Votre avis nous intéresse ! Aidez-nous à améliorer votre expérience et bénéficiez de -10% sur votre prochaine commande en cliquant ici.
  1. Gestion
  2. Politique de confidentialité - RGPD
  3. RGPD et équipes techniques : comment s'organiser ?

RGPD et équipes techniques : comment s'organiser ?

Amélie Gautier
Écrit par Amélie Gautier Responsable contenu et diplômée d'un Master II en droit des affaires de l'Université de Versailles Saint-Quentin-en Yvelines

Les conséquences de la mise en place du RGPD commencent à être prises en compte par les entreprises et leurs responsables.
Des formations ont été mises en place, des sortes de « certifications » voient le jour (bien que la CNIL ne soit pas en mesure actuellement de délivrer une homologation à une quelconque certification) et des sociétés se proposent pour jouer les DPO.
Pour autant, le Règlement Général de Protection des Données est essentiellement abordé pour le moment d'un point de vue juridique avec nombre de cabinets de conseils ou d’avocats qui délivrent des recommandations n’étant ni plus ni moins que des réécritures de la loi.
Pourtant, on peut déjà aborder l’aspect technique du RGPD pour se mettre en ordre de bataille afin de le respecter dans ses grandes lignes et surtout dans son esprit.
On peut distinguer 4 types d’actions techniques RGPD pouvant être mises en place.

 

Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups

 

RGPD et équipes techniques : Mise à niveau des collectes de données

 

En premier lieu, il convient de mettre en place des outils de récupération de données adaptés au RGPD 2018.
Si l’entreprise récupère par exemple des données via des formulaires, ceux-ci doivent être adaptés à la nouvelle loi. Ainsi, une demande expresse doit être adressée à l’internaute ou à la personne physique avant de récupérer ses données personnelles et les garder.
Si techniquement, cette mise à niveau n’est pas compliquée, elle peut s’avérer coûteuse quand il s’agit de refaire tous les formulaires ou de casser le processus d’achat ou d’abonnement à différentes newsletters de plusieurs sites Internet ou systèmes informatiques d’enregistrement de données

Mise en place de la possibilité de consultation, demande de modification et suppression

 

Le RGPD de 2018 donne la possibilité à toute personne dont les données ont été collectées, de les consulter et d’obtenir plusieurs informations (article 15 ch 3 RGPD) dont :

  • les finalités du traitement,
  • les catégories de données à caractère personnel concernées,
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
  • lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
  • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
  • l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Il faut donc mettre en place un système de traitement qui permette de renseigner facilement toute personne en faisant la demande.
Dans beaucoup de cas, cela demande des développement techniques et sécurisés, afin de ne pas créer une faille de sécurité rendant plus compliqué le point suivant qui est l’essentiel des développements et actions des équipes techniques d’une entreprise voulant être conforme au RGPD.

 

RGPD et équipes techniques : Sécurisation des données

 

Il s’agit là de l’élément principal du RGPD dans son aspect technique : l’obligation de sécurisation des données, afin d’empêcher la fuite de données et au cas où, de pouvoir avertir les ayant droits et autres partenaires.

Techniquement, outre la mise en place d’un processus d’alerte, cela veut surtout dire que les entreprises doivent être en mesure de sécuriser les données récoltées et traitées. 

En premier lieu, il convient donc de savoir par quels programmes informatiques et machines transitent les données. Ceci fait d’ailleurs l’objet de tout un chapitre du RGPD qui recommande ou oblige (selon les cas) la tenue de fichiers recensant ces collectes et traitements.
En théorie (mais on peut douter que dans la pratique la vérification soit poussée à ce niveau-là), si les équipes techniques hébergent les données chez un hébergeur qui lui-même a des sous-traitants en matière de sécurité ou autre, elles devront au minimum changer les contrats et s’assurer de la conformité RGPD des sous-traitants de l’hébergeur, etc, etc..
Au niveau de la sécurité « technique », il convient essentiellement de mettre en place une politique correcte en ce qui concerne l’accès aux données.
Ainsi, seront changés régulièrement les mots de passe et des accès de type 3D Secure ou identification par IP pour tous les accès possibles seront mis en place (interface web, machines, ftp, ssh, etc..).

Il existe beaucoup de systèmes (même gratuits) permettant aussi d’être alerté(e) à chaque accès aux données.
Il ne faut jamais oublier non plus que dans l’immense majorité des cas, les pertes, vols, fuites de données sont le fait de personnes emmenant du travail chez eux ou une clé USB qui se perd ou se vend.

Si l’on se trouve dans une entreprise spécialisée dans le traitement des données ou pour laquelle ceci est vital, on ne peut que conseiller de renforcer aussi la sécurité physique et de fouiller les gens à la sortie des bureaux, comme ceci se fait déjà dans les entreprises sensibles
Dans le cas particulier des données personnelles des employés de l’entreprise, rappelons que les bases de données de l’entreprise ont des accès juridiquement très règlementés qui doivent notamment être enlevés aux personnes qui n’y ont plus droit (comme par exemple les délégués du personnel lorsqu’ils quittent leurs fonctions).

Outre la sécurisation des accès, il faut mettre en place un chiffrement efficace des données. Heureusement, pour cette partie, nombre de prestataires sont capables de mettre en place des solutions efficaces.
Rappelons aussi que les données doivent être anonymisées et que seul le « producteur » de la base de données doit pourvoir faire le lien entre les identités réelles et les données. Ceci peut réclamer des développements techniques, non seulement pour établir la correspondance mais aussi pour l’héberger de manière sécurisée.

Equipes techniques et RGPD : Mise en place d’audits 

 

Les 3 points qui précèdent (et surtout le dernier) doivent faire l’objet d’audits réguliers afin de vérifier que les collectes et traitements de données (qu’on en soit l’initiateur ou le sous-traitant) respectent l’esprit du RGPD.
En cas de contrôle ou de manquement à la loi, ces audits montreront les moyens et développements mis en place tout en permettant le cas échéant au DPO (interne ou externe) de faire facilement son travail (Rappelons que le DPO n’est pas responsable de l’application du RGPD, mais que c’est le responsable des traitements qui l’est).

Bien sûr, on peut douter que la CNIL ait suffisamment de moyens pour contrôler toutes les entreprises mais les personnes dont les données sont collectées ou traitées sont autant de « contrôleurs » de l’esprit de la nouvelle loi et un manquement peut potentiellement se transformer en boycott ou en mauvaise publicité.
Nul n’est tenu à l’excellence mais montrer sa bonne foi et ses efforts est essentiel à un moment de l’évolution des nouvelles technologies où l’on a bien compris que les données représentaient l’essentiel de la richesse et du pouvoir de la nouvelle économie.

Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous. 

 

Besoin de conseils juridiques ?
Consulter un avocat spécialisé en RGPD

Ces articles pourraient également vous intéresser

La sensibilisation de l'entreprise au RGPD : une étape obligatoire
5 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire

La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité

RGPD et e-commerce : 4 actions concrètes à mener en 2023
4 min
RGPD et e-commerce : 4 actions concrètes à mener en 2023

Le RGPD (règlement général de protection des données) pose depuis mai 2018 un cadre sur l'utilisation, l'échange ou encore la récupération des données personnelles. Des sanctions sont prévues en cas de non respect. Quelles sont alors les actions à mettre en place en présence d'un site e-commerce ?

Portabilité des données : que va permettre le RGPD ?
2 min
Portabilité des données : que va permettre le RGPD ?

Le RGPD consacre un principe relatif à la portabilité des données offrant la possibilité aux personnes d'obtenir, utiliser et transférer leurs propres données

RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?

L'entrée en vigueur d'un nouveau texte sur la protection des données personnelles n'est pas sans conséquences pour les entreprises. Comment bien être en règle ?

Conformité avec le RGPD : 4 actions à mettre en place !
3 min
Conformité avec le RGPD : 4 actions à mettre en place !

On vous liste les 4 actions que vous devriez mettre en place pour être en conformité avec le RGPD et éviter d'éventuelles sanctions de la CNIL !

Comment trouver un avocat en RGPD à Paris ?
3 min
Comment trouver un avocat en RGPD à Paris ?

Vous êtes à Paris et souhaitez vous mettre à jour sur les sujets RGPD ? Faites appel à un avocat spécialiste du RGPD ! Celui-ci vous accompagne à tous les stades du processus de mise en conformité.

RGPD : évaluez en 20 questions la conformité de votre entreprise en 2023
2 min
RGPD : évaluez en 20 questions la conformité de votre entreprise en 2023

Le RGPD est entré en vigueur le 25 mai 2018. Nombre de dirigeants ne maitrisent pas entièrement le périmètre de cette réforme. Ce questionnaire vous permettra d'évaluer votre situation en 2023.

RGPD : qui est concerné ?
3 min
RGPD : qui est concerné ?

Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.

Règlement européen sur la protection des données : êtes-vous à jour ?
3 min
Règlement européen sur la protection des données : êtes-vous à jour ?

Un nouveau texte sur la protection des données personnelles entre prochainement en vigueur. Découvrez ce qu'il comportera pour rester à jour.

Formation de DPO : vraiment utile pour être conforme au RGPD ?
2 min
Formation de DPO : vraiment utile pour être conforme au RGPD ?

Le RGPD entrera en vigueur le 25 mai prochain, le temps pour les entreprises de considérer sérieusement les étapes de mise en conformité. La figure de DPO accompagne l'arrivée du RGPD. Obligatoire pour certaines entreprises, les futurs DPO ne disposent que de très peu de formations.

Vous avez démarré un dossier de chez nous… Vous pouvez le reprendre dès maintenant !

Reprendre votre dossier