une entreprise ne peut s'abriter derrière une autorisation délivrée par la CNIL ; au contraire, elle doit veiller elle-même, en permanence, à ce que les traitements de données qu'elle met en œuvre soient conformes à la législation européenne.
Les données personnelles sont toutes les données qui se rapportent à une personne physique identifiée ou identifiable. Les personnes morales n'ont en principe pas de données personnelles.
L'identification d'une personnes physique peut être réalisée directement grâce à certaines données (nom, adresse, numéro de sécurité sociale, etc.) ou par croisement de données (par exemple, la personne qui vit à telle adresse, travaille dans telle entreprise et conduit telle voiture).
La notion de traitement de données est conçue de manière très large par le RGPD : il s'agit de toute opération ou de tout ensemble d'opérations qui portent sur des données personnelles. Le procédé utilisé est indifférent, si bien que sont notamment des traitements de données la collecte, l'enregistrement, la consultation, la modification, le stockage, la mise à disposition, le croisement et le rapprochement des données. Sont ainsi des traitements de données, au sens du RGPD, la tenue d'un registre des clients, la gestion des paies, la gestion RH des employés, les statistiques des visites sur un site Web, etc.
Les amendes pour violation du RGPD peuvent s'élever à 20 millions d'euro ou 4% du chiffre d'affaire mondial de l'entreprise sur l'exercice précédant la violation.
Il faut bien comprendre la philosophie du RGPD : le législateur enropéen veut "responsabiliser" les entreprises, afin qu'elles veillent elles-mêmes à se mettre en conformité aux règles gouvernant la protection des données. Les sanction prennent donc en compte l'attitude de l'entreprise considérée. Si la violation du RGPD est délibérée, les sanctions seront très lourdes. Au contraire, si la violation résulte d'une simple négligence de l'entreprise, les sanctions seront plus légères. Enfin, si la violation n'est pas volontaire et que l'entreprise n'a pas été négligente, l'autorité de contrôle (CNIL) peut se contenter de délivrer un avertissement et de mettre l'entreprise en demeure de faire cesser la violation. Quoi qu'il en soit, les sanctions sont "effectives, proportionnées et dissuasives". Elles prennent en compte "la nature, la gravité et la durée de la violation" des règles relatives à la protection des données, ainsi que "la nature, la portée ou la finalité du traitement concerné" et le nombre de personnes concernées par la violation.
La meilleure façon pour une entreprise d'éviter les sanctions est de se mettre en conformité au RGPD et de nommer, au besoin, un délégué à la protection aux données. Nous proposons ces deux services.
Pour prévenir les risques liés au traitement des données personnelles, vous devez veiller à ce que ces traitements respectent le RGPD.
Nous pouvons vous y aider. Voici comment nous procédons.
La première étape est la réalisation d'un rapport d'audit général sur les traitements de données mis en œuvre par l'entreprise. Ce rapport contient une cartographie des traitements de données et fait apparaître leurs fondements juridiques et leurs modalités techniques. Il permet donc d'avoir une vue d'ensemble de la situation et de savoir quelles actions doivent être réalisées pour se mettre en conformité au RGPD.
La deuxième étape consiste à émettre des préconisations tirant les conséquences du rapport d'audit. Ainsi, par exemple, si le rapport d'audit révèle que les données sont conservées sans limite de durée, il sera préconisé de réduire cette durée à ce qui est strictement nécessaire compte tenu de la nature de la donnée et de la manière dont elle est traitée.
En suivant les préconisations, l'entreprise se met en conformité au RGPD et montre ainsi qu'elle n'a pas été négligente. Cela lui permet, dans la plupart des cas, d'éviter les sanctions (v. ci-dessus).
Une troisième étape est parfois nécessaire, lorsque les traitements sont de grande ampleur ou lorsqu'ils portent sur des données sensibles : la réalisation d'une analyse d'impact (en anglais, privacy impact assessment). Le rapport d'audit indique, pour chaque traitement considéré, si la réalisation d'une analyse d'impact est nécessaire.
Une quatrième étape est parfois nécessaire : la désignation d'un délégué à la protection des données (en anglais, data protection officer). Le rapport d'audit général indique si cela est nécessaire. Nous pouvons être votre délégué à la protection des données et assurer ainsi, pendant toute la durée de notre mission, la conformité de votre entreprise au RGPD.
