Retour aux actualités

Tout savoir sur le RGPD

Article

Obligations, contraintes... Altexence vous dit tout sur le RGPD !

16 JANVIER 2019

1ère partie

Qu’est-ce que le RGPD ?

Commençons par des définitions des acronymes :

  • RGPD : Règlement Général sur la Protection des Données, c’est le règlement n° 2016/679 adopté par le Parlement Européen
  • GDPR : le même en version anglaise, General Data Protection Regulation

La date : 25 mai 2018, non cela n’est pas la date de la fête des Mères mais la date d’application du règlement décrit précédemment

Pour bien comprendre les enjeux encore faut-il en connaître le contenu. Essayons de le résumer.

Dans un premier temps, il faut bien comprendre que le Règlement Général sur la Protection des Données ou RGPD  est un ensemble de nouvelles règles et normes européennes portant sur la protection de la vie privée et la gouvernance des données.

La première erreur consisterait à penser que seules les sociétés européennes sont concernées.

C’est faux, car toute société exploitant ses activités ou faisant affaires avec des clients européens doit se conformer à ce règlement.

La deuxième erreur serait de penser que seule une minorité de sociétés et/ou acteurs devraient se conformer à ce dernier.

Là encore totalement faux. De par son périmètre, quasiment 100% (pour ne pas dire 100%) des sociétés privées ou publiques entrent dans le cadre de cette nouvelle réglementation.

Par sociétés, il faut entendre, tous types de sociétés, de l’EURL à la SA cotée au CAC 40, en passant par l’Association loi 1901.

Et enfin la troisième erreur serait de sous-estimer le changement.

En effet, l’Europe a, depuis 1995, mis en place des règlements sur la gouvernance et la protection des données.

Mais cela serait négliger que le RGPD constitue une série de principes jouissant de la plus haute priorité et exigeant l’attention de toutes les entreprises.

Alors le RGPD c’est quoi ?

Le cœur même du RGPD concerne la protection des données personnelles ou des informations d’identification personnelle (IIP).

Les données personnelles peuvent consister en des informations de tout genre permettant à une personne d’identifier directement ou indirectement une autre personne physique.

Ces données incluent des informations telles que (liste non exhaustive) :

  • les noms,
  • les adresses e-mail,
  • les numéros de téléphone
  • les publications sur les médias sociaux,
  • les informations physiques, physiologiques, génétiques ou médicales,
  • les lieux,
  • les coordonnées bancaires,
  • les adresses IP,
  • les cookies

Exemple : vous disposez d’une base de données marketing contenant des informations sur l’âge, des comportements d’achat, des préférences de consommation. Cette base est considérée comme un traitement de données personnelles dès lors qu’un lien peut être établi entre une personne physique et les informations stockées dans la base.

Cette protection des données personnelles est établie en six principes. Ces données doivent être :

  • traitées en toute légalité, de manière loyale et transparente
  • recueillies à des fins spécifiées, explicites et légitimes
  • appropriées, pertinentes et limitées au strict nécessaire
  • précises et, si nécessaire, mises à jour
  • conservées uniquement tant qu’elles sont nécessaires
  • traitées de manière à garantir leur sécurité.

Vous devez :

  • Respecter ces six principes généraux du RGPD,
  • ET démontrer votre conformité via la documentation et/ou les procédures opérationnelles standard (POS) sur la protection des données.

Informations importantes à connaitre :

Le RGPD est un règlement de l’Union Européenne qui prime sur tous les autres. Avec effet immédiat au 25 mai 2018. Contrairement à une directive, il ne nécessite pas l’adoption d’une loi habilitante par des gouvernements nationaux. Il prévaut sur les lois nationales et toutes les directives précédentes.

Les sanctions en cas de non-respect sont élevées : Cf. l’article 83. Des amendes peuvent être appliquées à hauteur de 20 millions d’euros ou 4 % du total du chiffre d’affaires annuel mondial du précédent exercice financier, selon le montant le plus élevé.

Un consentement valide doit être explicitement donné par le client (consentement éclairé du client) pour le recueil des données et pour les fins auxquelles elles sont utilisées. Ce « consentement » doit pouvoir être démontré par les responsables du traitement des données.

Le respect du règlement s’applique aussi en dehors de l’Union Européenne. Les sociétés non européennes recourant aux dispositions d’exonération pour se conformer au règlement d’origine sur la protection des données ne peuvent plus le faire. Cf. la décision du 24 octobre 2015 par la Cour de justice de l’Union européenne.

Les données personnelles peuvent inclure tout type de données. Selon la Commission européenne, les « données personnelles consistent en tout type d’informations relatives à une personne, qu’elles aient trait à sa vie privée, professionnelle ou publique ». Les sociétés doivent pouvoir identifier les lieux ou documents contenant des informations d’identification personnelle et pouvoir fournir au client, un index de ces données d’identification personnelle, si celui-ci en fait la demande.

Les Chaînes de responsabilité sont étendues : vous restez responsables des pratiques de gouvernance des données si des informations d’identification personnelle sont stockées ou gérées en votre nom par un ou plusieurs prestataires externes (cloud, gestion de documents, ….)

Autre point important : Dans le cadre du RGPD, vous devez avoir entendu parler de cinq termes ou rôles :

  • la personne concernée : c’est une personne physique. Il peut s’agir d’un client ou d’un employé d’une société ou d’un utilisateur de la plateforme de médias sociaux ou d’une autre personne.
  • le responsable du traitement des données : c’est la personne physique ou morale, l’autorité publique, l’organisme ou toute autre organisation, qui seul ou en association avec des tiers, détermine les fins et moyens de traitement des données personnelles.
  • le sous-traitant du traitement des données : c’est une personne physique ou morale, une autorité publique, un organisme ou toute autre organisation qui traite les données personnelles au nom du responsable du traitement des données personnelles.
  • le délégué à la protection des données (DPD) (ou en version anglaise un DPO, Data Protection Officer). Il (elle) est obligatoire si le traitement de données personnelles concerne plus de 5000 personnes par an, ou si vous êtes une structure publique (mairies, office public de l’habitat, ministère, …) ou si vous traitez principalement des données de catégories spéciales (hôpitaux, laboratoires, …) ou si votre activité exige un suivi régulier, systématique à grande échelle de données personnelles (assurances, banques…)
  • l’autorité en charge de la protection des données : Chaque État membre de l’Union Européenne prévoit une ou plusieurs autorités indépendantes chargées de la protection des données (APD) responsables du contrôle du secteur privé. En France, la CNIL a ce rôle.

2ème partie

Comment et avec quoi peut-on vous aider ?

Vous l’avez compris, des données d’identifications personnelles peuvent être n’importe où, un email, une note, un papier, un document numérique, …

Le premier réflexe pourrait être de penser simplement base de données et applications informatiques et de vous dire :  facile. Désolé de freiner cet enthousiasme, car cela ne suffit pas.

Pourquoi ? Parce le RGPD s’applique également aux registres papier traités et stockés par une entreprise et aux informations contenues dans des documents numériques et pas forcément stockés dans une application informatique.

Par exemple des d’e-mails, des contrats, des factures, des courriers, des formulaires, etc.

A ce stade il faut donc revenir aux fondamentaux  et se concentrer sur les actions à réaliser pour se conformer au RGPD.

Nous n’allons pas détailler toutes les actions à réaliser. D’autres, et en particulier l’autorité de contrôle,  ont fait un excellent travail sur ce sujet.

Nous vous invitons donc à consulter le site de la CNIL et en particulier cette page CNIL.

En se concentrant sur les actions-clefs à faire maintenant nous pouvons résumer cela en :

  • Etape 1 : Trouvez et accédez aux données personnelles
  • Etape 2: Obtenez la possibilité d’exporter, de corriger et de supprimer les données personnelles
  • Etape 3 : Veillez à ce que les données personnelles soient protégées et ne fassent pas l’objet d’un traitement ultérieur
  • Etape 4 : Définir une stratégie de conformité au niveau de la société

Sur ces bases et pour chacune des étapes, nous sommes en mesure de vous aider avec nos solutions et leur mise en oeuvre.

Comment ?

  • Etape 1 : Trouvez et accédez aux données personnelles →

Avec DocuWare : tous les documents sont numérisés et stockés dans un système sécurisé. Il est donc facile de trouver et d’accéder à toutes les données personnelles contenues dans ces documents.

Avec DocuWare associé à des processus et des méta données (index) ad hoc, il est possible d’assurer une description exhaustive des données personnelles conservées. La lecture automatique, la reconnaissance plein texte, le moteur de lecture automatique à auto apprentissage sont autant d’outils permettant de faciliter et de sécuriser l’indexation des documents.

Avec le moteur Ephesoft en frontal de DocuWare, il est aussi possible de traiter de grandes quantités de documents pour en extraire les données sensibles à des fins d’indexation.

En complément, il est possible de mettre en place d’autres actions pour renforcer la sécurité et garantir l’exhaustivité des recherches :

Cryptage de tous les documents contenant des informations d’identifications personnelles

Appliquer les règles de conservation et de suppression des documents concernés

Appliquer les règles de sécurité pour garantir un accès aux seules personnes habilitées.

Interdire des diffusions volontaires ou accidentelles de documents sensibles

Journaliser toutes les actions sur les documents pour indiquer les changements, les accès, ….

Fournir une piste d’audit automatique pour prouver que seules les personnes habilitées ont eu à des informations d’identifications personnelles.

  • Etape 2 : Obtenez la possibilité d’exporter, de corriger et de supprimer les données personnelles →

Les contraintes sont fortes :

En effet, si vous êtes interrogé par une personne physique sur l’existence dans votre système d’information de données d’identifications personnelles, vous devez répondre, puis fournir à première demande et dans un délai de 30 jours un exemplaire des données personnelles faisant l’objet d’un traitement.

Si vous détenez des informations inexactes, vous devez immédiatement les corriger sur demande.

Si la personne vous demande la suppression de ses données, vous devez le faire en vertu du droit à l’oubli. Sauf si vous en avez besoin dans un cadre d’obligation juridique ou pour un intérêt public.

Comment peut-on vous aider dans cette étape ?

Avec DocuWare il est facile de définir un processus permettant, sur la base d’un nom, d’un identifiant ou toute donnée pertinente, de déclencher un export, une correction ou une suppression des informations d’identifications personnelles. Dans le cadre d’un processus, il est tout à fait possible (et recommandé) d’affecter la tâche au DPO (Délégué à la Protection des Données) qui validera ou non ladite demande.

Avec DocuWare et son module DocuWare Request, il est facile d’exporter les documents dans leur format d’origine pour transférer toutes les informations d’identifications personnelles.

Avec DocuWare et son moteur de Workflow, le paramétrage et la traçabilité des traitements de suppression des informations personnelles sont un jeu d’enfant. Toutes les demandes sont transmises automatiquement au DPO qui peut valider ou non selon leurs bien-fondés.

Avec DocuWare et ses mécanismes de journalisation, la traçabilité de toutes les opérations est assurée. Des fonctions standards (accessibles bien sûr uniquement en fonction des droits) permettent un affichage facile et instantané de ces journaux.

  • Etape 3 : Veillez à ce que les données personnelles soient protégées et ne fassent pas l’objet d’un traitement ultérieur →

Sur demande, votre société ou organisme doit pouvoir exclure les données personnelles de ses futures activités de traitement, de manière temporaire ou permanente. (Article 18 : Droit à la limitation du traitement)

Comment peut-on vous aider dans cette étape ?

Là encore la puissance de DocuWare va nous permettre de répondre facilement à ces exigences.

En établissant des scénarios de rétention avec les fonctions de DocuWare, vous pouvez garantir que des documents contenant des informations d’identifications personnelles ne soient volontairement ou non, diffusés et/ou transférés d’une quelconque manière en dehors de l’entreprise.

Sans besoin de programmation, simplement avec un paramétrage adapté, en utilisant des fonctionnalités de base de DocuWare.

De plus, grâce à la journalisation native toutes les opérations sur informations sensibles peuvent être tracées.

En complément la gestion des droits très sophistiquée permet de sécuriser les accès.

Autant de fonctions qui permettent de respecter vos obligations sans alourdir les processus organisationnels, DocuWare s’assurant de l’application des règles paramétrées.

  • Etape 4 : Définir une stratégie de conformité au niveau de l’entreprise →

Une solution de gestion électronique de documents, telle que DocuWare, est un facilitateur très important pour assurer la conformité au RGPD à moindre coût.

Mais, vous utilisez probablement d’autres logiciels qui traitent des données personnelles, telles qu’une solution de CRM (Gestion de la relation client), un ERP (Gestion intégrée) ou autres..

Il est donc fondamental de définir une stratégie cohérente pour gérer des données personnelles sur tous les systèmes.

Dans votre CRM, par exemple, vous devez également être en mesure de trouver, accéder, corriger, exporter, protéger et supprimer des données personnelles ainsi que de tenir un registre de ces activités de traitement.

D’où l’importance de cette consigne: Tenez vos registres à jour.

Que ce soit avec DocuWare, votre système de CRM ou votre ERP, si vous intervenez en qualité de responsable du traitement des données, votre DPO garantit la conformité et doit donc tenir un registre des informations suivantes :

  • votre nom et vos coordonnées et si nécessaire, l’identité des coresponsables du traitement, des représentants et délégués à la protection des données
  • l’objet du traitement
  • une description des catégories de personnes concernées et de données personnelles
  • les catégories de destinataires, incluant ceux se trouvant dans des pays tiers ou les organisations internationales
  • les renseignements sur les transferts de données personnelles à destination de pays tiers (si nécessaire)
  • les périodes de conservation des différentes catégories de données personnelles (si possible)
  • une description générale des mesures de sécurité utilisées (si possible).

Et si vous faites appel à un sous-traitant chargé du traitement des données, vous devez contractuellement vous assurer que ce dernier tient un registre de toutes les catégories d’activités de traitement au nom du responsable du traitement des données.

Là encore DocuWare vous aidera à classer et protéger vos contrats avec vos sous-traitants, contrats dans lesquels vous aurez soin d’inclure les clauses ad hoc.

Sachez qu’il encore temps de commencer à agir pour vous mettre en conformité – étape par étape – avec ce nouveau règlement.

Et si nous parlions ensemble de vos besoins ?

Contactez-nous