RGPD et équipes techniques : comment s'organiser ?

Les conséquences de la mise en place du RGPD commencent à être prises en compte par les entreprises et leurs responsables.
Des formations ont été mises en place, des sortes de « certifications » voient le jour (bien que la CNIL ne soit pas en mesure actuellement de délivrer une homologation à une quelconque certification) et des sociétés se proposent pour jouer les DPO.
Pour autant, le Règlement Général de Protection des Données est essentiellement abordé pour le moment d'un point de vue juridique avec nombre de cabinets de conseils ou d’avocats qui délivrent des recommandations n’étant ni plus ni moins que des réécritures de la loi.
Pourtant, on peut déjà aborder l’aspect technique du RGPD pour se mettre en ordre de bataille afin de le respecter dans ses grandes lignes et surtout dans son esprit.
On peut distinguer 4 types d’actions techniques RGPD pouvant être mises en place.

Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups

RGPD et équipes techniques : Mise à niveau des collectes de données

En premier lieu, il convient de mettre en place des outils de récupération de données adaptés au RGPD 2018.
Si l’entreprise récupère par exemple des données via des formulaires, ceux-ci doivent être adaptés à la nouvelle loi. Ainsi, une demande expresse doit être adressée à l’internaute ou à la personne physique avant de récupérer ses données personnelles et les garder.
Si techniquement, cette mise à niveau n’est pas compliquée, elle peut s’avérer coûteuse quand il s’agit de refaire tous les formulaires ou de casser le processus d’achat ou d’abonnement à différentes newsletters de plusieurs sites Internet ou systèmes informatiques d’enregistrement de données

Mise en place de la possibilité de consultation, demande de modification et suppression

Le RGPD de 2018 donne la possibilité à toute personne dont les données ont été collectées, de les consulter et d’obtenir plusieurs informations (article 15 ch 3 RGPD) dont :

• les finalités du traitement,
• les catégories de données à caractère personnel concernées,
• les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales;
• lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée;
• lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source;
• l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

Il faut donc mettre en place un système de traitement qui permette de renseigner facilement toute personne en faisant la demande.
Dans beaucoup de cas, cela demande des développement techniques et sécurisés, afin de ne pas créer une faille de sécurité rendant plus compliqué le point suivant qui est l’essentiel des développements et actions des équipes techniques d’une entreprise voulant être conforme au RGPD.

RGPD et équipes techniques : Sécurisation des données

Il s’agit là de l’élément principal du RGPD dans son aspect technique : l’obligation de sécurisation des données, afin d’empêcher la fuite de données et au cas où, de pouvoir avertir les ayant droits et autres partenaires.

Techniquement, outre la mise en place d’un processus d’alerte, cela veut surtout dire que les entreprises doivent être en mesure de sécuriser les données récoltées et traitées. 

En premier lieu, il convient donc de savoir par quels programmes informatiques et machines transitent les données. Ceci fait d’ailleurs l’objet de tout un chapitre du RGPD qui recommande ou oblige (selon les cas) la tenue de fichiers recensant ces collectes et traitements.
En théorie (mais on peut douter que dans la pratique la vérification soit poussée à ce niveau-là), si les équipes techniques hébergent les données chez un hébergeur qui lui-même a des sous-traitants en matière de sécurité ou autre, elles devront au minimum changer les contrats et s’assurer de la conformité RGPD des sous-traitants de l’hébergeur, etc, etc..
Au niveau de la sécurité « technique », il convient essentiellement de mettre en place une politique correcte en ce qui concerne l’accès aux données.
Ainsi, seront changés régulièrement les mots de passe et des accès de type 3D Secure ou identification par IP pour tous les accès possibles seront mis en place (interface web, machines, ftp, ssh, etc..).

Il existe beaucoup de systèmes (même gratuits) permettant aussi d’être alerté(e) à chaque accès aux données.
Il ne faut jamais oublier non plus que dans l’immense majorité des cas, les pertes, vols, fuites de données sont le fait de personnes emmenant du travail chez eux ou une clé USB qui se perd ou se vend.

Si l’on se trouve dans une entreprise spécialisée dans le traitement des données ou pour laquelle ceci est vital, on ne peut que conseiller de renforcer aussi la sécurité physique et de fouiller les gens à la sortie des bureaux, comme ceci se fait déjà dans les entreprises sensibles
Dans le cas particulier des données personnelles des employés de l’entreprise, rappelons que les bases de données de l’entreprise ont des accès juridiquement très règlementés qui doivent notamment être enlevés aux personnes qui n’y ont plus droit (comme par exemple les délégués du personnel lorsqu’ils quittent leurs fonctions).

Outre la sécurisation des accès, il faut mettre en place un chiffrement efficace des données. Heureusement, pour cette partie, nombre de prestataires sont capables de mettre en place des solutions efficaces.
Rappelons aussi que les données doivent être anonymisées et que seul le « producteur » de la base de données doit pourvoir faire le lien entre les identités réelles et les données. Ceci peut réclamer des développements techniques, non seulement pour établir la correspondance mais aussi pour l’héberger de manière sécurisée.

Equipes techniques et RGPD : Mise en place d’audits 

Les 3 points qui précèdent (et surtout le dernier) doivent faire l’objet d’audits réguliers afin de vérifier que les collectes et traitements de données (qu’on en soit l’initiateur ou le sous-traitant) respectent l’esprit du RGPD.
En cas de contrôle ou de manquement à la loi, ces audits montreront les moyens et développements mis en place tout en permettant le cas échéant au DPO (interne ou externe) de faire facilement son travail (Rappelons que le DPO n’est pas responsable de l’application du RGPD, mais que c’est le responsable des traitements qui l’est).

Bien sûr, on peut douter que la CNIL ait suffisamment de moyens pour contrôler toutes les entreprises mais les personnes dont les données sont collectées ou traitées sont autant de « contrôleurs » de l’esprit de la nouvelle loi et un manquement peut potentiellement se transformer en boycott ou en mauvaise publicité.
Nul n’est tenu à l’excellence mais montrer sa bonne foi et ses efforts est essentiel à un moment de l’évolution des nouvelles technologies où l’on a bien compris que les données représentaient l’essentiel de la richesse et du pouvoir de la nouvelle économie.

Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous.