Les incollables RGPD 2

Testez votre degré de maturité !

 

Dans notre précédent article, vous avez testé votre degré de conformité, c’est-à-dire votre capacité à respecter vos obligations légales en matière de protection des données personnelles.

Si vous avez manqué ce premier quiz, tout se passe ici :https://www.rgpd-experts.com/les-incollables-rgpd-1

Mais la façon dont votre organisme exécute, contrôle, maintient et assure le suivi de sa « dynamique RGPD » est-elle optimale ? Vos mesures de conformité sont-elles pleinement intégrées dans le fonctionnement global de votre entité ?

Pour le savoir, estimez votre degré de maturité sur le sujet !

Inspiré de l’auto-évaluation publiée par la CNIL[1], ce second quiz est l’occasion de jauger où en est votre organisme dans ses efforts pour assurer la protection des données personnelles qu’il manipule.

La norme ISO/IEC 21827 définit 5 niveaux de maturité, listés par ordre croissant :

① Pratique informelle

② Pratique répétable et suivie

③ Processus défini

④ Processus contrôlé

⑤ Processus continuellement optimisé

 

Votre organisme n’a pas nécessairement besoin de répondre aux exigences du plus haut échelon de cette norme. Pour situer le niveau de maturité que votre organisme devrait idéalement atteindre, il convient d’étudier [2] :

– Les conséquences potentielles d’une éventuelle atteinte à vos systèmes d’information, en interne et en externe ;

– La sensibilité de votre patrimoine informationnel ;

– Votre degré d’exposition aux menaces ;

– L’importance des vulnérabilités auxquelles vos systèmes d’information sont exposés.

Alors ? Où en êtes-vous dans votre conformité ? Êtes-vous suffisamment mature ?
Question 1: Définition et mise en œuvre des procédures de protection des données

A) Certains documents relatifs à la protection des données ont été formalisés (charte d’utilisation des moyens informatiques, politique de protection des données, etc.)

B) L’organisme a adopté des politiques et protocoles et les a transmis à l’ensemble de ses salariés/membres. Ils sont appliqués.

C) Les politiques et protocoles adoptés et transmis aux salariés/membres de l’organisme sont appliqués. Grâce aux indicateurs de suivi instaurés, ces documents sont actualisés dès qu’une possible amélioration est mise en évidence.

D) Des salariés/membres de l’organisme, intéressés par le sujet, ont spontanément mis en œuvre quelques mesures pour protéger les données personnelles que nous manipulons.

Question 2: Gouvernance de la protection des données

A)  Certains salariés/membres de l’organisme semblent avoir des compétences sur le sujet, et acceptent de se charger des questions ou problèmes parfois rencontrés, en lien avec la protection des données.

B) L’organisme a désigné un Délégué à la Protection des Données, qui a constitué une équipe pour l’assister dans ses missions. À ce titre, chaque membre s’est vu attribuer une place et un rôle bien définis.

C) Un salarié/membre de l’organisme a été désigné comme référent en matière de protection des données.

D) Nous allouons au Délégué à la Protection des Données que nous avons désigné d’importants moyens pour améliorer sans cesse la conformité de notre organisme, en s’inspirant du plan d’action annuel qu’il a défini.

Question 3: Registre des activités de traitement

A) Nous tenons et actualisons un registre des activités de traitement, conformément aux exigences de l’article 30 du RGPD.

B) Je pense que nous pouvons identifier tous les traitements de données opérés par notre organisme.

C) Non seulement un registre des activités de traitement est tenu et actualisé selon les prescriptions légales, mais en plus nous l’utilisons comme outil de pilotage de nos actions de conformité. En effet, ce document unique est pratique, car il contient toutes les informations dont nous avons besoin pour établir notre plan d’action.

D) Il existe un ou plusieurs documents centralisés, qui retracent l’ensemble des traitements de données que notre organisme met en œuvre.

Question 4: Conformité juridique des traitements

A) L’organisme dispose d’une série de protocoles parfaitement appliqués et adaptés à chaque traitement / à chaque relation commerciale (information des personnes concernées, clauses contractuelles sur la protection des données, analyse d’impact relative à la protection des données, gestion des sous-traitants, charte informatique…). Ces documents sont sans cesse améliorés. Une veille juridique et technique est instaurée pour maintenir notre conformité.

B) Les personnes concernées sont correctement informées de la collecte et du traitement de leurs données personnelles. Notre organisme prévoit, dans chacun de ses contrats (tant les contrats de travail de ses salariés que les conventions conclues avec ses partenaires commerciaux), une clause dédiée à la protection des données.

C) Les personnes concernées sont informées de la collecte de leurs données personnelles et des caractéristiques de ces traitements de données, sur nos principaux canaux de communication (site internet, flyers).

D) En plus de l’information correcte des personnes concernées et l’inclusion de clauses spécifiques à la protection des données dans nos contrats, l’organisme encadre les opérations menées par ses sous-traitants et effectue des analyses d’impact relatives à la protection des données lorsque celles-ci s’imposent.

Question 5: Formation et sensibilisation

A) Nous organisons fréquemment des sessions de sensibilisation sur la protection des données personnelles, auxquelles les salariés/membres de l’organisme sont invités à participer.

B) De nombreux salariés/membres de l’organisme ont été formés sur le sujet. Notre organisme propose régulièrement des sessions de sensibilisation, notamment lorsque nous rencontrons une question précise concernant notre conformité.

C) Les salariés/membres de l’organisme sont entrainés à identifier et à transmettre les sujets touchant à la protection des données aux personnes compétentes.

D) Certains salariés/membres de l’organisme se sont particulièrement bien renseignés sur le sujet, par eux-mêmes.

Question 6: Traitement des demandes des personnes concernées

A) Une procédure de gestion des demandes d’exercice de droits a été définie et communiquée aux salariés/membres de l’organisme (formulaire de contact, courriers types de réponse, registre de suivi des requêtes, indicateurs relatifs à ces demandes…). Nous améliorons continuellement ce processus et ces outils.

B) L’organisme dispose de modèles types de réponses à envoyer aux auteurs d’une telle demande.

C) Nous répondons au cas par cas à ces requêtes, le sujet est trop complexe pour que cette question soit mieux organisée / standardisée.

D) Un point de contact est mis à disposition des personnes concernées. En plus de courriers types de réponse, nous avons défini une procédure de gestion de ces demandes d’exercice de droit, connue des salariés/membres de l’organisme.

Question 7: Gestion des risques de sécurité

A) Notre organisme n’a pas les moyens d’instaurer plus de mesures de sécurité que celles purement élémentaires (mise en veille automatique des postes de travail, code d’accès individuel, habilitations d’accès…).

B) Nous essayons de mettre en place les mesures de sécurité préconisées par la CNIL et l’ANSSI notamment.

C) Des analyses d’impact relatives à la protection des données [3] sont réalisées lorsque nous pensons qu’un de nos traitements est susceptible de générer des risques pour les personnes concernées. Dans tous les cas, un plan d’action adapté, destiné à limiter les risques induits par nos activités de traitement, est établi.

D) Au-delà des analyses d’impact relatives à la protection des données et des plans d’action visant à minimiser les risques liés à nos activités de traitement, ces études sont revues chaque année. Nous avons instauré une veille sur les vulnérabilités de nos systèmes d’information. Dès qu’une nouvelle menace est identifiée, des mesures correctrices sont adoptées.

Question 8: Gestion des violations de données

A) Ces incidents de sécurité sont gérés de façon centralisée, et des mesures correctrices sont toujours prises.

B) Notre organisme a défini une procédure de gestion des violations de données systématiquement appliquée. Les failles de sécurité sont consignées dans un registre dédié. Un plan d’action est édicté après chaque incident, pour éviter qu’il ne se reproduise.

C) Impossible de dresser une règle générale, notre réaction en cas de faille de sécurité ou violation de données n’est pas toujours la même. Nous procédons au cas par cas : parfois nous opérons un signalement, parfois nous prenons des mesures correctrices, parfois nous en informons la CNIL, cela dépend.

D) Au-delà de notre procédure de gestion des violations de données, du registre dédié à ces incidents de sécurité et des plans d’action consécutifs, nous essayons de tirer les leçons de ces événements. Un bilan de ces violations est régulièrement réalisé pour identifier les failles de nos systèmes d’information, et améliorer nos démarches de conformité et nos études des risques.

 

Vos résultats :

Vous avez une majorité de A

  Félicitations, votre conformité semble faire l’objet d’un processus continuellement optimisé. Vous analysez le suivi des mesures que vous avez mises en place, et entendez apprendre de vos erreurs. Vous souhaitez profiter des carences que votre organisme relève ponctuellement pour adapter de façon dynamique et standardisée vos actions de conformité à votre propre situation. Ne lâchez-rien de votre démarche d’amélioration continue !

Vous avez une majorité de B

Bravo ! Votre conformité s’inscrit dans un processus bien défini, voire même contrôlé. Vos pratiques en matière de protection des données sont formalisées et rationalisées. Votre organisme mobilise pour cela les moyens humains, matériels et financiers nécessaires.

Vous pouvez aller plus loin en instaurant des indicateurs destinés à mesurer l’application et l’efficacité de ces mesures de conformité. « C’est peut-être un détail pour vous, mais pour [nous] ça veut dire beaucoup » : ce calibrage vous permettra de corriger vos éventuels défauts, et ainsi renforcer encore davantage votre « dynamique RGPD ».

Vous avez une majorité de C

Votre degré de maturité correspond à celui d’une pratique dite « répétable et suivie ». En d’autres termes, si quelques mesures sont formalisées, la plupart d’entre elles résultent de l’action d’une ou plusieurs personnes compétentes en interne en matière de protection des données. Celles-ci planifient des actions éparses, non coordonnées.

Pour plus de cohérence et de performance, il est essentiel que vos actions impliquent le plus grand nombre. Pour cela, nous vous recommandons de mettre en place dans votre structure une véritable gouvernance de la protection des données, qui se doit d’être insufflée par les dirigeants de l’organisme. L’établissement d’un plan d’action, sollicitant la participation de l’ensemble des salariés/membres de l’entité, est à prévoir.

Vous avez une majorité de D

Votre conformité s’inscrit dans le cadre d’une pratique informelle. Seules les mesures de base en termes de protection des données personnelles sont adoptées, soit à l’initiative spontanée de quelques personnes sensibles au sujet, par obligations ponctuelles des dirigeants de l’entité. Il est primordial que votre organisme se renseigne davantage sur les obligations légales lui incombant en la matière, et intègre ces formalités dans son fonctionnement. Non seulement ces formalités représentent une véritable plus-value pour votre structure sur le marché[1], mais cela vous permettra aussi de contenir les risques d’une éventuelle enquête de la CNIL. Nous vous assurons que le sujet est intéressant, et que vous regretterez de ne pas avoir agi plus tôt en cas de condamnation par l’autorité compétente…

 

 

Si vous souhaitez que votre organisme atteigne un degré de maturité supérieur en matière de protection des données, notre équipe de professionnels vous propose des conseils adaptés à votre situation et un accompagnement personnalisé pour approfondir encore davantage vos démarches de conformité.

Nous vous invitons à prendre contact avec les services de RGPD-Experts via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

 

 

 

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles. Son guide d’auto-évaluation de maturité en gestion de la protection des données est accessible à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/autoevaluation_de_maturite_en_gestion_de_la_protection_des_donnees.pdf

[2] Si vous souhaitez réaliser un diagnostic rapide et succinct du niveau de maturité que votre organisme se devrait d’atteindre, nous vous invitons à prendre connaissance du guide publié à cet effet par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), disponible à l’adresse suivante : https://www.ssi.gouv.fr/uploads/2009/07/maturitessi-plaquette-2007-11-05_maj-20170309.pdf

[3] Si vous souhaitez en apprendre davantage concernant les analyses d’impact relatives à la protection des données (AIPD), nous vous invitons à prendre connaissance de notre précédent article sur ce point : https://www.rgpd-experts.com/les-dessous-dun-acronyme-bien-trop-meconnu/

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Les incollables RGPD 1

Testez votre degré de conformité !

 

Êtes-vous incollable sur les règles applicables en matière de protection des données à caractère personnel ? Votre organisme a-t-il adopté les bonnes pratiques pour respecter les exigences issues du Règlement Général sur la Protection des Données (RGPD) ?

Relevez le défi : testez l’étendue de vos connaissances et de celles de vos collaborateurs sur le sujet ! Grâce à ce quiz, RGPD-Experts vous propose de vérifier de façon simple et ludique si les actions entreprises par votre structure sont adéquates et suffisantes pour répondre à vos obligations légales

 

Question 1: Applicabilité de la législation à mon organisme

A) Je ne manipule que des informations manuscrites et non numériques, je ne suis pas concerné par ces lois.

B) Je suis concerné par l’application de ces règles, car j’ai plus de 11 salariés/membres.

C) Je m’efforce de respecter ces règles car je traite des données personnelles en interne (notamment sur les membres de mon personnel) et en externe (clients, fournisseurs, partenaires commerciaux).

D) Cette législation ne s’applique pas à mon égard, car je traite les données d’un autre organisme pour son compte.

Question 2: Sources d’inspiration de mon organisme

Pour décider des mesures prises afin d’assurer la protection des données personnelles, mon organisme se réfère… :

A) A des recommandations publiées dans des articles en ligne, sur des blogs d’ « experts/spécialistes ».

B) Aux seules dispositions du Règlement Général sur le Protection des Données (RGPD).

C) Uniquement aux préconisations et actions mises en place par notre Délégué à la protection des données ou un consultant recruté à cette fin.

D) Au RGPD, à la Loi « Informatique et Libertés » du 6 janvier 1978 dans sa version modifiée, mais aussi aux textes législatifs et réglementaires spécifiques à mon secteur d’activité.

Question 3: Recensement des traitements de données mis en œuvre par mon organisme

A) Je sais précisément quels types de traitement sont mis en œuvre par mon organisme pour poursuivre ses missions.

B) Je n’effectue aucun traitement de données personnelles. Je suis obligé de les collecter auprès de nos clients, mais je ne les exploite pas.

C) J’ai recensé et inscrit l’intégralité des traitements de données mis en œuvre par mon organisme au sein d’un registre dédié (registre des activités de traitement), que je mets régulièrement à jour.

D) J’ai une vague idée des traitements de données mis en œuvre par mon organisme, mais je viens de réaliser que je n’avais pas pris en compte les données personnelles traitées en interne dans le cadre de mes activités de ressources humaines.

Question 4: Délégué à la protection des données

A) J’ai désigné un Délégué à la protection des données, alors même que cela ne m’était pas imposé.

B) Je n’ai pas de Délégué à la protection de données, et ne sais pas si mon organisme est tenu d’en désigner un.

C) L’employeur n’est-il pas d’office lui-même Délégué à la protection des données ?

D) J’ai désigné un Délégué à la protection des données, car les textes imposent à mon organisme de le faire.

Question 5: Conscience des risques particuliers de l’activité de mon organisme pour la protection des données à caractère personnel

A)  Je ne traite pas de données sensibles ou que très rarement, il n’y a donc pas de risques.

B) Des analyses d’impact relatives à la protection des données ont été menées sur les opérations susceptibles d’engendrer des risques élevés pour les personnes concernées.

C) Je ne manipule que des données récoltées en interne, notamment concernant les employés/membres de mon organisme. Les risques sont donc limités.

D) Je ne sais pas quels critères prendre en compte pour savoir si l’activité de mon organise comporte des risques particuliers.

Question 6: Conformité du site Internet de mon organisme

A) Les mentions légales et la politique de protection des données du site reprennent toutes les informations obligatoires prévues par la loi

B) En plus des mentions légales imposées, le site intègre un outil permettant de gérer le consentement des internautes aux cookies non nécessaires, un accès à notre politique de protection des données et communique les coordonnées de notre Délégué à la protection des données/personne de référence à contacter par les personnes concernées.

C) Le site inclut des mentions légales et une politique de protection des données « types » trouvées sur Internet, et non adaptées à l’activité spécifique de mon organisme.

D) Ohlala, laissez-moi rectifier tout cela avant de répondre à la question !

Question 7: Transferts de données à caractère personnel à l’étranger

A) Mon organisme ne transmet aucune donnée personnelle vers des pays situés en dehors de l’Union Européenne (UE) et héberge ses données en France, ou dans un autre État membre de l’UE.

B)  part les services de “Google”, mon organisme n’utilise aucun service étranger. Je ne suis donc pas concerné par la question.

C) Mon organisme a une dimension internationale, mais les flux de données en dehors de l’Union Européenne ne font l’objet d’aucun encadrement particulier.

D) Mon organisme a une dimension internationale, mais les mesures nécessaires ont été prises pour s’assurer que la protection accordée à ces données ne soit pas compromise lors de leurs transferts vers des pays situés en dehors de l’UE.

Question 8: Gestion des relations de sous-traitance

A) Mon organisme ne confie à aucun prestataire le traitement des données personnelles dont il dispose.
(Ah bon ? Même pour la gestion de la paie des salariés ou la réalisation d’études de marché ?)

B) Mon organisme délègue autant que possible ses opérations de traitement de données personnelles à des tiers, afin de reporter sur eux toute responsabilité en cas de manquement au RGPD.

C) Mon organisme formalise systématiquement sa relation avec des sous-traitants, et inclut dans cet écrit des clauses spécifiques à la question de la protection des données personnelles.

D) Mon organisme évalue la conformité de ses potentiels sous-traitants avant de formaliser avec eux un quelconque partenariat, par un écrit encadrant strictement la manipulation de ces données. Mon entité suit scrupuleusement le bon déroulement des activités qu’elle leur a confiées.

Question 9: Mesures de sécurité 1/3 : sécurité logique

Les salariés/membres de l’organisme peuvent utiliser les outils informatiques de l’organisme…

A) Librement : un organisme ne peut pas avancer sans que ne règne une totale confiance entre ses membres.

B) A condition de s’authentifier avec des codes propres à chaque service.

C) A condition de s’authentifier avec leur code individuel, les droits de chacun étant limités conformément à la politique d’habilitation adoptée par l’entreprise et régulièrement révisée (notamment en cas de départ). Des dispositifs permettant d’assurer une traçabilité des connexions ont également été mis en place.

D) L’encadrement de l’utilisation du réseau et de l’intranet de l’organisme est difficile, car les données sont traitées par les salariés/membres de l’organisme depuis leur équipement informatique personnel.

Question 10: Mesures de sécurité 2/3 : sécurité physique

A) Les locaux ne sont accessibles qu’aux seules personnes spécialement habilitées à s’y rendre (grâce à des badges, des clés…)

B) L’accès aux locaux de l’organisme est libre.

C) Les locaux sont accessibles librement sur la journée, mais des systèmes de vidéo-surveillance et d’alarmes ont été installés.

D) L’accès aux locaux est contrôlé ou limité (agent de sécurité, badge, clés…) et les lieux de stockage de données personnelles sont sécurisés (postes de travail systématiquement verrouillés, armoires fermées à clés…).

Question 11 : Mesures de sécurité 3/3 : sécurité juridique

A) Mon organisme est blindé : politique d’habilitation limitant l’accès aux données, accords de confidentialité, charte informatique, politique de gestion des sous-traitants, de gestion des durées de conservation, procédure à suivre en cas de violation de données ou de contrôle de la CNIL, registres des activités de traitement / de gestion des demandes d’exercice de droit / des violations de données, politique de continuité et de reprise d’activité, etc. Pas sûr d’avoir tout compris, mais tout y est.

B) Un registre des activités de traitement a été créé et est régulièrement mis à jour par l’organisme.

C) L’essentiel, c’est que les bonnes pratiques soient adoptées sur le terrain. Les procédures ne valent rien, car elles ne garantissent pas que des mesures soient prises pour assurer concrètement la protection des données personnelles manipulées par l’organisme.

D) Au-delà des registres et documents imposés par les textes, mon organisme a adopté toutes les procédures utiles et adaptées à son activité.

Question 12: Durées de conservation

A quelle fréquence détruisez-vous les données personnelles manipulées par votre organisme ?

A) Quand nous n’en avons plus besoin.

B) Les durées de conservation sont adaptées selon la catégorie des données personnelles concernées, ainsi que selon les obligations légales pesant sur notre organisme et les recommandations de la CNIL en la matière.

C) Mon organisme applique un délai fixe de conservation compris entre 5 et 10 ans, et organise un archivage systématique des dossiers à l’échéance de cette période.

D) Vous avez raison, il serait temps de faire un tri ! La salle d’archives déborde…

Question 13: Sensibilisation des salariés/membres de l’organisme sur les enjeux liés à la protection des données à caractère personnel

A) Les salariés/membres de l’organisme ont signé divers actes contraignants (accords de confidentialité, charte informatique les informant des pratiques interdites et recommandées concernant l’usage des outils numériques mis à leur disposition et charte sur leur droit à la déconnexion), et ont suivi une/plusieurs formation(s) sur ce sujet.

B) Les salariés/membres de l’organisme ont été convoqués à une réunion d’information et une personne a été désignée en interne comme référent « Informatique et Libertés » pour répondre à leurs éventuelles questions.

C) Les salariés/membres de l’organisme reçoivent parfois des newsletters ou communications à ce sujet, et sont vivement incités à se renseigner par eux-mêmes pour approfondir leurs connaissances.

D) Les exigences imposées par le RGPD sont trop contraignantes, notre organisme a d’autres batailles à mener.

Question 14: Violation de données à caractère personnel et incidents de sécurité

A) Panique à bord ! Je ne saurais clairement pas comment réagir en cas de violation de données.

B) Mon organisme dispose de mécanismes d’alerte en cas de violation de données, et nous sommes prêts à aviser directement les personnes concernées en cas de problème.

C) Mon organisme dispose de mécanismes d’alerte en cas de violation de données et nous sommes prêts à réagir si un tel événement survient : une procédure de gestion de crise a été établie (mesures à adopter pour mettre fin à la violation, méthodologie d’analyse des risques pour les personnes concernées, évaluation de la nécessité de procéder ou non aux notifications parfois imposées par les textes, tenue d’un registre des violations de données, etc.).

D) Mon organisme ne traite pas de données sensibles. Même en cas de violation de données, les risques pour les personnes concernées seraient donc minimes

Question 15: Gestion des droits des personnes concernées

A) L’organisme informe les personnes concernées de la collecte de leurs données personnelles et des principales caractéristiques des opérations de traitement envisagées. Il a aussi mis en place une procédure destinée à gérer efficacement leurs demandes d’exercice de droits.

B) Le Délégué à la protection des données de l’organisme / référent en matière de protection des données se charge de ces questions, qui relèvent de sa seule responsabilité.

C) L’organisme répond aux demandes et questions des personnes dont il collecte les données personnelles, mais ne les informe pas spontanément sur les modalités de mise en œuvre de ces opérations de traitement de données.

D) L’organisme s’efforce d’informer immédiatement les personnes concernées sur ces opérations de traitement (au téléphone, lors de rencontres, sur des flyers), mais ce n’est pas toujours possible en pratique. Nous nous évertuons à répondre à leurs demandes, même si nous ne savons pas toujours quoi leur dire…

Résultats:

Vous avez un majorité de A.

Félicitations, votre organisme paraît avoir intégré le respect des règles en vigueur en matière de protection des données comme une composante à part entière de sa philosophie de travail. Vous semblez avoir saisi les principes essentiels instaurés par le RGPD et la loi « Informatique et Libertés », et paraissez volontaires de les adapter au mieux à votre activité spécifique. Attention toutefois à faire preuve de flexibilité et d’ingéniosité pour que ces impératifs ne soient pas perçus comme trop contraignants par vos salariés/membres. Vous risquerez de perdre leur adhésion à vos démarches…

 

Vous avez un majorité de B.

Bravo ! Vous avez mis en place de nombreuses actions et procédures pour vous conformer autant que possible à la législation applicable en matière de protection des données. Le sujet semble vous intéresser, et vous faites des efforts louables pour intégrer cette préoccupation à votre fonctionnement. Vous appliquez cependant mécaniquement certaines règles, sans en comprendre réellement ni le sens, ni les enjeux. Vos démarches, quelque peu confuses, méritent d’être approfondies et davantage adaptées à votre structure. N’hésitez pas à vous faire accompagner dans ce processus par des professionnels qualifiés !

Vous avez un majorité de C.

Votre organisme a envie d’intégrer à son fonctionnement les règles applicables en matière de protection des données, mais ne semble pas savoir par quel bout initier ses démarches. Nous vous recommandons, avant toute chose, de bien appréhender les principes essentiels insufflés par le RGPD et la loi « Informatique et Libertés ». Ce n’est qu’une fois avoir compris l’esprit de ces textes que vous pourrez mettre en place un plan d’action concret et cohérent, adapté à votre activité. Pourquoi ne pas former un ou plusieurs salariés/membres de votre organisme pour faire souffler ce vent nouveau dans votre entité ?

Vous avez un majorité de C.

Comme bien d’autres, vous considérez les obligations légales vous incombant en matière de protection des données comme un obstacle supplémentaire à la poursuite de vos activités. Or, votre conformité peut s’avérer être un véritable atout financier et concurrentiel[1]. Le RGPD autorise une certaine souplesse et, selon vos missions, n’impose pas nécessairement un changement radical de vos pratiques.

Nous vous invitons à vous renseigner davantage auprès de professionnels, à l’écoute de vos contraintes et de vos besoins, pour établir une stratégie de mise en conformité adaptée à votre entité. A défaut, un éventuel contrôle de la CNIL[2] pourrait définitivement compromettre votre activité…

 

Si ce quiz révèle des lacunes dans votre organisme ou si vous n’avez aucune idée de la réponse à l’une de ces questions, peut-être que votre conformité n’est finalement pas si optimale…

Que ce soit pour approfondir avec vous l’une des thématiques abordées par ce test ou pour vous assister de A à Z dans votre mise en conformité, notre équipe de professionnels est à l’écoute de vos demandes et de vos besoins.

Nous vous invitons à prendre contact avec les services de RGPD-Experts via notre formulaire : https://www.rgpd-experts.com/contactez-rgpd-experts/

 

[1] Sur cette problématique, nous vous invitons à lire notre précédent article sur « le véritable coût de la conformité », disponible à l’adresse suivante : https://www.rgpd-experts.com/le-cout-de-la-conformite/

[2] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

Échelle de sanctions RGPD

Comment les autorités de contrôle devraient-elles
déterminer le montant de leurs amendes ?

 

Si le Règlement Général sur la Protection des Données (RGPD) fournit aux autorités de contrôle des indications sur la manière de fixer le montant des amendes administratives qu’elles infligent, leur évaluation et leur justification relèvent in fine de leur seule discrétion.

Pour rappel, ces amendes constituent l’une des mesures correctrices pouvant être prononcées par les autorités de contrôle, à la place ou en complément d’un avertissement, d’un rappel à l’ordre, d’une injonction de se conformer à la législation en vigueur dans un délai déterminé, du retrait d’une certification, voire d’une limitation ou interdiction temporaire ou définitive d’un traitement.

Afin d’harmoniser les différentes pratiques des autorités régulatrices des Etats membres de l’Union Européenne et d’éclaircir ces calculs quelque peu obscurs, le Comité Européen de la Protection des Données[1] (CEPD) a récemment publié ses lignes directrices sur le sujet[2].

Elle a ainsi établi une méthodologie destinée à calculer le montant de ces amendes en tenant compte des circonstances de chaque affaire. Cette marche à suivre est divisée en 5 étapes clés.

Identifier les comportements susceptibles d’être sanctionnés par une amende

 

L’autorité de contrôle doit d’abord clairement pointer du doigt les manquements pouvant être reprochés au responsable de traitement.

Si plusieurs manquements sont constatés, l’autorité devra décider si ceux-ci forment un tout, c’est-à-dire s’il existe une unité de temps, d’auteur et d’intention entre eux, ou s’il s’agit d’infractions distinctes.

Cette question est fondamentale car si les violations sont considérées comme liées, le RGPD prévoit que le montant total de l’amende ne pourra pas excéder le seuil maximal fixé pour la violation la plus grave retenue. Dans le cas contraire, chacune des violations pourra être sanctionnée par une amende.

 

Exemple : une entreprise a recours à un centre d’appel pour effectuer une étude de marché. Elle n’analyse pas, avant de signer un contrat avec cette société, sa capacité à protéger les données personnelles des clients qui lui sont confiées (1). Elle n’inscrit pas non plus les références de ce centre dans son registre des activités de traitement (2).

Ces deux violations peuvent être jugées comme faisant partie d’une même opération.

A l’inverse, une entreprise recueille les données personnelles de ses clients afin d’alimenter ses bases de données. Elle ne fournit pas à ces derniers les informations obligatoires concernant cette collecte de données (1). Elle refuse également, par souci d’économies, d’adopter toutes les mesures de sécurité requises pour assurer la protection de ces données, une fois obtenues (2). Victime d’une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés de ses clients, l’organisme s’abstient de notifier l’autorité compétente de cet événement (3).

Ces trois manquements constituent des violations distinctes, réalisées dans des contextes différents, et pouvant chacune être punie d’une amende.

Effectuer une première appréciation du montant de l’amende, selon les critères listés à l’article 83 du RGPD

 

Les textes n’assortissent pas la violation de chaque disposition spécifique du RGPD à une sanction précise. Pour déterminer le montant de l’amende qu’elle envisage de prononcer, l’autorité de contrôle se doit donc d’examiner les conditions dans lesquelles les manquements à la législation en vigueur en matière de protection des données sont intervenus.

Pour ce faire, elle doit notamment prendre en compte :

  • La nature de l’infraction

Comme nous le verrons plus tard, le RGPD distingue lui-même deux types d’infraction. Cette différenciation peut constituer une première indication du sérieux de la violation.

  •  La gravité de l’infraction

Cette gravité des manquements constatés dépend, entre autres :

① De la nature du traitement

L’autorité compétente enquêtera sur le contexte dans lequel le traitement de données litigieux est mis en œuvre (dans le cadre d’une activité lucrative ou non, d’une collectivité ou d’une entreprise privée, d’un parti politique…) ainsi que sur les enjeux induits par ce traitement.

Exemple : la décision de l’autorité de contrôle sera plus sévère si le traitement a pour objet d’évaluer le comportement de certaines personnes en vue de prendre des décisions les concernant, plutôt que s’il était utilisé en interne, sans incidence sur des tiers.

② De l’étendue du traitement : d’envergure local, national ou international

③ Des motifs du traitement : s’il entre ou non dans les activités principales de l’organisme

④ Du nombre de personnes concrètement, mais aussi potentiellement touchées

Des violations systémiques et structurelles du RGPD seront ainsi, en principe, punies plus sévèrement.

⑤ De l’ampleur des préjudices subis par les personnes concernées

Les autorités régulatrices sont invitées à tenir compte non seulement du nombre de victimes de l’infraction, mais aussi de la nature du dommage subi ou redouté (physique ou matériel / temporaire ou définitif…).

⑥ Des données touchées

De la même manière, le nombre et les catégories des données touchées influenceront la décision de l’autorité de contrôle.

La gravité de l’infraction est accrue lorsque le traitement en cause porte sur des données dites sensibles (de santé, pénales, syndicales, à connotation sexuelle, portant sur les convictions religieuses/politiques/philosophiques ou sur les origines de l’intéressé…), mais aussi sur des données susceptibles de porter atteintes aux droits et libertés des personnes concernées (numéro de sécurité sociale, localisation, données bancaires ou fiscales…).

⑦ De la durée de la violation

⑧ De l’intention du responsable de traitement

L’autorité de contrôle se montrera plus autoritaire à l’égard des infractions commises délibérément[3] que celles réalisées par négligence.

En fonction de tous ces éléments, le CEPD estime que les amendes prononcées par les autorités de contrôle devraient être comprises :

  • Entre 0 et 10 % du montant légal maximal encouru pour les violations de faible gravité ( infra) ;
  • Entre 10 et 20 % du montant légal maximal encouru pour les violations de gravité modérée ;
  • Entre 20 et 100 % du montant légal maximal encouru pour les violations graves.
  • Le chiffre d’affaires de l’entreprise

Le montant de l’amende encourue sera apprécié en fonction du montant du chiffre d’affaires mondial annuel total de l’exercice précédent de l’entreprise.

Adapter le montant obtenu en fonction d’éventuelles circonstances aggravantes ou atténuantes

 

L’autorité de contrôle peut minorer ou augmenter le montant de l’amende obtenu en analysant les circonstances dans lesquelles l’infraction a été commise. Elle peut notamment modifier ce quantum selon :

  • Les actions prises spontanément par le responsable de traitement, avant l’intervention de l’autorité de contrôle, pour minimiser les dommages subis par les personnes concernées ;
  • Le degré de responsabilité du responsable de traitement, compte tenu des mesures techniques et organisationnelles qu’il a mis en œuvre ;
  • Les éventuelles précédentes violations du responsable de traitement ou, à l’inverse, le respect de mesures précédemment ordonnées pour assurer la conformité du responsable de traitement ;
  • Le degré de coopération avec l’autorité de contrôle, en vue de remédier à la violation et d’en atténuer les éventuels effets négatifs ;

Pour rappel, il pèse sur les responsables de traitement une obligation générale de coopérer avec les autorités de contrôles (art. 31 RGPD). Cette collaboration ne constituera donc une circonstance atténuante que si les actions de l’organisme excèdent la simple exécution des demandes de l’autorité compétente.

A l’inverse, le fait de refuser de coopérer avec les autorités de contrôle ne constitue pas seulement une circonstance aggravante, mais bien une violation supplémentaire des obligations légales incombant au responsable de traitement.

  • La manière dont la violation a été portée à la connaissance de l’autorité de contrôle ;

De la même façon, les responsables de traitement sont parfois tenus de notifier les autorités de contrôle de certains événements. Tel est par exemple le cas en présence d’une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Par conséquent, seule une information spontanée de l’autorité régulatrice et non une contrainte par la loi, pourra être considérée comme une circonstance atténuante.

  • L’adhésion à un code de conduite ou à un mécanisme de certification.

Cette liste est non exhaustive. D’autres circonstances aggravantes ou atténuantes peuvent être retenues.

Exemple : le gain direct ou indirect procuré par la violation de la législation applicable en matière de protection des données au responsable de traitement.

Chacun des éléments permettant d’évaluer la gravité de l’infraction ou la responsabilité de l’organisme ne peut être pris en considération qu’une seule fois par l’autorité de contrôle.

Exemple : le fait que le traitement porte sur des données sensibles ne saurait en principe servir à qualifier et la gravité de l’infraction (étape 2), et être présenté comme une circonstance aggravante (étape 3).

Déterminer les plafonds légaux des amendes encourues

 

Si la loi ne prévoit pas de montant minimal de l’amende, le RGPD prévoit des seuils à ne pas dépasser. Il y a lieu de distinguer deux catégories d’infractions :

 

Ajuster le montant final obtenu afin qu’il réponde aux exigences d’efficacité, de dissuasion et de proportionnalité

 

Avant de valider le montant de l’amende qu’elle estime devoir prononcer, l’autorité de contrôle devra vérifier que celui-ci est approprié et nécessaire pour atteindre les objectifs qu’elle poursuit, à savoir protéger les personnes physiques à l’égard des traitements de leurs données à caractère personnel et encadrer les conditions de circulation de ces données.

***

Toute l’activité de l’organisme et toutes ses démarches de conformité sont donc passées au crible par les autorités de contrôle lors de leur enquête. Le montant des amendes susceptibles d’être prononcées à l’issue de ces investigations peut s’avérer particulièrement élevé. Ces sanctions pécuniaires peuvent dès lors affecter profondément l’équilibre budgétaire de l’entité condamnée.

Puisque, en matière de protection des données, chaque détail compte, il est recommandé de vous faire accompagner dans vos efforts par des professionnels aguerris, à l’écoute de vos besoins et de vos contraintes.

 

[1] Le Comité Européen de la Protection des Données (CEPD) est un organe européen indépendant institué par le RGPD, et qui a pour mission de contribuer à l’application cohérente des règles en matière de protection des données au sein de l’Union Européenne.

[2] Ces lignes directrices sont disponibles dans leur intégralité à l’adresse suivante (uniquement en anglais) : https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

[3] L’infraction est considérée comme délibérée lorsque le responsable de traitement avait non seulement conscience qu’il manquait à ses obligations légales, mais s’est maintenu volontairement et en toute connaissance de cause dans cette illégalité.

L.H

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Votre registre de traitement

Votre registre des activités de traitement : tout un chantier ?

RGPD-Experts vous empêche de foncer droit dans le mur !

 

Vos démarches en matière de protection des données personnelles constituent une préoccupation de plus, s’ajoutant à votre stratégie de développement, à votre organisation interne et au lot d’imprévus qu’impliquent vos activités ?

Vous avez plusieurs chantiers en route et ne savez plus où donner de la tête pour consacrer à la protection de vos données personnelles tout le temps et toute l’énergie qu’elle mérite ? Vous frappez à la bonne porte en vous adressant à RGPD-Experts !

 

ZOOM SUR LE PRINCIPE D’ « ACCOUNTABILITY »

Le principe d’Accountability est une innovation issue du Règlement Général sur la Protection des Données (RGPD).

Avant l’entrée en vigueur de ce texte, il revenait à l’autorité de contrôle de démontrer qu’une entité ne satisfaisait pas aux exigences légales en matière de protection des données.

Depuis, il appartient à l’organisme de démontrer sa conformité auprès de l’autorité régulatrice, voire auprès de ses partenaires commerciaux.

Et pas question d’essayer d’arrondir les angles en cas de demande de la CNIL[1] sur ce point ! Si vous vous emmêlez les pinceaux dans l’explication de vos efforts sur le sujet, la Commission pourrait sortir de ses gonds. Vous risquez alors qu’elle initie une enquête à votre encontre, voire vous inflige une sanction prenant fréquemment la forme d’une amende administrative salée. Cela suppose donc de ménager la preuve de votre respect des règles applicables sur la protection des données personnelles, et de graver dans le marbre toutes les actions que vous avez accomplies en ce sens.

 

ZOOM SUR UNE OBLIGATION CENTRALE : LE REGISTRE DES ACTIVITÉS DE TRAITEMENT

L’article 30 du RGPD impose à tous les responsables de traitement et à tous les sous-traitants de tenir par écrit un registre de leurs activités de traitement, que ce soit de façon manuscrite ou digitale.

Qu’est-ce qu’une activité de traitement ?

Selon l’article 4(2) RGPD, il s’agit d’une “opération ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement)” .

Remarque : si les entités comptant moins de 250 employés ou membres bénéficient en principe d’une dérogation pour la tenue de ce registre, cette mesure de faveur comporte de nombreuses limites. En effet, ces organismes doivent tout de même consigner dans un registre les traitements :

(1) Portant sur des données sensibles ;

(2) Comportant un risque pour les droits et libertés de personnes concernées ;

(3) Présentant un caractère non occasionnel.

Or, la plupart des activités de traitement des entreprises sont récurrentes (traitements mis en œuvre pour la gestion de la paie, des clients/prospects, des fournisseurs, gestion d’un SAV, qualité, sollicitations commerciales, etc.). Eh oui, envoyer une newsletter une fois par an est bien un traitement récurent ! Aussi comme vous pouvez le constater, Les hypothèses couvertes par cette exception sont donc, en pratique, maigres comme un clou…

Nous ne pouvons que vous conseiller de parfaitement documenter les raisons pour lesquelles, vous êtes exonéré de la tenue d’un registre des activités de traitement pour votre structure.

Avant de constituer votre registre, nous vous recommandons de :

① Recenser l’ensemble des traitements de données mis en œuvre au sein de votre organisme

En effet, votre registre doit comprendre une fiche par activité de traitement de données effectué, quel que soit le support de ce système d’information (numérique ou papier). Attention à ne pas confondre finalité et outil utilisé pour la finalité du traitement. Word, Excel, par plus que MySQL etc, ne sont pas des traitements.

Chaque opération poursuivant une finalité différente doit être listée.

Exemple : une fiche de traitement pour la gestion des données de ressources humaines de votre organisme, une pour la gestion de vos fichiers de clientèle, etc.

② Identifier le rôle de chacun des acteurs de ce traitement de données

Cette étape vous permet de savoir si vous agissez en tant que responsable de traitement, en qualité de sous-traitant, voire responsable conjoint de traitement [2].

Vous serez en effet soumis à des devoirs différents, selon votre qualité.

③Analyser les risques pesant sur chaque traitement de données mis en œuvre, afin de ne conserver que ceux strictement nécessaires à votre activité.

Nous n’inventons pas l’eau chaude en vous rappelant que limiter le nombre de ces opérations de traitement revient à limiter d’autant vos risques de violer les règles en vigueur en matière de protection des données, et donc de voir votre responsabilité engagée…

 

* * *

Le contenu de ce registre est précisément défini par les textes. Les mentions devant obligatoirement y figurer sont tirées au cordeau au sein de l’article 30 du RGPD.

Nous attirons votre attention sur le fait que ce registre doit refléter la réalité de l’activité spécifiquement poursuivie par votre organisme. Nous vous déconseillons de recourir à des modèles types de registre qui ne correspondent pas avec les missions concrètement poursuivies par votre entité.

De même, il convient de prendre du temps pour mettre régulièrement à jour ce registre. Il y a lieu d’éviter toute actualisation en dents de scie, effectuée au gré de l’emploi du temps des personnes en charge de cette tâche. Or, tel est précisément le problème que rencontrent de nombreux organismes. Le caractère chronophage de certaines formalités affecte souvent l’assiduité des entités dans leurs démarches de conformité. Mais, à force de négliger ces impératifs, celles-ci pourraient malheureusement se retrouver au pied du mur en cas de réclamations ou d’investigations…

Fini de devoir choisir entre la poursuite de vos activités et le respect de vos obligations légales en matière de protection des données. Pour que vous n’ayez plus la tête entre le marteau et l’enclume, RGPD-Experts a conçu une solution révolutionnaire pour vous remettre d’aplomb !

 

ZOOM SUR REGISTER +, VOTRE SOLUTION POUR CONSTRUIRE SIMPLEMENT ET EFFICACEMENT VOTRE CONFORMITÉ

 

Outre son caractère impératif, le registre des activités de traitement présente de nombreux avantages s’il est sérieusement constitué.  Il s’avère alors être un outil précieux pour :

  • L’identification de vos besoins et de vos obligations en matière de protection des données
  • Le pilotage de votre conformité
  • La démonstration de votre conformité (Accountability)

Pour vous aider à tirer pleinement profit de cette documentation, RGPD-Experts a mis au point pour vous REGISTER +. Intuitif et sécurisé, ce logiciel vous permettra de rédiger et de mettre à jour votre registre des activités de traitement en toute simplicité, et de superviser vos actions RGPD en temps réel.

REGISTER + ne se contente pas de vous rappeler les informations devant impérativement figurer dans votre registre.

 

Il vous aide à bâtir une véritable logique de performance et d’amélioration continue en matière de protection des données à travers ses diverses fonctionnalités, et notamment :

  • Ses audits automatisés de votre situation sur cette problématique
  • Ses dispositifs de détection automatisée des vulnérabilités de vos systèmes d’information ;
  • Son module d’affectation et de suivi des tâches à accomplir, avec date programmée et relances automatiques ;
  • Ses options de gestion de vos autres documents essentiels (registre des formations, des violations de données et failles de sécurité, des sous-traitants, des demandes des droits des personnes concernées, etc.).

 

L’interface flexible de REGISTER + vous permettra d’adapter le contenu de ce registre à vos propres activités, via des options de “commentaires” et de “détails”.

Pour plus d’informations, nous vous invitons  

 A consulter l’onglet dédié de notre site Internet :

https://www.rgpd-experts.com/register/#prev

Ou à nous adresser vos questions via notre formulaire de contact :

https://www.rgpd-experts.com/contactez-rgpd-experts/

 

 

Comme tout sujet pilier de votre organisme, votre conformité mérite d’être construite sur des fondements solides. Il est important pour cela d’être bien outillé, afin d’éviter de vous faire serrer la vis par les autorités de régulation en matière de protection des données. Avec REGISTER +, soyez à pied d’œuvre en cas de contrôle !

 

 

[1]  La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Est un responsable de traitement au sens du RGPD toute personne physique ou morale qui détermine les moyens et les finalités du traitement, là où le sous-traitant sous-traitant traite des données pour le compte d’un autre organisme.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Sanction infogreffe

La société INFOGREFFE sanctionnée par la CNIL : Quand même les services dérivés de la justice ne respectent pas les principes sur la durée de conservation des données personnelles.

 

La CNIL[1] a, ces derniers temps, montré sa volonté de renforcer ses contrôles. Le 8 septembre 2022, sa formation restreinte a ainsi condamné la société INFOGREFFE à une amende de 250 000 euros pour avoir conservé trop longtemps les données personnelles des abonnés de son site Internet[2].

Il est temps que l’info se greffe à tous : la législation en vigueur en matière de protection des données n’autorise pas une conservation infinie des données collectées.

  Infogreffe.fr ? Un service pour gagner du temps dans ses recherches et formalités

 

INFOGREFFE est un groupement d’intérêt économique (GIE) des greffes des tribunaux de commerce français. Il propose, entre autres, d’accéder en un rien de temps aux informations légales concernant les entreprises nationales, via son site Internet « infogreffe.fr ».

Certains documents ne peuvent cependant être visualisés qu’à condition de se créer un compte payant. A cette occasion, l’entité recueille de nombreuses données personnelles sur ses abonnés : nom, prénom mais aussi coordonnées et données bancaires. Or, un des membres d’INFOGREFFE s’est aperçu que celui-ci conservait en clair les mots de passe de ses utilisateurs, et se permettait même de les communiquer par téléphone sur simple demande nominative au service d’assistance. Autrement dit, n’importe qui peut obtenir les données de connexion d’un abonné en se faisant passer pour lui lors d’un appel avec l’organisme.

Cette pratique constitue un manquement grave à l’obligation faite depuis la nuit des temps au responsable de traitement d’assurer la protection des données personnelles qu’il manipule[3]. Un comble au regard du slogan « Entreprendre en confiance » accompagnant le logo d’INFOGREFFE…

Mais surtout, la plainte de cet individu a donné lieu à l’ouverture d’une enquête par la CNIL, qui a révélé – en plus – une violation du GIE aux règles applicables en matière de conservation des données. C’est ce thème particulier, qui n’attire en temps ordinaire pas beaucoup l’attention, que nous allons ici examiner.

Détermination des durées de conservation

Le responsable de traitement ne peut pas garder indéfiniment les données personnelles qu’il recueille.

Il ne peut les conserver sous une forme permettant l’identification des personnes concernées que « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles ont été collectées » (art. 5(1)(e) RGPD). Cela suppose donc de prendre le temps de définir clairement, en amont, à quoi vous serviront ces données.

—–>        La loi prévoit parfois une durée minimum de conservation des données

Exemple : l’article L.3243-4 du Code du travail impose à l’employeur de conserver un double des bulletins de paie de ses salariés pendant au moins 5 ans.

—–>        Lorsque cela n’est pas le cas, cette durée est laissée à la libre appréciation du responsable de traitement. Celui-ci devra être en mesure de justifier que la période qu’il a arrêtée est proportionnelle à l’utilisation projetée des données[4].

Remarque :les personnes concernées doivent être informées de cette durée de conservation lors de la collecte de leurs données personnelles ou, lorsque cela n’est pas possible, des critères utilisés pour déterminer cette durée (art. 13(2)(a) et 14(2)(a) RGPD). L’organisme ne peut pas se contenter d’utiliser des phrases génériques lui permettant de faire la pluie et le beau temps sur le sujet, telle que « notre société ne conservera vos données que pour une période limitée ».

A) La conservation en base active

Les données sont conservées de façon à être facilement accessibles, car elles servent encore à réaliser l’objectif pour lequel elles ont été collectées (la finalité du traitement).

Exemple ici : un fichier recensant les abonnés du site « infogreffe.fr » ayant encore un compte actif.

 

ATTENTION – la conservation en base active des données n’exempte pas le responsable de traitement d’assurer, dans le même temps, leur protection. Il doit veiller à ce que ces informations soient stockées et exploitées dans un environnement sécurisé.

 

B) L’archivage intermédiaire

Même si la raison pour laquelle les données avaient été initialement recueillies a disparu, l’organisme peut de temps en temps avoir un intérêt administratif à garder ces renseignements. Certaines dispositions législatives ou réglementaires peuvent d’ailleurs le lui imposer.

Exemple ici : les factures et documents comptables émis par le site « infogreffe.fr » doivent être conservés pendant 10 ans, alors même que l’intéressé ne serait plus abonné, conformément à l’article L.123-22 du Code du commerce.

Cette étape suppose que l’organisme opère un tri entre les données qu’il estime devoir garder, et celles qui ne lui sont plus d’aucune utilité.

Les données personnelles toujours nécessaires devront être stockées dans des espaces distincts de celles conservées en base active. Elles ne pourront être consultées que de manière ponctuelle, par des personnes spécialement habilitées justifiant de leur besoin d’en connaître.

En l’occurrence, la « Charte de confidentialité » du site web « infogreffe.fr » prévoyait que les données de ses abonnés seraient conservées pendant 36 mois à compter de la dernière commande de prestation et/ou de documents, sans prendre en compte une possible extension de cette période pour la prévention des contentieux.INFOGREFFE a omis à tort de détailler, dans sa politique de durées de conservation des données, qu’il entendait garder ces informations plus longtemps pour d’éventuelles opérations de recouvrement. 

 

D) L’archivage définitif

Lorsque les données personnelles ont fait leur temps et ne présentent plus aucun intérêt pour l’organisme, elles doivent être détruites. Cette opération doit être menée régulièrement et en temps utile. Une suppression fréquente des données obsolètes joue tant en faveur des personnes concernées que de l’entité

Exemple : en cas de cyberattaque, l’ampleur de la violation des données personnelles exploitées par l’organisme sera ainsi limitée, ce qui pourra être un argument pour diminuer d’autant sa responsabilité.

 

ATTENTION – Des règles spécifiques s’appliquent à l’égard des archives publiques et des données présentant un intérêt historique, scientifique ou statistique, justifiant qu’elles ne fassent l’objet d’aucune destruction. Ces régimes singuliers sont notamment inclus au sein du Code du patrimoine.

« Votre emploi du temps doit donc inclure un créneau régulier dédié au tri de vos données »

 

 

Application de la durée de conservation

La seule détermination d’une durée maximale de conservation des données ne suffit pas à être conforme. Encore faut-il prendre les mesures qui s’imposent pour traduire cet engagement dans les faits. Ici, les investigations de la CNIL ont révélé que les données collectées par INFOGREFFE n’ont pas été supprimées à temps. Un quart des données des comptes souscrits sur son site a en effet été conservé au-delà des 36 mois affichés par l’organisme.

 

 Votre conformité suppose de vous doter des moyens humains, matériels et financiers nécessaires pour concrétiser votre politique de durée de conservation des données. » Votre vigilance ne doit pas être un passe-temps mais bien une occupation à plein temps.

 

Remarque : l’obligation de limiter la durée de conservation ne vise que les données « permettant l’identification des personnes concernées ». Elle est donc écartée lorsque les données ont été anonymisées, c’est-à-dire lorsqu’un ensemble de techniques ont été employées pour rendre impossible, et de manière irréversible, toute identification de la personne.

Exemple : remplacer les données identifiantes (nom, prénom…) par des données non identifiantes (alias, numéro…).

Le cas d’INFOGREFFE révèle que la CNIL peut, lors de son contrôle, mettre en évidence d’autres problèmes que ceux pour lesquels elle avait été saisie. En l’absence d’une « démarche RGPD continue » au sein de votre organisme, il vous sera impossible de rectifier l’ensemble de vos lacunes à temps pour les camoufler aux yeux de la Commission.

“Que tout le temps qui passe, ne se rattrape guère… Que tout le temps perdu, ne se rattrape plus !” Barbara

Par les temps qui courent, nous ne pouvons que vous conseiller de ne pas perdre de temps pour assurer votre mise en conformité et votre maintien en conformité.

Soyez dans l’air du temps, et automatisez vos process !

RGPD-Experts a conçu pour vous REGISTER +, un registre des activités de traitement entièrement dématérialisé permettant de suivre simplement et efficacement votre conformité.

 

Dotée entre autres d’une fonction de stockage et d’archivage des anciens traitements de données, REGISTER + sera pour vous un précieux outil de pilotage de vos démarches RGPD. Cette solution dispose notamment de modules vous permettant d’affecter et de suivre des tâches à date programmée, idéals pour une gestion organisée et sereine des durées de conservation de vos données.

 

L.H

 

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] La délibération complète de la CNIL est disponible dans son intégralité à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046280956?init=true&page=1&query=san-2022-018&searchField=ALL&tab_selection=all

[3] En effet, cette obligation n’est pas une nouveauté issue du Règlement Général sur la Protection des Données (RGPD), mais est imposée depuis plus de quarante ans par la loi dite « Informatique et Libertés » du 06 janvier 1978.

[1] Les référentiels et anciennes normes simplifiées de la CNIL peuvent servir de guides en la matière.

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

 

 

interview au Figaro

Accompagner les entreprises soumises aux évolutions réglementaires

 

Le Règlement général sur la Protection des données, entré en application le 25 mai 2018, a pour objectifs de protéger les libertés et droits fondamentaux des personnes physiques tout en garantissant la libre circulation des données à caractère personnel au sein de l’Union européenne et des pays adéquats. À l’heure actuelle, la protection des données est un enjeu majeur pour les entreprises souhaitant traiter un maximum de données le plus qualitativement possible tout en respectant leurs clients, leurs collaborateurs et les nouvelles réglementations induites par les autorités de contrôle.

Face à cet enjeu, les deux sociétés ont mis en commun leurs connaissances et leurs compétences autour d’un partenariat ayant donné naissance au logiciel Register +. D’une part, la société suisse Rumya est spécialisée dans le développement d’outils digitaux de mise en conformité depuis 2018. D’autre part, la société française RGPD-Experts, spécialisée dans la protection des données depuis 2005, accompagne l’intégration de la réglementation dans les entreprises.

Garantir la conformité RGPD

Conçu par des praticiens confirmés de la protection des données et de la sécurité informatique, Register + est un logiciel offrant une réponse concrète aux entreprises. Facile à mettre en œuvre, il propose une approche très pragmatique et assiste efficacement les professionnels au quotidien. La solution permet de respecter l’intégralité des besoins en termes de registres et de suivi de la conformité. Elle donne également la possibilité de démontrer que l’entreprise a répondu adéquatement aux exigences du RGPD en matière de respect des droits des personnes, de gestion des violations de données et de gestion des consentements.

Grâce à ces fonctionnalités, les entreprises peuvent prouver leur conformité tout en apportant une vraie valeur ajoutée, en termes de maitrise de leur patrimoine de données et d’optimisation de leurs processus.

La sécurité informatique, et par conséquent la confiance numérique, n’a jamais été aussi sensible, tant pour le législateur que pour les utilisateurs de ces services digitaux.

Découvrez l’inégalité de l’interview ici

nos données de santé convoitées par les hackers

L’HÔPITAL DE CORBEIL-ESSONNES : ÉNIÈME VICTIME DES CYBERATTAQUES
MENÉES CONTRE LES ÉTABLISSEMENTS DE SANTÉ

 

Après le CHU de Rouen, les hôpitaux de Dax, de Saint-Gaudens, d’Angers ou encore de l’Assistance Publique – Hôpitaux de Paris (AP-HP), le Centre Hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes vient à son tour d’être la cible d’une attaque informatique.

 

Des hackers ont pris le contrôle de son réseau informatique dans la nuit du 20 au 21 août 2022. Les auteurs de cette intrusion, encore inconnus, réclament le paiement de 10 millions de dollars en échange du rétablissement des systèmes touchés.

 

DES PIRATES INFORMATIQUES SANS FOI NI LOI

Selon l’Agence Nationale de la Sécurité des Systèmes d’Information[1] (ANSSI), 27 hôpitaux ont subi une cyberattaque durant l’année 2020. En 2021, il lui a été rapporté un incident de sécurité par semaine par des organismes relevant du domaine de la santé[2].

Mais pourquoi saborder les systèmes informatiques des hôpitaux ?

Ces pirates modernes sont à la recherche d’un butin d’un nouveau genre : vos données de santé. Ces informations sensibles vous concernant peuvent en effet être revendues à prix d’or sur le « Dark Web », ces réseaux secrets d’Internet où les internautes s’adonnent à de nombreuses activités illégales.

Les hackers réclament également souvent une rançon, en promettant en contrepartie de restaurer l’infrastructure numérique de l’entité ciblée. Cumulées, ces ventes et ces rançons font de ces cyberattaques une affaire particulièrement lucrative, qui en détermine plus d’un à partir à l’assaut de ces trésors dématérialisés.

Comment ces pirates vont à l’abordage de vos infrastructures numériques ? – Zoom sur les rançongiciels

Un rançongiciel, plus connu sous sa dénomination anglaise de « ransomware », est un programme introduit illicitement dans les systèmes informatiques d’une victime pour les rendre hors service.

Les hackers proposent ensuite, à ces utilisateurs démunis, de leur fournir le moyen de ré-accéder à leurs réseaux, notamment en leur communiquant les méthodes cryptographiques utilisées pour chiffrer leurs données, à condition toutefois de leur verser la somme d’argent qu’ils exigent.

Comme son nom l’indique, le rançongiciel est donc une infraction à double égard : il s’agit d’une intrusion frauduleuse dans un système informatique et d’une extorsion (ou tentative d’extorsion si la rançon n’est pas payée), le tout éventuellement commis en bande organisée[3].

Nous vous déconseillons vivement de vous acquitter de la rançon réclamée !

En effet, faire droit à cet odieux chantage ne vous garantit non seulement pas de récupérer vos données, ni encore moins de les retrouver intègres[4], mais il entretient ces pratiques interdites. Donner à ces cybercriminels les fonds qu’ils revendiquent les incite à poursuivre leurs actions néfastes.

Céder à ces demandes ne règle donc en rien les problèmes que vous rencontrez en matière de protection des données personnelles et en termes de continuité d’activité. N’oubliez pas que ces hackers sont bien des pirates : ils ne vous feront pas de quartier !

QUEL AVENIR NUMÉRIQUE POUR LES ÉTABLISSEMENTS DE SANTÉ ?

 

La protection des données personnelles essuie, elle aussi, les conséquences du manque de moyens des hôpitaux publics. Outre l’impossibilité de remplacer du matériel informatique souvent vétuste, les budgets limités des établissements de santé ne leur permettent pas de former leurs personnels sur les bons réflexes à adopter pour protéger les informations sensibles qu’ils manipulent.

Quant à recruter des spécialistes en cybersécurité, l’option excède les capacités financières d’une administration peinant déjà à rémunérer ses propres soignants…

Ironie de l’histoire, l’attaque visant le CHSF est intervenue alors même que l’hôpital terminait son propre diagnostic de sécurité avec l’ANSSI dans le cadre de la « Stratégie Cyber » lancée par le Président de la République. Ce programme initié en février 2021 avait spécifiquement alloué un budget de 25 millions d’euros aux établissements de santé[5].

Le Ségur de la Santé a également prévu de dédier près de 350 millions d’euros au renforcement de la sécurité numérique de ces établissements5. Des fonds vraisemblablement plus que bienvenus…

« Capture d’écran du compte Twitter de Jean-Noël Barrot, le 26 août 2022 »

DES PIRATAGES DE LOURDES CONSÉQUENCES, MORBLEU !

Comme l’indique le CHSF dans un communiqué, celui-ci n’a pas eu d’autres choix que de déclencher son plan blanc[6]. Malgré sa couleur, ce pavillon n’a pas été hissé en signe de paix contre ses assaillants, mais bien en signe d’urgence.

L’ensemble de l’infrastructure numérique de l’hôpital de Corbeil-Essonnes a en effet été affecté. Les logiciels métiers, les systèmes de stockage, d’imagerie médicale et les dispositifs destinés à traiter l’admission des patients ont tous été placés hors d’état de fonctionner.

La flotte des 3.700 professionnels de santé de l’hôpital est dès lors contrainte de travailler depuis plusieurs semaines en mode « dégradé ». Le retour à une logistique faite de papier et de crayon s’impose.

Ce fonctionnement dégradé est nécessairement synonyme de prise en charge  dégradée pour les malades. Malgré les efforts du centre hospitalier, les patients, dont les soins nécessitent l’utilisation des dispositifs techniques touchés, sont redirigés vers d’autres hôpitaux de la région d’Ile-de-France. Seules les personnes dont l’état ne suppose pas d’examens approfondis sont acceptées dans les consultations d’urgence. Certaines opérations prévues dans les semaines à venir ont dû être déprogrammées.

Ce véritable branle-bas de combat a nécessairement eu un impact sur l’activité même de l’hôpital de Corbeil-Essonnes. Dans une information à destination des usagers, l’organisme précise que son flux des urgences a diminué de plus de la moitié, le service ne prenant plus en charge que 90 patients par jour au lieu des 230 accueillis habituellement au quotidien[7].

Comme toujours après de telles cyberattaques, le retour à la normale sera long…

« Mieux vaut prévenir que guérir »

L’importance de définir à l’avance un plan de continuité d’activité et un plan de reprise d’activité

 

Les cyberattaques peuvent avoir de graves répercussions sur la poursuite régulière de l’activité d’un organisme, voire même sur sa survie. Qu’elles soient publiques ou privées, qu’elles relèvent du domaine de la santé ou non, toutes les entités sont concernées.

Au-delà de la perte des données, les risques encourus par la victime sont considérables : chiffre d’affaires en chute libre durant l’arrêt temporaire ou le ralentissement de l’activité (qui peut durer plusieurs mois), possibles poursuites judiciaires ou administratives en raison des manquements de l’organisme victime à la législation en vigueur sur la protection des données personnelles, atteinte à la réputation de l’entité, perte de confiance des clients et des partenaires commerciaux, etc.

Afin d’éviter de subir de tels préjudices, il est recommandé de déterminer en amont un plan de continuité d’activité (PCA) et un plan de reprise d’activité (PRA). Ces documents visent à définir la stratégie à mettre en place pour surmonter ces incidents. Ils ont pour but d’identifier et d’organiser l’ensemble des moyens et procédures à suivre pour limiter autant que possible les effets de ces cas de force majeure.

Il s’agit notamment :

D’anticiper d’éventuelles cyberattaques

Plusieurs solutions permettent de minimiser l’impact d’un rançongiciel. Votre plan peut mettre en avant ces bonnes habitudes, telles que :

  • sauvegarder régulièrement vos données pour remédier à leur destruction / compromission par des personnes malveillantes ;
  • mettre à jour vos logiciels afin d’éviter l’exploitation des failles et vulnérabilités pouvant s’y trouver, et qui constituent autant de points d’entrées dans vos systèmes informatiques ;
  • actualiser et mettre à jour vos anti-virus ;
  • cloisonner vos systèmes d’information pour cantonner la propagation d’un logiciel nuisible d’une machine à l’autre ;
  • sensibiliser vos collaborateurs sur les comportements à éviter (ouvrir des mails suspects par exemple), etc.

 

De réagir face à d’éventuelles cyberattaques

Définir préalablement les étapes à suivre en cas de piratage vous permettra d’y mettre rapidement fin si celui-ci se produit.Il peut notamment être question de préciser :

  • la nécessité de déconnecter et d’isoler les machines infectées ;
  • où et comment trouver l’assistance requise ;
  • comment communiquer sur cette cyberattaque au juste niveau (tant en interne qu’externe) ;
  • comment prioriser les activités à maintenir et leur mode de fonctionnement « dégradé » ;
  • comment accomplir les formalités administratives consécutives à cette intrusion (plainte, assurance, échanges avec la CNIL[8]…), etc.

 

Au-delà de leur qualité de victime, les organismes subissant une cyberattaque sont souvent elles-mêmes coupables : coupables d’un manquement à leur obligation de protéger les données personnelles qui leur avaient été confiées. Or, même sans divulgation de ces informations à des tiers, leur indisponibilité temporaire constitue une violation de données imposant à l’organisme, éventuellement et selon les cas, de notifier l’incident à la CNIL et / ou aux personnes concernées.

Afin d’éviter de naviguer en eaux troubles à cause de ces pirates du Web, et de voir vos activités tanguer sous leur emprise, il est donc essentiel d’établir ces plans. La maîtrise de ces thématiques ne s’improvise toutefois pas. Nous vous conseillons de vous faire accompagner dans vos démarches par des professionnels justifiant d’une expertise et d’une connaissance pratique du sujet.

L.H

 

[1] L’ANSSI est l’autorité nationale en matière de sécurité et de défense des systèmes d’information. Elle est chargée de promouvoir les technologies en matière de cybersécurité, et de contribuer ainsi au développement de la confiance du public dans le numérique. Elle accompagne et contrôle notamment sur ce sujet les opérateurs d’importance vitale, à savoir les organismes relevant de secteurs indispensables à la survie de la Nation (énergie, transport, santé, pouvoirs régaliens, etc.).

[2] ANSSI, Portrait de la relance, « Centre hospitalier universitaire de Reims », https://www.ssi.gouv.fr/agence/cybersecurite/france-relance/portraits-de-la-relance/centre-hospitalier-universitaire-de-reims/

[3] Ces infractions sont prévues et punies par les articles 323-1 et suivants (s’agissant de l’intrusion frauduleuse dans un système informatique) et 312-1 du Code pénal (s’agissant de l’extorsion).

[4] Les cybercriminels peuvent avoir corrompu vos fichiers avant de vous les restituer, afin de les affecter de failles leur permettant de vous pirater de plus belle par la suite. Ils peuvent aussi avoir effectué une copie de vos bases de données, et continuer ainsi de porter atteinte à la confidentialité et à l’intégrité de ces informations.

[5] « La stratégie nationale de cybersécurité des établissements de santé », article publié le 22 février 2021, https://www.gouvernement.fr/actualite/la-strategie-nationale-de-cybersecurite-des-etablissements-de-sante

[6] Communiqué de presse du CHSF, https://www.chsf.fr/declenchement-du-plan-blanc-dimanche-21-aout-2022/

[7] Information des usagers du CHSF, https://www.chsf.fr/informations-usagers/

[8] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment  Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Géolocalisation des véhicules de location

– Voitures de location et géolocalisation –

Certaines sociétés de service agissent en dehors des clous...

 

Comme bon nombre de français, vous avez peut-être été amenés à louer une voiture au cours de ces derniers mois, que ce soit pour vos déplacements professionnels ou à l’occasion de vos vacances. Mais, bien qu’utiles, ces services ne sont pas toujours exemplaires lorsqu’il s’agit de protéger les données à caractère personnel de leurs clients.

Les radars de la CNIL viennent de se diriger contre les pratiques de la société UBEEQO INTERNATIONAL. Ces filiales du groupe « EUROPCAR MOBILITY GROUP », présentes dans plusieurs pays européens, proposent une offre de location de véhicules partagés intégralement numérique.

 

UBEEQO INTERNATIONAL en a sous le capot pour garantir à ses clients la « flexibilité de service » qu’il vante tant. L’idée est simple : les voitures sont laissées en libre accès dans des zones dédiées. Les personnes intéressées s’inscrivent en ligne, en indiquant notamment leurs dates et le lieu où elles souhaitent récupérer le véhicule. A la fin de leur période de location, elles restituent leur bolide au même endroit, sans qu’aucun membre du personnel d’UBEEQO INTERNATIONAL ne soit jamais intervenu.

Mais derrière cette liberté et cette simplicité apparentes, se cache une tout autre réalité. Les traitements de données mis en œuvre par UBEEQO INTERNATIONAL pour gérer son activité ont récemment fait l’objet d’un contrôle, non pas routier, mais du gendarme français de la protection des données personnelles.

Vous souhaitez savoir quelles en ont été les suites ? En voiture, Simone !

 

 

L’enquête menée par la CNIL[1] a révélé que les véhicules mis à disposition par UBEEQO INTERNATIONAL sont géolocalisés lorsque leur moteur s’allume ou s’éteint, à chaque fois que leurs portes sont ouvertes et fermées, et tous les 500 mètres lorsqu’ils se déplacent. La filiale est également capable d’activer à distance un dispositif permettant de situer ses voitures en temps réel.

Ces paramètres induisent mécaniquement une géolocalisation quasi-permanente des conducteurs.

L’AUTOrité régulatrice a conclu que la société avait principalement manqué à trois des exigences issues du Règlement Général sur le Protection des Donnés (RGPD). Elle qualifie ces dérapages comme étant :

 

Une violation du principe de minimisation des données

Conformément à l’article 5(1)(c) du RGPD, le responsable de traitement ne peut pas recueillir n’importe quels type et volume de données personnelles. Il ne peut collecter que les seules données adéquates et pertinentes lui permettant d’atteindre l’objectif qu’il poursuit.

UBEEQO INTERNATIONAL a tenté d’enjoliveur… pardon d’enjoliver…les finalités de sa collecte massive des données de géolocalisation de ses automobiles, en indiquant que celle-ci était indispensable pour :

  • La gestion de son activité (assurer la maintenance de ses véhicules, contrôler le passage d’une voiture dans et hors d’une zone de péage urbain, son éventuelle restitution dans un autre endroit…);
  • Retrouver les voitures louées en cas de vol ;
  • Porter assistance à ses clients, notamment en cas d’accident.

La CNIL a toutefois décidé qu’aucune de ces finalités ne justifie une collecte aussi fine et excessive des données de géolocalisation des conducteurs par UBEEQO INTERNATIONAL.

Elle estime que la société dispose de moyens moins attentatoires au droit au respect de la vie privée des chauffeurs pour parvenir à ses fins. Elle l’invite à trouver d’autres alternateurs…euh alternative pour maîtriser sa flotte de véhicules. Les positions géographiques des automobilistes peuvent par exemple être consignées uniquement au début et à la fin de la location plutôt que sur l’ensemble de leur période de location, ou seulement à compter d’un fait générateur (demande d’assistance ou suspicion de vol).

Le feu vert du Comité Européen de la Protection des Données (CEPD)

 

Dans ses lignes directrices du 4 octobre 2017, le « Groupe de travail de l’article 29 »[2] a qualifié les données de géolocalisation comme étant des « données à caractère hautement personnel ». Et pour cause, elles ont un impact sur une liberté fondamentale : la liberté de circulation[3].

Ces données sont également un point d’entrée dans l’intimité des personnes concernées. Elles permettent en effet de déduire leurs habitudes de vie en fonction de leurs déplacements : leur lieu de travail et donc leur activité professionnelle, leur domicile, voire leur religion, leur orientation sexuelle ou leur état de santé, selon les lieux qu’elles fréquentent.

 

Une violation du principe de limitation des durées de conservation des données

L’article 5(1)(e) du RGPD impose que les données personnelles ne soient conservées que pendant une durée limitée, « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles traitées ».

Il appartient au responsable de traitement de déterminer cette durée, selon ses besoins et les spécifiés de son activité. Il lui revient également de justifier sa décision en cas de contrôle.

En l’occurrence, UBEEQO INTERNATIONAL avait défini une politique de conservation des données fixant à trois ans la durée de conservation des données de géolocalisation des conducteurs.

La CNIL considère ce délai excessif, en ce qu’il commençait à courir non pas à compter de la fin du contrat de location, mais de la fin de la relation commerciale avec le client. Or, celle-ci peut intervenir bien après la prestation de service, puisque la date d’arrêt d’une relation commerciale correspond à celle de la dernière manifestation d’intérêt du client (suppression d’une réservation en cours sur l’application de la société, clic sur le lien d’une newsletter émise par l’entreprise, connexion à son compte individuel…).

L’autorité de contrôle n’a pas apprécié ce problème de compteur. Elle a jugé que cette période de trois ans dépassait les besoins de la société. Elle déclare qu’UBEEQO INTERNATIONAL pouvait décemment gérer à distance son parc automobile, porter assistance à ses clients et localiser ses voitures volées en enregistrant la position de ses véhicules durant un temps plus court.

Mais surtout, la CNIL a insisté sur le fait qu’il ne suffit pas de définir une politique de conservation des données pour être conforme. L’important est de la respecter. Or, en l’espèce, les investigations menées par la Commission ont révélé que les systèmes d’information d’UBEEQO INTERNATIONAL stockaient des historiques de géolocalisation d’utilisateurs pourtant inactifs depuis plus de huit ans. Preuve que la conformité de la société est un pneu…oups un peu moins aboutie dans les faits qu’elle ne veut bien le prétendre.

 

Une violation de l’obligation d’information des personnes concernées

Pour finir, il est reproché à UBEEQO INTERNATIONAL d’avoir manqué à son obligation d’information à l’égard de ses clients.

Ces derniers doivent être renseignés sur l’existence d’un traitement de leurs données personnelles et sur les principales caractéristiques de ce traitement[4]. L’article 12 du RGPD prévoit que cette information doit être fournie d’une façon « concise, transparente, compréhensible et aisément accessible ».

Dans cette affaire, au moment de remplir leur formulaire d’inscription, les utilisateurs de l’application et du site Internet d’UBEEQO INTERNATIONAL pouvaient uniquement cliquer sur un lien les renvoyant vers les conditions générales d’utilisation, qui contenaient elles-mêmes un autre lien permettant d’accéder à la politique de confidentialité de la société.

Ces pratiques ne sont pas AUTOrisées. Le fait que la politique de protection des données d’UBEEQO INTERNATIONAL ne soit pas clairement différenciée, à première vue, des autres documents contractuels de l’entreprise (les conditions générales d’utilisation) et qu’elle ne puisse être obtenue qu’après un parcours de plusieurs clics ne permet pas de la consulter facilement. Le critère d’accessibilité fait défaut.

UBEEQO INTERNATIONAL va devoir se serrer la ceinture. Pour répondre de toutes ces violations, la CNIL l’a condamné le 7 juillet 2022 à payer une amende administrative de 175.000 euros[5] ! Si la société de location de véhicules semble avoir négligé de s’interroger sur l’impact de la législation en vigueur en matière de protection des données sur sa propre activité, elle s’est ainsi pris un sacré retour de manivelle !

« Les nouveaux usages des données de géolocalisation » étaient l’un des thèmes prioritaires de contrôle de la CNIL en 2020. L’enquête menée spontanément par la Commission à l’encontre d’UBEEQO INTERNATIONAL prouve que les axes d’investigations qu’elle définit chaque année ne sont pas de simples déclarations de principe.

Les trois thématiques prioritaires de contrôle de la CNIL pour l’année 2022 sont :

  • – La prospection commerciale ;
  • – Les outils de surveillance mis en place dans le cadre du télétravail ;
  • – Les services de cloud.

Si votre organisme est concerné par l’une ou plusieurs de ces situations, nous vous conseillons de vous faire accompagner dans vos démarches de conformité par des professionnels. Ne risquez pas à votre tour un accrochage avec l’autorité de contrôle !

L.H

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d’engendrer un risque élevé» aux fins du règlement (UE) 2016/679 du 04 octobre 2017 : https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf.

[3] Le « Groupe de travail de l’article 29 », dit « G29 », a été remplacé par le Comité Européen sur la Protection des Données (CEPD) à l’occasion de l’entrée en vigueur du RGPD.

[4] Les mentions obligatoires devant figurer dans ces informations diffèrent selon que les données ont été collectées directement ou indirectement auprès des personnes concernées. Elles sont prévues aux articles 13 et 14 du RGPD.

[5] La délibération SAN-2022-015 de la CNIL du 7 juillet 2022 est disponible dans son intégralité à l’adresse suivante : ici

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers et notamment  Register+ sa solution de suivi de management de la conformité RGPD, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

Le coût de la conformité

Les frais liés à la protection des données personnelles

– Le véritable coût de votre conformité –

 

A l’occasion de l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, de multiples responsables d’organismes ont appréhendé cette législation comme une contrainte supplémentaire inhibant la gestion de leurs activités.

Six ans passés après l’adoption de ce texte, nombre d’entre eux continuent de percevoir les questions relatives à la protection des données personnelles uniquement comme un trou dans leur portefeuille et une source de dépenses inutiles. Mais est-ce vraiment le cas ?

Des frais nécessaires pour s’adapter à la situation particulière de votre organisme

La mise en conformité initiale d’une entité et le maintien de sa conformité l’exposent effectivement à s’acquitter de diverses charges.

Mettre en place et tenir à jour un registre des activités de traitement, réaliser des analyses d’impact sur la protection des données, créer des procédures internes, gérer efficacement les demandes d’exercice de droits des individus concernés, former et sensibiliser ses collaborateurs sur ces problématiques voire recruter des personnes compétentes… : respecter la législation applicable en matière de protection des données personnelles suppose la mobilisation de moyens humains et matériels non négligeables.

Cela implique généralement l’installation de dispositifs techniques appropriés, ainsi que l’aménagement de créneaux dédiés à la prise en compte de ces enjeux dans l’emploi du temps des professionnels impliqués. Or, cela est bien connu : « le temps, c’est de l’argent » !

Force est donc de reconnaître que l’instauration de ces mesures nécessite que l’entité verse pour ce faire un peu de sa poche...

Plutôt que de dresser des comptes d’apothicaires afin de calculer l’impact de vos démarches de conformité sur votre budget, nous attirons votre attention sur le fait que le RGPD permet une certaine flexibilité. Vos efforts doivent être adaptés à la réalité des missions menées par votre organisme.

Le degré d’exigence de ce règlement diffère selon l’importance des menaces que représente votre activité pour la protection des données personnelles.

Les mesures à instaurer ne seront ainsi pas les mêmes d’un organisme à l’autre selon le volume de données personnelles qu’il traite quotidiennement, le caractère sensible ou non de ces informations, ou encore le nombre de personnes manipulant ces renseignements.

Il n’y a donc pas forcément besoin de sortir les grands moyens ! Des mesures allégées peuvent, selon les cas, parfaitement suffire à honorer ces obligations légales.

Le coût de votre conformité s’avère donc un coût maitrisé, et potentiellement limité.

Reste à savoir si ces frais sont pour autant de l’argent jeté par les fenêtres. Rien n’est moins sûr…

Plutôt que de prendre pour argent comptant la prétendue onérosité de votre conformité, examinons pourquoi ces sommes constituent en réalité un investissement et non une perte sèche pour vos finances.

Oui, oui, vous avez bien lu : il s’agit bien d’un INVESTISSEMENT !

① Les économies réalisées grâce à votre conformité

 

Contrairement aux croyances populaires, l’application des dispositions du RGPD a pour effet, en pratique, d’optimiser le fonctionnement de vos opérations de traitement de données. Elle participe ainsi aux démarches d’amélioration continue de votre organisme[1].

En ce sens, votre conformité est incontestablement un gage d’efficacité et de compétitivité. Nul doute que vous en aurez pour votre argent !

Elle constitue aussi un atout commercial, dès lors qu’elle favorise la confiance de vos interlocuteurs dans votre capacité à assurer la sécurité des informations personnelles qu’ils vous confient.

D’autant que ce critère figure désormais parmi ceux exigés par les collectivités publiques dans le cadre de leurs appels d’offre. La conclusion de tels contrats dépend donc entre autres de votre conformité.

② Les pertes évitées grâce à votre conformité

Loin d’épargner votre trésorerie, les manquements à la législation en vigueur en la matière peuvent, à l’inverse, compromettre gravement la situation financière de votre organisme…

  • Intérêt n°1 : Prévenir les risques de piratage et autres attaques informatiques, qui pourraient vous dépouiller d’informations précieuses

D’après l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le nombre d’intrusions dans des systèmes d’information a augmenté de 37% entre 2020 et 2021, et équivaut à 3 cyberattaques par jour.

Les TPE (“Très Petites Entreprises”), PME (“Petites et Moyennes Entreprises”) et ETI (“Entreprises de Taille Intermédiaire”) représenteraient 34% des victimes de cette cybercriminalité en 2021[2]

La législation en vigueur sur la protection des données se révèle être une opportunité de sécuriser la valeur de votre patrimoine informationnel (liste de clients, stratégies économique et commerciale de la structure, études de marché, etc.). Elle vous invite indirectement à prendre les précautions qui s’imposent pour éviter que ces éléments ne soient exploités à votre détriment par des tiers malveillants.

  • Intérêt n°2 : Se prémunir des risques de condamnations administratives et pénales, et d’une certaine banqueroute

Parmi ses multiples missions, la Commission Nationale de l’Informatique et des Libertés[3] (CNIL) veille notamment au respect des règles applicables en matière de protection des données. Elle a le pouvoir de sanctionner les violations qu’elle constate, notamment en prononçant des amendes administratives.

Le montant de ces amendes peut s’avérer particulièrement salé, puisqu’il est susceptible de s’élever – selon les manquements relevés – jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus important étant retenu.

Lorsque ces violations constituent une infraction, les entités non-conforment encourent également des poursuites pénales. Ces dernières peuvent aboutir au prononcé d’une peine d’emprisonnement de 5 ans et d’une amende allant jusqu’à 300.000 euros pour les personnes physiques, et à 1,5 millions d’euros pour les personnes morales[4].[5]

La CNIL ne cesse de mener une politique répressive de plus en plus rigoureuse. Elle a déclaré avoir procédé en 2021 à 384 contrôles. Le montant cumulé des amendes prononcées cette même année a atteint plus de 214 millions d’euros5.

Votre conformité peut donc vous épargner de faire valser des millions dans le vide…

  • Intérêt n°3 : Empêcher la dévalorisation de votre image de marque et votre discrédit

 

Les échos de la non-conformité d’un organisme sont susceptibles de porter considérablement atteinte à sa réputation. Ils peuvent amenuir son attractivité aux yeux de ses partenaires commerciaux, de ses fournisseurs, et surtout de ses clients.

Les exigences de ces derniers concernant les mesures prises pour assurer la protection de leurs données personnelles se sont accrues au cours des dernières années. En cas de lacunes de votre structure sur ce point, vos clients risquent ainsi de vous tourner le dos au bénéfice de concurrents plus vigilants…

Votre non-conformité peut également diminuer considérablement la valorisation de votre société lors de sa cession ou de sa fusion avec une autre entité. Vous savez ce qu’il vous reste à faire pour rouler sur l’or !

***

Mettre à mal votre conformité par soucis d’économie vous expose donc paradoxalement à de lourds risques financiers. Comme le résume l’adage, l’on ne peut pas avoir le beurre et l’argent du beurre !

Votre conformité vaut donc son pesant d’or !

 

 

Refuser d’engager des dépenses pour assurer la protection des données personnelles que votre organisme manipule pourrait se retourner contre vous. Ne tuez pas la poule aux œufs d’or !

L.H

 

[1] Pour plus d’informations concernant les bénéfices que votre organisme peut tirer de sa conformité, nous vous invitons à consulter notre précédent article sur le sujet à l’adresse suivante : https://www.rgpd-experts.com/rgpd-cest-pas-la-mer-a-boire/.

[1] Communiqué de presse de l’ANSSI du 09/03/2022, « Une année 2021 marquée par la professionnalisation des acteurs malveillants », https://www.ssi.gouv.fr/uploads/2022/03/cp_anssi_panorama_09032022.pdf.

[3] La CNIL est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[4] Conformément aux articles 226-16 et suivants, et 131-38 du Code pénal.

[5] Extrait de la conférence de presse de la Commission du 11 mai 2022 relative à la « présentation du rapport d’activité 2021 et des enjeux 2022 de la CNIL », https://www.cnil.fr/sites/default/files/atoms/files/dossier_de_presse_cnil_bilan_2021_et_enjeux_2022_vf.pdf.

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.

 

Sanction Total Énergies

TOTAL ÉNERGIES : une usine à gaz pour la protection des données personnelles ?

Après deux ans d’enquête, la CNIL[1] a condamné la société TOTAL ÉNERGIES ÉLECTRICITÉ ET GAZ France au paiement d’une amende d’un million d’euros. Sa décision du 23 juin 2022 sanctionne deux principaux manquements du fournisseur d’énergie à la législation en vigueur en matière de protection des données à caractère personnel[2].

RGPD-Experts vous tient au courant des règles pourtant fondamentales mises en cause dans cette affaire.

Violation des règles relatives à la prospection

Saisie de 27 plaintes de particuliers, la Commission a pris la température de la conformité de TOTAL ÉNERGIES.

Elle a tout d’abord constaté les pratiques inadaptées de la société dans le cadre de ses campagnes de relance de prospects.

TOTAL ÉNERGIES a effectivement recontacté de nombreux clients potentiels par courrier ou par téléphone grâce aux informations personnelles que ceux-ci lui avaient fournies en ligne pour obtenir des devis, ce sans avoir préalablement recueilli leur consentement à recevoir des offres commerciales comme l’exige l’article L. 34-5 du Code des postes et des communications électroniques[3].

 

Or, ces prospects avaient accepté de renseigner leurs coordonnées sur le site Internet de l’entreprise pour une finalité précise, à savoir la souscription d’un possible contrat. Le fait d’utiliser ces informations pour leur vanter par la suite les avantages ou promotions proposées par TOTAL ENERGIES constitue une seconde finalité à l’exploitation de leurs données, pour laquelle ces internautes n’avaient pas donné leur accord.

Le formulaire de collecte de données en question mentionnait uniquement que :

« En renseignant les informations suivantes, vous reconnaissez donner votre accord à leur utilisation par Total Direct Énergie pour vous présenter ultérieurement ses offres »

L’usage de phrases génériques de ce type est à proscrire. Dans ces conditions, les intéressés n’étaient en effet pas en mesure de donner expressément leur consentement à ce que leurs coordonnées soient utilisées à des fins de prospection, alors même que les textes imposent que leur accord résulte d’un acte positif clair.

 

La CNIL a également conclu à un manque d’information ou une information incomplète des prospects démarchés par téléphone.

 

 

Lors de ces appels, les collaborateurs de TOTAL ÉNERGIES ne les renseignaient pas sur les principales caractéristiques du traitement de leurs données personnelles ainsi que sur leurs droits en la matière, en violation des articles 13 et 14 du Règlement Général sur la Protection des Données (RGPD).

 

 

 

Plusieurs mesures faciles à mettre en œuvre peuvent vous éviter de tels défauts d’information et de subir les foudres de l’autorité de contrôle, tels que :

 

–       Organiser des sessions de sensibilisation et de formation de votre personnel en charge de la prospection sur les enjeux liés à la protection des données personnelles ;

 

–       Modifier le script des appels types de vos conseillers, afin de souligner les informations essentielles à indiquer à leurs interlocuteurs dès le début de leurs correspondances ;

 

–   Demander à ces mêmes conseillers d’envoyer aux personnes contactées un mail ou tout autre écrit confirmant l’usage qui sera fait de leurs données ;

 

–       Instaurer un mécanisme permettant aux personnes concernées d’obtenir l’ensemble des informations requises par les articles 13 et 14 du RGPD. Vous pouvez par exemple les inviter à appuyer sur une touche de leur clavier de téléphone les renvoyant vers une personne compétente ou activant la lecture d’un message préenregistré.

 

Violation des règles relatives au respect des droits des personnes concernées

Les dispositions issues du RGPD et de la loi dite « Informatique et Libertés » du 06 janvier 1978 dans sa version modifiée reconnaissent divers droits aux personnes concernées par le traitement de leurs données, afin qu’elles puissent en conserver la maitrise.

Comment briller sur ce point ?

L’étendue de ces prérogatives dépend de la nature du traitement de données en question. Elles se traduisent notamment, et selon les cas, dans le droit :

  • D’accéder à ses données et/ou d’en obtenir une copie ;
  • De les rectifier si elles s’avèrent inexactes, incomplètes ou obsolètes ;
  • De les effacer ;
  • De limiter le traitement de ses données ;
  • Du droit à la portabilité de ses données ;
  • De s’opposer au traitement de ses données personnelles ;
  • De formuler des directives sur le sort de ses données après son décès auprès d’un tiers de confiance ;
  • De retirer à tout moment son consentement au traitement de ses données, si telle est la base légale du traitement ;
  • D’introduire une réclamation auprès de la CNIL.

Or, il y a justement eu de l’eau dans le gaz sur le sujet entre le fournisseur d’énergie et le gendarme français de la protection des données personnelles… La CNIL a en effet mis en évidence les lacunes de TOTAL ÉNERGIES dans la gestion des demandes d’exercice de droit formulées par ses clients et prospects.

L’autorité régulatrice révèle que la société n’a pas respecté les modalités de réponse imposées par les textes, voire s’est parfois purement abstenue de traiter ces requêtes, en particulier des demandes d’accès de clients à leurs données et leur opposition à être inscrits sur ses listes de prospection commerciale.

Lorsqu’un individu porte à la connaissance du responsable de traitement sa volonté d’exercer l’un de ses droits, ce dernier est tenu de lui indiquer les suites données à sa requête « dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande » (article 12 RGPD)[4].

Ce délai de réponse peut être prolongé de deux mois, notamment en raison de la complexité ou du nombre de demandes adressées au responsable de traitement, et à condition d’informer le demandeur de ce report et de ses motifs.

Les investigations de l’autorité régulatrice ont ici permis de constater de multiples retards dans les réponses données aux clients et prospects ayant demandé à TOTAL ÉNERGIES d’exercer leurs droits.

La CNIL souligne le fait que la société ne pouvait pas se retrancher derrière le manque de coopération de ses partenaires commerciaux lui vendant les coordonnées de prospects pour justifier ces retards.

En effet, il lui appartient en tant que responsable de traitement de s’organiser pour pouvoir répondre aux demandes d’exercice de droit d’accès aux données dans les délais requis par la loi. Elle précise en outre que TOTAL ÉNERGIES pouvait aussi communiquer aux demandeurs les informations dont elle disposait les concernant au fur et à mesure que celles-ci lui étaient transmises, plutôt que de se taire mécaniquement.

TOTAL ÉNERGIES a également essayé de se défendre en argumentant que certains plaignants n’avaient pas contacté les services spécifiquement en charge de ces questions. La CNIL a estimé que cette circonstance n’exonérait pas la société de sa responsabilité, dès lors qu’elle avait pour obligation de répondre à toutes les requêtes qui lui sont envoyées, même par un autre canal que celui prévu à cet effet.

En l’occurrence, l’objet de ces demandes était clair. Il revenait donc à TOTAL ÉNERGIES de veiller en interne à ce qu’elles soient transférées au personnel compétent.

TOTAL ÉNERGIES a aussi pu juger à tort qu’il n’était pas utile de dépenser de l’énergie pour prévenir certains demandeurs de la régularisation de leur situation. Ces derniers sont alors restés illégitimement dans le noir en ce qui concerne les suites apportées à leurs sollicitations…

Pas besoin d’être une lumière pour comprendre l’importance de rédiger des procédures pour gérer efficacement le traitement des demandes d’exercice de droits des personnes concernées.

Des protocoles de vérification de la recevabilité de ces requêtes à la rédaction de réponses types, en passant par une analyse approfondie de l’applicabilité de ces droits à vos opérations de traitement, RGPD-Experts met à votre disposition son expertise pour vous éviter d’être confrontés à des situations électriques…

[1] La Commission Nationale de l’Informatique et des Libertés (CNIL) est l’autorité administrative indépendante française compétente en matière de protection des données personnelles.

[2] L’intégralité de la délibération de la CNIL est disponible à l’adresse suivante : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000045975295?init=true&page=1&query=San-2022-011&searchField=ALL&tab_selection=all

[3] Pour davantage d’informations concernant la gestion des données personnelles lors de vos campagnes de prospection, nous vous invitons à consulter notre précédent article sur ce sujet : https://www.rgpd-experts.com/et-si-on-revoyait-les-bases-de-la-gestion-de-vos-fichiers-de-prospection/

[4] Cette règle vaut aussi en cas d’inaction du responsable de traitement, l’organisme devant alors justifier des raisons de son refus ainsi que de la possibilité pour le demandeur de saisir une autorité de contrôle de sa réclamation et de contester cette décision en justice.

L.H

 

 

Depuis plus de 15 ans, RGPD-Experts accompagne les organismes dans leurs démarches de conformité grâce à son expérience et sa méthodologie éprouvée. Avec ses outils métiers, vous suivrez et démontrerez votre conformité à l’autorité de contrôle. Notre mission : simplifier le développement de vos activités en toute sérénité et accroître votre chiffre d’affaires.