La gestion de la mise en conformité au quotidien
Votre structure est conforme au Règlement Général sur la Protection des Données (RGPD) ? Félicitations ! Maintenant, il ne reste plus qu’à le rester. Car oui, être en conformité c’est bien, le rester c’est mieux.
Rappelons que la mise en conformité au RGPD se fait en plusieurs étapes : audit initial, définition de la gouvernance, déploiement du dispositif de conformité, sensibilisation au RGPD et à la sécurité des données… C’est un processus long, mais on vous l’annonce, la gestion de la conformité est une charge moins lourde que sa mise en place. Si son entretien prend moins de temps, elle ne doit pas être négligée, au risque de perdre votre niveau de conformité et d’exposer les personnes concernées à des risques sur leur vie privée.
Alors vous vous demandez certainement : comment gérer ma conformité RGPD au quotidien et garder mon niveau de conformité ?
C’est précisément ce que nous allons aborder en exposant les exigences liées au principe d’accountability (I) puis un état des lieux des actions liées à la gestion au quotidien du dispositif de conformité (II).
I/ La gestion de la conformité RGPD : respect du principe d’accountability
La mise en place du RGPD a entraîné l’avènement du principe d’accountabiliy (A) qui doit être porté par l’ensemble des acteurs de l’entreprise (B).
A) Le principe d’accountability
La Commission Nationale Informatique et Liberté (CNIL) définit, le principe d’accountability comme « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». Initialement, sous l’ancien régime de la loi informatique et libertés, les responsables de traitement organismes déterminant les finalités et modalités de traitement (opérationnellement, ce sont les entreprises, identifiées par leurs représentants légaux) « Les Responsables de traitement » devaient déclarer ou demander l’autorisation de la CNIL afin de traiter des données personnelles. Le RGPD a renversé la tendance en partant du principe que les entreprises sont des organismes responsables, qui peuvent traiter des données sous réserve d’être en capacité, à tout moment, de pouvoir justifier de leur niveau de conformité à la réglementation.
Ce principe d’accountability entraîne donc l’obligation pour les organismes de mettre en œuvre un ensemble de mécanismes et de procédures permettant de démontrer le respect des règles relatives à la protection des données. Le corpus documentaire nécessaire permet alors de justifier, en cas de contrôle du régulateur, de la légalité de leurs traitements de données, de la sécurisation des données et du respect des droits des personnes.
La formalisation du principe d’accountability passe en premier lieu par l’établissement et la tenue à jour du registre des activités de traitement, outil phare du dispositif de conformité qui permet aux Responsables de traitement d’analyser aisément les traitements réalisés et de s’assurer de leur conformité (existence d’une base légale, principe de minimisation des données, identification des flux et des prestataires, etc ). La formalisation des analyses d’impacts sur la protection des données (AIPD) permet également de démontrer au régulateur la prise en compte, dès la conception des traitements, des problématiques de protection des données (privacy by design / by default).
La sécurisation des données pourra être démontrée par l’existence de mesures techniques et organisationnelles qui seront auditables par le contrôleur et décrites dans le corpus documentaire associé, comme une politique de sécurité des systèmes d’information et les procédures techniques s’y rattachant.
L’existence d’un registre de suivi des demandes de droit et d’un registre des incidents (intégrant les éléments liés aux notifications auprès des personnes concernées) permet quant à lui de justifier du respect du droit des personnes par l’organisme.
Un ensemble de procédures explicitant le dispositif de conformité est également à formaliser dans un objectif de partager de l’information en interne, d’assurer la continuité d’activité du dispositif en cas de départ du DPO et de démonstration de la conformité en cas de contrôle du régulateur. On peut notamment citer la note d’organisation de la gouvernance, les procédures de gestion des demandes de droit des individus, de gestion du registre des activités de traitement, de gestion des incidents et notifications au régulateur / aux personnes concernées.
La majorité des acteurs de l’entreprise pouvant être amené à traiter des données personnelles, la responsabilité du respect du RGPD est donc partagée entre tous ces acteurs.
B) Un devoir partagé
Pour assurer la bonne gestion du niveau de conformité, et être en capacité de le démontrer, il est nécessaire que l’ensemble des acteurs de l’organisme s’investissent.
Juridiquement, c’est le Responsable de traitement, organisme définissant les finalités et modalités des traitements de données, qui est responsable devant la loi. L’existence d’un dispositif de conformité solide repose cependant sur l’action de l’ensemble des acteurs opérationnels des traitements.
Au premier plan se trouve le Délégué à la protection des données (DPO) en tant que pilote du dispositif de conformité. Sa désignation est obligatoire pour les organismes mettant en œuvre des traitements réguliers de données à grande échelle ou sur des données dites « sensibles ». Pour autant, il est recommandé à l’ensemble des organismes de nommer une personne en charge de ce dispositif afin de s’assurer du maintien en conditions opérationnelles de celui-ci. Ce pilote a notamment la charge de s’assurer de la capacité de l’organisme à respecter ce principe d’accountability et de coordonner les différents chantiers entre tous les acteurs de l’entreprise.
Afin d’avoir et de maintenir un dispositif de conformité fonctionnel, les acteurs suivants ont un rôle important à jouer :
- La Direction des Ressources Humaines (DRH) a pour fonction de s’assurer de la légalité des traitements de données des salariés et candidats, qu’elle réalise ou sous-traite. Elle doit également s’assurer de la sensibilisation de l’ensemble des salariés aux problématiques de protection des données et de cybersécurité.
- La Direction Juridique (DJ) doit s’assurer de la légalité des traitements de données, de la conformité des contrats encadrant les traitements de données qui sont sous-traités et doivent s’assurer de la bonne information des clients / salariés. Elle va alors accompagner le DPO dans la définition d’une procédure de surveillance des tiers à qui l’organisme confie des données personnelles. Elle va également formaliser / analyser les clauses et mentions d’information à l’attention des tiers. Ces mentions peuvent être intégrées aux contrats, ou bien mises à disposition sur les supports de collecte de données.
- La Direction des Systèmes d’Information (DSI) a une fonction très importante dans la sécurisation des traitements. En effet, à l’heure du numérique, la majorité des traitements sont réalisés via des supports informatiques qui doivent être sécurisés. En termes de démonstration de la conformité de l’organisme, la DSI devra documenter les mesures de sécurité et être en capacité de prouver techniquement l’application de celles-ci. Par ailleurs, cette direction accompagne également le DPO dans l’analyse du niveau de sécurité des prestataires et sous-traitants à qui l’organisme transmet des données.
En parallèle de ces fonctions clés, l’ensemble des salariés de l’entreprise, traitant opérationnellement des données personnelles, doivent être impliqués dans ce dispositif de conformité.
Vous l’aurez compris, pour gérer une conformité au RGPD, il y a une pluralité d’acteurs en jeu, et une pluralité d’actions à réaliser au quotidien.
II/ La gestion de la conformité RGPD : une problématique quotidienne
Le dispositif de conformité implique une gestion des demandes ponctuelles (A) mais également des actions annuelles à réaliser par le DPO (B).
A) La gestion des demandes quotidiennes
Un certain nombre de demandes peuvent être adressées au DPO au quotidien, par les personnes concernées par les traitements, les salariés ou les tiers de l’organisme.
A titre non exhaustif et en premier lieu, le DPO doit répondre aux demandes de droit des individus dans un délai d’un mois calendaire. A chaque demande de droit, le DPO doit analyser sa recevabilité puis se retourner vers les opérationnels ayant accès aux données concernées pour rendre effectif ce droit. Par exemple, si un prospect fait valoir son droit à l’effacement, le DPO devra demander au service marketing de supprimer les données de celui-ci et devra demander, le cas échéant, à leurs prestataires de faire de même. Cette demande devra être enregistrée dans le registre de suivi des demandes de droit.
Le DPO doit également gérer les violations de données. En cas de survenance d’un tel incident, le DPO doit analyser l’existence niveau de risque de celui-ci sur les droits et libertés des individus et, en cas de risque, notifier le régulateur, sous 72h. En cas de risque important, les personnes concernées devront être notifiées dans les meilleurs délais.
Le DPO accompagne également les opérationnels dans la mise en œuvre ou la modification des traitements de données. Cet accompagnement peut passer par la formalisation d’une analyse d’impact sur la protection des données ou simplement par un ajout ou une mise à jour du registre des activités de traitement (à la suite d’une analyse de la légalité du traitement).
Par ailleurs, le DPO doit s’assurer, avec l’appui de la DRH, de la sensibilisation des salariés aux problématiques de protection des données et de cybersécurité.
Pour finir, le DPO va également accompagner les opérationnels dans l’encadrement juridique des traitements et des flux de données en assistant la direction juridique dans la formalisation des clauses relatives aux données personnelles au sein des différents contrats.
B) Les actions de revue annuelle
Une structure est en évolution constante, elle se doit donc de maintenir sa conformité RGPD en conséquence. Des mesures annuelles sont nécessaires pour vérifier l’adéquation de la documentation et de la réalité mais également pour vérifier la conformité des traitements de données dans le temps.
Annuellement, le DPO doit demander aux opérationnels de contrôler la conformité au RGPD de leurs sous-traitants. Cette vérification, effectuée, en fonction du niveau de risque porté par ce sous-traitant, peut passer par une simple déclaration de conformité, et/ou la transmission d’un questionnaire de conformité et/ou la réalisation d’un audit sur site permettant de vérifier la véracité de la déclaration (sous réserve d’avoir, au sein du contrat, prévu une clause d’audit).
Par ailleurs, le DPO doit également auditer annuellement le dispositif de conformité. En fonction des ressources disponibles, il est envisageable de réaliser des audits thématiques sur l’un ou l’autre des points de conformité. Par exemple, le plan d’audit peut prévoir une revue de l’ensemble du dispositif sur des cycles de 3 ans.
Le registre des traitements doit être mis à jour au fil des évolutions des traitements. Cependant, celui-ci doit être revu annuellement avec chaque service afin de s’assurer de l’exactitude des informations qu’il contient.
Pour finir, le DPO doit annuellement formaliser un rapport annuel à l’attention du Responsable de traitement afin de l’informer de l’état du dispositif de conformité de l’organisme, du nombre de demandes reçues, du nombre de violations de données subies, des projets liés aux données personnelles auxquels il a été associé, du niveau de sensibilisation des salariés, etc.
Vous l’aurez compris, il existe de nombreuses actions à réaliser pour veiller à la gestion de la conformité RGPD de votre structure. Bien que certaines d’entre elles ne soient pas obligatoires, elles restent fortement conseillées. En effet, il se peut que l’une d’entre elles révèle une faille, une anomalie pouvant impacter votre niveau de conformité RGPD.
Toute l’équipe de La Robe Numérique se tient à votre disposition.
Une question ? N’hésitez pas à nous écrire à l’adresse suivante : team@larobenumerique.fr
Par Kenza Benmahioul et Justine Cabanis, pour le blog La Robe Numérique