Ravis de vous revoir ! Votre démarche a été enregistrée  🚀 Reprendre ma démarche
Reprendre ma démarche
illustration recherche
Comment pouvons-nous vous aider aujourd’hui ?

Recherchez parmi nos prestations, articles, guides...

01 83 81 67 25
  1. Ressources
  2. Gestion
  3. Politique de confidentialité - RGPD
  4. RGPD et équipes techniques : comment s'organiser ?

RGPD et équipes techniques : comment s'organiser ?

  • 4 min
Télécharger l'article
Sofia El Allaki
Écrit par Sofia El Allaki. Diplômée d'un Master II en Droit des affaires
Relu par Pierre-Florian Dumez.

Les conséquences de la mise en place du RGPD commencent à être prises en compte par les entreprises et leurs responsables.
Des formations ont été mises en place, des sortes de « certifications » voient le jour (bien que la CNIL ne soit pas en mesure actuellement de délivrer une homologation à une quelconque certification) et des sociétés se proposent pour jouer les DPO.
Pour autant, le Règlement Général de Protection des Données est essentiellement abordé pour le moment d'un point de vue juridique avec nombre de cabinets de conseils ou d’avocats qui délivrent des recommandations n’étant ni plus ni moins que des réécritures de la loi.
Pourtant, on peut déjà aborder l’aspect technique du RGPD pour se mettre en ordre de bataille afin de le respecter dans ses grandes lignes et surtout dans son esprit.
On peut distinguer 4 types d’actions techniques RGPD pouvant être mises en place.

 

 

Captain Contrat décrypte le droit en vidéo : Le RGPD pour les PME, les TPE et les startups

 

 

RGPD et équipes techniques : Mise à niveau des collectes de données

 

En premier lieu, il convient de mettre en place des outils de récupération de données adaptés au RGPD 2018.

Si l’entreprise récupère par exemple des données via des formulaires, ceux-ci doivent être adaptés à la nouvelle loi. Ainsi, une demande expresse doit être adressée à l’internaute ou à la personne physique avant de récupérer ses données personnelles et les garder.

Si techniquement, cette mise à niveau n’est pas compliquée, elle peut s’avérer coûteuse quand il s’agit de refaire tous les formulaires ou de casser le processus d’achat ou d’abonnement à différentes newsletters de plusieurs sites Internet ou systèmes informatiques d’enregistrement de données.

 

Mise en place de la possibilité de consultation, demande de modification et suppression

 

Le RGPD de 2018 donne la possibilité à toute personne dont les données ont été collectées, de les consulter et d’obtenir plusieurs informations (article 15 ch 3 RGPD) dont :

  • les finalités du traitement ;
  • les catégories de données à caractère personnel concernées ;
  • les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, en particulier les destinataires qui sont établis dans des pays tiers ou les organisations internationales ;
  • lorsque cela est possible, la durée de conservation des données à caractère personnel envisagée ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
  • lorsque les données à caractère personnel ne sont pas collectées auprès de la personne concernée, toute information disponible quant à leur source ;
  • l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.

 

Il faut donc mettre en place un système de traitement qui permette de renseigner facilement toute personne en faisant la demande.

Dans beaucoup de cas, cela demande des développement techniques et sécurisés, afin de ne pas créer une faille de sécurité rendant plus compliqué le point suivant qui est l’essentiel des développements et actions des équipes techniques d’une entreprise voulant être conforme au RGPD.

 

RGPD et équipes techniques : Sécurisation des données

 

Il s’agit là de l’élément principal du RGPD dans son aspect technique : l’obligation de sécurisation des données, afin d’empêcher la fuite de données et au cas où, de pouvoir avertir les ayant droits et autres partenaires.

Techniquement, outre la mise en place d’un processus d’alerte, cela veut surtout dire que les entreprises doivent être en mesure de sécuriser les données récoltées et traitées. 

En premier lieu, il convient donc de savoir par quels programmes informatiques et machines transitent les données. Ceci fait d’ailleurs l’objet de tout un chapitre du RGPD qui recommande ou oblige (selon les cas) la tenue de fichiers recensant ces collectes et traitements.
En théorie (mais on peut douter que dans la pratique la vérification soit poussée à ce niveau-là), si les équipes techniques hébergent les données chez un hébergeur qui lui-même a des sous-traitants en matière de sécurité ou autre, elles devront au minimum changer les contrats et s’assurer de la conformité RGPD des sous-traitants de l’hébergeur, etc, etc, etc..

Au niveau de la sécurité « technique », il convient essentiellement de mettre en place une politique correcte en ce qui concerne l’accès aux données.
Ainsi, seront changés régulièrement les mots de passe et des accès de type 3D Secure ou identification par IP pour tous les accès possibles seront mis en place (interface web, machines, ftp, ssh, etc..).

Il existe beaucoup de systèmes (même gratuits) permettant aussi d’être alerté(e) à chaque accès aux données.
Il ne faut jamais oublier non plus que dans l’immense majorité des cas, les pertes, vols, fuites de données sont le fait de personnes emmenant du travail chez eux ou une clé USB qui se perd ou se vend.

Si l’on se trouve dans une entreprise spécialisée dans le traitement des données ou pour laquelle ceci est vital, on ne peut que conseiller de renforcer aussi la sécurité physique et de fouiller les gens à la sortie des bureaux, comme ceci se fait déjà dans les entreprises sensibles
Dans le cas particulier des données personnelles des employés de l’entreprise, rappelons que les bases de données de l’entreprise ont des accès juridiquement très règlementés qui doivent notamment être enlevés aux personnes qui n’y ont plus droit (comme par exemple les délégués du personnel lorsqu’ils quittent leurs fonctions).

Outre la sécurisation des accès, il faut mettre en place un chiffrement efficace des données. Heureusement, pour cette partie, nombre de prestataires sont capables de mettre en place des solutions efficaces.
Rappelons aussi que les données doivent être anonymisées et que seul le « producteur » de la base de données doit pourvoir faire le lien entre les identités réelles et les données. Ceci peut réclamer des développements techniques, non seulement pour établir la correspondance mais aussi pour l’héberger de manière sécurisée.

 

EÉquipes techniques et RGPD : Mise en place d’audits 

 

Les 3 points qui précèdent (et surtout le dernier) doivent faire l’objet d’audits réguliers afin de vérifier que les collectes et traitements de données (qu’on en soit l’initiateur ou le sous-traitant) respectent l’esprit du RGPD.
En cas de contrôle ou de manquement à la loi, ces audits montreront les moyens et développements mis en place tout en permettant le cas échéant au DPO (interne ou externe) de faire facilement son travail (Rappelons que le DPO n’est pas responsable de l’application du RGPD, mais que c’est le responsable des traitements qui l’est).

Bien sûr, on peut douter que la CNIL ait suffisamment de moyens pour contrôler toutes les entreprises mais les personnes dont les données sont collectées ou traitées sont autant de « contrôleurs » de l’esprit de la nouvelle loi et un manquement peut potentiellement se transformer en boycott ou en mauvaise publicité.
Nul n’est tenu à l’excellence mais montrer sa bonne foi et ses efforts est essentiel à un moment de l’évolution des nouvelles technologies où l’on a bien compris que les données représentaient l’essentiel de la richesse et du pouvoir de la nouvelle économie.

Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous. 

 

 
Sofia El Allaki
Écrit par Sofia El Allaki

Diplômée d'un Master II en Droit des affaires de l'Université Paris 1 Panthéon-Sorbonne, Sofia a travaillé en cabinet d'avocats et en Maison d'édition juridique. Après avoir développé sa plume et ses compétences en édito, elle rejoint une agence de production de contenus parisienne en tant que Content manager senior, puis Account manager director. Aujourd'hui, elle est responsable contenu.

Relu par Pierre-Florian Dumez. Diplômé en droit

Une question ? Laissez votre commentaire

Vos coordonnées sont obligatoires afin que l’on puisse vous répondre
Besoin de conseils juridiques ?
Je consulte un avocat

Ces articles pourraient également vous intéresser

RGPD et e-commerce : 4 actions concrètes à mener en 2025
RGPD et e-commerce : 4 actions concrètes à mener en 2025
Le RGPD (règlement général de protection des données) pose depuis mai 2018 un cadre sur l'utilisation, l'échange ou encore la récupération des données personnelles. Des sanctions sont prévues en cas de non respect. Quelles sont alors les actions à mettre en place en présence d'un site e-commerce ?
- 4 min
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
La sensibilisation de l'entreprise au RGPD : une étape obligatoire
La majorité des entreprises sont concernées par les obligations du RGPD depuis 2018. Cette mise en conformité ne s'improvise pas : process internes, collaborateurs, équipes techniques... Me Sarah Benhammou vous accompagne pour votre conformité
- 6 min
Conformité avec le RGPD : 4 actions à mettre en place !
Conformité avec le RGPD : 4 actions à mettre en place !
On vous liste les 4 actions que vous devriez mettre en place pour être en conformité avec le RGPD et éviter d'éventuelles sanctions de la CNIL !
- 3 min
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?
L'entrée en vigueur d'un nouveau texte sur la protection des données personnelles n'est pas sans conséquences pour les entreprises. Comment bien être en règle ?
- 3 min
RGPD : qui est concerné ?
RGPD : qui est concerné ?
Entrepreneur, dirigeant ou juriste d’entreprise, vous vous demandez si votre entreprise est concernée ? Devez-vous effectuer une mise en conformité avec le RGPD par rapport aux données à caractère personnel des citoyens ? Captain Contrat fait le point sur le RGPD.
- 3 min
Règlement européen sur la protection des données : êtes-vous à jour ?
Règlement européen sur la protection des données : êtes-vous à jour ?
Un nouveau texte sur la protection des données personnelles entre prochainement en vigueur. Découvrez ce qu'il comportera pour rester à jour.
- 3 min
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Comment se mettre en conformité avec le Règlement général sur la protection des données (RGPD) ?
Vous collectez et traitez les données personnelles de citoyens européens ? Vous êtes donc soumis à l'obligation de conformer votre entreprise au RGPD. Quelles sont les étapes à mettre en place ? Me Benhammou vous accompagne tout au long de votre procédure.
- 7 min
Startup et RGPD : les 5 questions les plus posées
Startup et RGPD : les 5 questions les plus posées
Dirigeant de startup, votre entreprise est sans doute concernée par le RGPD. Comment vous mettre en conformité ? Quelles sont les questions à vous poser ? Me David Smadja avocat spécialisé fait le point et vous livre ses conseils.
- 8 min
CGV conformes au RGPD : quelles sont les modifications à apporter ?
CGV conformes au RGPD : quelles sont les modifications à apporter ?
Vous êtes concernés par le RGPD mais n'avez pas encore pris les mesures pour vous mettre en conformité ? La première étape consiste à mettre à jour vos CGV. Le point dans cet article
- 4 min
Qu’est-ce qu’une charte/politique de confidentialité ?
Qu’est-ce qu’une charte/politique de confidentialité ?
Une politique de confidentialité expose les engagements de l’entreprise en matière de traitement des données personnelles des utilisateurs.
- 4 min