Prouver sa conformité au RGPD

Depuis le 25 mai 2018, les entreprises sont tenues de se conformer aux dispositions du règlement général sur la protection des données (RGPD). Un des changements majeurs du RGPD concerne la suppression de l’obligation de déclaration des traitements auprès de la Cnil au profit du principe d’accountability. Le responsable de traitement a donc l’obligation de mettre en œuvre des mécanismes et procédures internes afin de démontrer sa conformité au règlement.

LA DOCUMENTATION RELATIVE AU TRAITEMENT DES DONNEES

Registre des traitements

Afin de prouver le respect des obligations du RGPD, chaque responsable de traitement doit tenir un registre des traitements, sous une forme écrite et régulièrement mis à jour, comportant :
les catégories de données, de personnes concernées et de destinataires des données ;
les finalités du traitement et les délais d’effacement des données ;
les mesures de sécurité techniques et organisationnelles mises en place[i].

Analyse d’impact relative à la protection des données

Lorsqu’un traitement de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit effectuer, avant le traitement, une analyse d’impact[ii]. Afin d’aider les entreprises à formaliser cette analyse, la Cnil propose un logiciel open source PIA[iii].

Contrats avec les sous-traitants

Afin de garantir la sécurité des données, l’article 28 du RGPD, qui régit la relation entre un responsable de traitement et son sous-traitant, impose à ces derniers de conclure un contrat comportant des informations sur le traitement et les obligations du sous-traitant[iv].

Transferts hors de l’Union européenne

Le transfert de données personnelles vers un pays hors de l’Union européenne n’est autorisé que si :
le pays tiers a été reconnu comme présentant un niveau de protection équivalent[v] ;
le pays tiers a prévu des garanties appropriées telles qu’un instrument juridiquement contraignant entre les autorités, des clauses contractuelles types, des règles internes d’entreprise (BCR), un code de conduite ou un mécanisme de certification approuvé[vi].

LA DOCUMENTATION RELATIVE A L’INFORMATION DES PERSONNES

Mentions d’information

Le responsable de traitement doit fournir à la personne concernée des informations d’une façon concise, transparente, compréhensible et aisément accessible[vii]. En pratique, un professionnel aura la capacité de démontrer sa conformité à cette obligation d’information au moyen de mentions d’information insérées au bas des formulaires en ligne et au sein des mentions légales.

Recueil du consentement

Le responsable de traitement doit être en mesure de prouver qu’il a recueilli le consentement de la personne concernée, de manière licite, spécifique, éclairée et univoque[viii].
En pratique, il sera recommandé, dans les relations B to C, de recourir à la technique de l’opt-in, qui se matérialise par des cases à cocher et, dans les relations B to B, de recourir à la technique de l’opt-out par laquelle le consentement est donné de manière implicite jusqu’à ce que la personne démarchée s’y oppose au moyen d’un lien de désinscription au bas d’un e-mail[ix].
Enfin, il paraît essentiel pour les professionnels de s’équiper d’un outil assurant la conservation et la traçabilité des informations relatives au consentement c’est-à-dire :

  • le contenu et la date du consentement ;
  • le moyen utilisé pour donner le consentement ;
  • l’information communiquée au moment du consentement ;
  • la date d’un éventuel retrait du consentement.
Droits des personnes

Les personnes concernées disposent, entre autres, d’un droit d’accès, de rectification et d’effacement de leurs données qu’elles peuvent exercer au moyen d’un courrier ou d’un formulaire électronique. Le responsable de traitement pourra justifier sa conformité grâce à des procédures internes documentées de remontée des demandes et d’envoi d’une réponse compréhensible.

LA DOCUMENTATION RELATIVE AUX MESURES DE SECURITE

Mesures de sécurité physique et logique

Le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir la confidentialité, l’intégrité, la disponibilité et la résilience[x].
L’application d’un mécanisme de certification approuvé, tel que la norme ISO 27001, permet de démontrer le respect des exigences de sécurité posées par le RGPD[xi]. En effet, cette norme impose, notamment, de mettre en œuvre des contrôles d’accès, des mesures de chiffrement, des procédures de sauvegarde des données et de continuité d’activité.

Notification des violations de données

Le responsable de traitement a l’obligation de notifier toute violation de données personnelles à l’autorité de contrôle compétente soixante-douze heures au plus tard après en avoir pris connaissance[xii].
Afin de démontrer le respect de ses obligations en matière de notification et de sécurité, le responsable de traitement peut mettre en place un registre interne précisant :
La nature et les conséquences probables de la violation ;
Les catégories et le nombre approximatif des personnes concernées ;
Les catégories et le nombre approximatif des fichiers de données concernés ;
Les mesures prises pour remédier à la violation.
De la même manière, la norme ISO 27001 impose aux organisations de justifier de la mise en place de procédures de signalement des incidents de sécurité, dans les meilleurs délais, afin d’y apporter une réponse rapide et efficace[xiii].


[i] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 30.
[ii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 35.
[iii] Cnil.fr, Outil PIA : téléchargez et installez le logiciel de la CNIL, 6 décembre 2018 : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.
[iv] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 28.
[v] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 45.
[vi] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 46.
[vii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 12.
[viii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, articles 4 et 7.
[ix] Commission nationale de l’informatique et des libertés, La prospection commerciale par courrier électronique, 28 décembre 2018 : https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique.
[x] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 32.
[xi] Ibid.
[xii] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 33.
[xiii] AFNOR, NF ISO/CEI 27001, 27 décembre 2013, point A.16.