Organisez votre revue de conformité RGPD

7 avril 2020

Introduction

 

 

Avec la crise sanitaire et économique causée par le Covid-19, le télétravail a connu une explosion inédite. Or force est de constater que cette hausse du télétravail est inversement proportionnelle à la baisse d’activité. C’est alors l’occasion pour les entreprises de se pencher sur les projets jusqu’alors jugés (à tort ou à raison) non prioritaires. Nombreuses sont en effet les entreprises qui stagnaient voire reportaient leurs projets RGPD, estimant qu’ils étaient chronophages, complexes et non directement productifs.

Le confinement est alors le moment idéal pour une revue efficace de votre conformité au RGDP par le télétravail. Pour être efficace, votre revue doit intégrer les axes obligatoires de la conformité. Par ailleurs, nombreuses sont les entreprises qui, sous le couvert de la lutte contre la pandémie et le respect de l’obligation de sécurité incombant à l’employeur, ont mis en place des mesures contraires au RGPD et attentatoires aux droits et libertés des personnes. À la fin de cet article, nous verrons ce qu’il ne faut surtout pas faire.

1- La revue de votre registre des traitements

Le registre des traitements est le premier outil de conformité. Il sert à présenter de façon macroscopique les traitements mis en œuvre au sein de votre entreprise. Le registre doit renseigner fidèlement : les parties prenantes qui interviennent dans les traitements ; les types de données personnelles traitées ; la durée de conservation des données et les mesures de sécurité mises en place.

Il vous faut donc faire le point sur les traitements en cours et intégrer dans le registre les projets (traitements) nouveaux, ou les traitements anciens qui ont été sensiblement modifiés. Ce serait par exemple le cas des actions effectuées dans le cadre de la lutte contre le Covid-19 (collecte d’informations sur l’exposition éventuelle des salariés au virus). De même, si votre entreprise a mis en place le télétravail pour la première fois alors qu’elle n’y avait jamais recouru jusqu’alors, vous devez inscrire ce traitement dans leur registre. Si votre entreprise y recourait déjà, mais a dû se transformer sensiblement pour s’adapter au soudain grand nombre de salariés en télétravail, une telle modification nécessite une mise à jour dans le registre des traitements.

2- La revue de la sécurité de votre système d’information (SI)

La sécurisation physique de vos locaux est cruciale. Mais la sécurisation des données personnelles ne saurait être garantie sans une bonne sécurisation du SI. C’est la raison pour laquelle le RGPD exige à tous les responsables de traitement de mettre en œuvre des mesures techniques afin de garantir la sécurité des données personnelles. Dans le contexte actuel de recours massif au télétravail, il pourrait par exemple s’agir de l’installation d’un VPN pour sécuriser les connexions sur le SI de l’entreprise, ou le chiffrement des postes de travail mobiles comme les ordinateurs portables, ou encore le renforcement de la procédure d’authentification.

C’est aussi l’occasion de sensibiliser vos salariés sur les risques et enjeux en matière de protection des données personnelles, et plus largement sur les conséquences qu’un manque de vigilance pourrait avoir sur le système d’information de l’entreprise.

3- La revue de votre ou vos site(s) internet(s)

Concrètement, elle consiste par exemple à : s’assurer de l’utilisation et de la mise en œuvre du protocole TLS ; à s’assurer qu’aucun mot de passe ou identifiant ne circule dans les URL ; à vérifier que le bandeau de cookies permette le refus des cookies non strictement nécessaires ; mais aussi et surtout à s’assurer que la connexion au serveur est bien sécurisée (le fameux https) ; etc.

Dans le même temps, une revue de vos mentions légales et de votre politique de protection des données devra être faite. En la lisant, les utilisateurs devraient être informés entre autres sur l’identité du responsable de traitement, sur les droits dont ils disposent et quelles en sont modalités d’exercice. Etant précisé que vous devez impérativement les informer de leur droit de saisir la Commission Nationale de l’Informatique et des Libertés (CNIL). Il va sans dire qu’il vous faut vous assurer qu’en interne, il existe une organisation mise en place afin d’assurer l’effectivité de l’exercice de ces droits.

4- L’anticipation des risques par l’analyse d’impact

Avec le recours intensifié au télétravail engendré par la crise du Covid-19, on assiste sans surprise à une hausse des actes de cybercriminalité. D’ailleurs, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a jugé utile de lancer un appel au renforcement des mesures de vigilance cybersécurité durant la crise du Covid-19 ; appel dans lequel elle a recommandé une liste de mesures non exhaustives.

Les risques peuvent être des vols (physique ou non) de données ; de l’hameçonnage ; des ransomwares, ou même des faux ordres de virement. S’ils venaient à se réaliser en impliquant des données personnelles, on serait alors en présence d’une violation de données, avec potentiellement des conséquences sur les droits et libertés des personnes. C’est pourquoi ces risques et les conséquences qui en découlent doivent être anticipés.

Le RGPD impose de mener une analyse d’impact sur la protection des données (AIPD), chaque fois qu’un traitement pourrait engendrer des risques élevés sur les droits et libertés des personnes. Il s’agit d’une étude au cours de laquelle vous devez :

  • dans un premier temps, présenter le traitement sous les aspects techniques et organisationnels ;
  • ensuite, vous devez évaluer la nécessité et la proportionnalité du ou des traitements en ce qui concerne les principes de protection des données (ex : respect de la finalité du traitement) et droits fondamentaux ;
  • enfin, vous devez évaluer les risques d’atteinte à la disponibilité, l’intégrité et la confidentialité des données, ainsi que leurs impacts potentiels sur la vie privée des personnes, afin de déterminer les mesures de sécurité les plus pertinentes à prévoir.

 

5- La revue des procédures de gestion de crise ou violation de données personnelles

 

La prévention ou l’anticipation des risques permet d’en éviter la réalisation, mais parfois s’avère insuffisante, et le risque finit par se réaliser. En cas de survenance d’une violation de données personnelles, vous devrez notifier la CNIL si la violation engendre des risques pour les droits et libertés des personnes. Cette notification doit être faite dans les 72 heures à compter du moment où vous en avez eu connaissance, ou que vous étiez censé en avoir connaissance. Si les risques engendrés sont élevés, vous devrez en outre informer les personnes concernées par la violation. Dans tous les cas, cet incident devra être renseigné dans un document, registre des violations.

Tout ceci suppose évidemment qu’une organisation interne (constitution d’équipe ou comité de gestion de crise) ait été mise en place au préalable. C’est précisément le rôle de la procédure de gestion des violations de données personnelles, qui complète le plan de continuité et de reprise d’activité. Si vous ne disposiez pas encore de tels documents, vous pouvez dès à présent entamer une réflexion sur la constitution de cette équipe, et la formalisation des procédures nécessaires.

6- La revue de la sous-traitance

Afin d’assurer une protection optimale des données personnelles tout au long de la chaîne de traitements entre les différents acteurs, (responsable de traitement, sous-traitant, sous-traitant ultérieur) le RGPD impose aux responsables de traitement de ne recourir qu’à des sous-traitants présentant des garanties suffisantes. La relation contractuelle doit donc être encadrée et les rôles et responsabilités de chacun clairement définis.

Cela se formalise par l’insertion de clauses dans les contrats, spécifiques à la protection des données personnelles. Ces clauses peuvent même prévoir la possibilité pour le responsable de traitement vérifier la véracité des affirmations de son sous-traitant, notamment par un audit. On parle alors de clause d’auditabilité. Vous pouvez ainsi profiter du confinement ou de la baisse d’activité pour procéder à une revue / mise à jour de vos contrats de sous-traitance par la rédaction puis l’insertion de clauses dites RGPD.

7- L’accountability

Les actions décrites ci-dessus doivent toutes être documentées afin de constituer un dossier d’accountability présentant la mise en oeuvre de vos traitements de données personnelles ; l’information des personnes ; les contrats entre votre entreprise et les autres acteurs intervenant dans le traitement des données. L’accountability ou responsabilisation en français est l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer leur conformité à la réglementation en matière de protection des données personnelles.

Il vous revient de choisir la méthode qui vous semble le plus pertinente eut égard au mode de fonctionnement de votre structure, en gardant à l’esprit que lors d’un contrôle de la CNIL, chaque affirmation doit impérativement être soutenue par un élément de preuve.

8- Pratiques à éviter pendant la crise du Covid-19

Pendant la crise, nombreux sont les employeurs qui, sur le fondement des dispositions du code du travail (article L4121-1 qui impose à l’employeur de garantir de garantir la santé et la sécurité des salariés) ont demandé à leurs salariés de leur transmettre parfois à une fréquence journalière, des informations relatives à leur état de santé. Certaines entreprises ont même procédé à des relevés de température à l’entrée du lieu de travail.

Ces informations constituent des données sensibles au regard du RGPD, dont le traitement est par principe interdit, sauf exceptions limitativement énumérées. Or la lutte contre une pandémie ne fait pas partie de ces exceptions.

Pour remplir votre obligation au regard du code du travail, la CNIL recommande par exemple de sensibiliser et inviter les salariés à effectuer des remontées individuelles d’information les concernant en lien avec une éventuelle exposition, auprès des employeurs ou des autorités sanitaires compétentes. De même, afin de limiter la propagation du virus, le recours au télétravail lorsque la nature de l’activité le permettait, a été fortement encouragé par les pouvoirs publics.

Sources :

  • Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
  • ANSSI « Recommandations de sécurité informatique pour le télétravail en situation de crise » Article publié le 23 mars 2020
  • Guide CNIL « La sécurité des données personnelles » Ed. 2018
  • Guide CNIL « Analyse d’impact relative à la protection des données (AIPD) 3 : les bases de connaissances » Ed. 2018
  • RGPD : « guide du sous-traitant » Ed. 2017
  • CNIL « Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles » Article publié le 6 mars 2020
    GDPR Cookie Consent with Real Cookie Banner