RGPD : 6 étapes clés et 3 outils pour mettre en place sa conformité

Préparer sa mise en conformité au RGPD en tant qu’entreprise responsable soulève de nombreuses questions qui gravitent autour de la sécurité, de la confidentialité et de la traçabilité des données personnelles.

Vous souhaitez comprendre le Règlement Général sur la Projection des Données qui entre en application le 25 mai 2018, ce qui change pour les professionnels, et respecter vos nouvelles obligations ?

appvizer restitue les étapes préconisées par la CNIL et les enrichit de solutions de mise en conformité au GDPR (General Data Protection Regulation) :

Le Règlement Général sur la Protection des Données personnelles défend les droits des citoyens européens et s’applique naturellement à toute entreprise exerçant un traitement de données dans l’un ou plusieurs des pays membres de l’Union Européenne.

Le RGPD impose également aux entreprises de respecter les droits d’une personne non européenne, mais pour qui les données sont récoltées et traitées au sein de l’Union Européenne.

Par conséquent, les sous-traitants installés en dehors de l’UE doivent se conformer au GRPD :

• s’ils sont concernés par le traitement de données de citoyens européens,
• s’ils sont concernés par le traitement de données d’un citoyen non européen, mais dont les données sont récoltées au sein de l’Union Européenne.

Tous les sites internet fondés en dehors de l’UE qui s’adressent à des citoyens européens doivent se conformer au GRPD, notamment les sites qui proposent des versions en langue française, allemande, italienne, espagnole en affichant des prix en euros. En revanche, il est demandé d’héberger les données personnelles au sein de pays proposant le même niveau de garantie que l’Union Européenne.

Concernant l’hébergement des données personnelles, il n’y a pas application territoriale à respecter. Tout hébergeur, européen ou non, doit cependant respecter des exigences très précises et se conformer au cadre défini par le RGPD. Le Privacy Shield, traité avec les États-Unis assure par exemple le très haut niveau de sécurité et de confidentialité demandé par le règlement européen.

Le règlement européen considère que tous les acteurs concernés par un ou plusieurs traitements de données partagent la responsabilité de la protection des données :

• Le responsable de traitement : c’est l’entreprise qui utilise les données personnelles. Elle est tenue d’engager des processus et d’établir des documents précisant son code de conduite, sa politique interne en matière de protection des données, et les certifications ;
• Le délégué à la protection des données : il s’agit d’un professionnel aguerri aux usages et mesures de sécurité concernant les technologies de l’information et de la communication. C’est l’un des garants de la protection des données. Il est capable de guider l’entreprise sur les bonnes pratiques à adopter afin que l’entreprise respecte le règlement. Nous détaillons la fonction de délégué plus bas ;
• La CNIL est l’autorité de contrôle en France : elle certifie la conformité des entreprises et fait respecter le règlement sur le traitement de données personnelles. Elle peut sur simple demande demander les preuves documentaires que les entreprises doivent tenir à disposition (détaillées plus bas). En cas de manquement, l’entreprise s’expose à des sanctions ;
• Les sous-traitants : à partir du moment où un prestataire, un fournisseur, s’intègre dans le processus de traitement des données à la demande de l’entreprise responsable du traitement, le sous-traitant devient responsable. Il est donc tenu de remplir un cahier des charges précis pour garantir lui aussi la sécurité, la confidentialité, et l’effacement des données, c’est-à-dire être conforme au GRPD. 

Un avocat vous explique la conformité du sous-traitant au RGPD et 8 obligations à respecter dans un artcicle complémentaire.

L’article 8 de la directive 2016/680 du Parlement Européen et du Conseil sur le RGPD stipule deux points :

Pour compléter ces éléments du texte officiel, l’article 6 du Règlement (UE) 2016/679 du Parlement Européen et du Conseil mentionné par la CNIL sur son site précise la licéité du traitement :

Pour illustrer le point “d)” : les systèmes d’information hospitaliers doivent recueillir des informations de santé sur un patient afin de le soigner. Ce traitement de données est donc licite.

En tant qu’entreprise responsable de traitement vous êtes tenue de nommer un délégué à la protection des données, aussi appelé DPO, Data Protection Officer en anglais.

Le rôle du DPO est d’accompagner votre organisation en pilotant la gouvernance des données personnelles placées sous votre responsabilité.

Il supervise en travaillant en toute indépendance. Il est possible d’internaliser cette fonction comme dans les établissements publics, ou de l’externaliser :

• auprès d’un prestataire spécialiste tel qu’un avocat, un DPO indépendant,
• l’actuel CIL (Correspondant Informatique et Libertés) peut devenir le DPO et voir le champ de ses responsabilités s’agrandir.

Les missions du DPO :

• information et conseil auprès de toutes les parties prenantes professionnelles : l’entreprise responsable du traitement, ses collaborateurs internes, mais aussi externes comme les sous-traitants ;
• évaluation et vérification du respect des obligations du RGPD ;
• recommandations pour réaliser votre étude d’impact ;
• contrôle de l’exécution de cette étude ;
• collaboration avec l’autorité de contrôle : le DPO est l’interlocuteur dédié.

Ses obligations :

• se tenir informé de toutes les contraintes légales et des évolutions,
• étudier et observer quelles données sont traitées et comment,
• fournir un état des lieux,
• sensibiliser les dirigeants sur toutes les implications du règlement européen,
• mettre en place des actions pour engager les responsables,
• piloter la mise en œuvre de la conformité et effectuer un suivi dans le temps.

Ses compétences :

• maîtriser les droits informatiques et libertés,
• comprendre le fonctionnement des technologies de l’information et de la communication,
• savoir négocier,
• une fibre communicante,
• une expérience en gestion de projet.

Une certification de son expertise est conseillée au regard de l’accountability : il s’agit du principe de responsabilité qui impose à l’entreprise d’être en mesure de prouver sa conformité au RGPD par divers documents et moyens déployés.

C’est une obligation et une preuve légale : votre registre des traitements de données peut être consulté sur simple demande de la CNIL.

Ce registre démontre son utilité car il permet à une entreprise :

• de cartographier les traitements de données personnelles,
• d’avoir une vision claire sur la sécurité des données,
• de dresser un bilan complet et détaillé des procédures,
• de déterminer quelles actions mettre en œuvre pour garantir le respect de la vie privée.

L’autorité de contrôle doit disposer d’une lisibilité transparente de votre registre.

Votre registre doit donc obligatoirement répondre aux questions suivantes :

• Qui ? Le registre désigne les acteurs responsables du traitement des données à chaque étape, comme le responsable de traitements, les collaborateurs internes ou les prestataires externes à l’entreprise comme les sous-traitants ;


• Quoi ? Vous devez préciser la nature des données personnelles utilisées et les catégoriser (état civil, parcours professionnels, etc.) : ceci permet d’identifier les données sensibles comme les informations de santé, donc les risques ;


• Dans quel but ? Indiquez les finalités, décrivez les objectifs, à quelles fins sont utilisées des informations : sondage, recrutement, surveillance, profilage de clientèle, etc. ;


• Comment ? Classez vos traitements de données par finalités par exemple et détaillez les actions déployées pour sécuriser les données ;


• Où ? Le lecteur de votre registre doit pouvoir identifier l’origine et la destination des données, les transferts. Le pays et l’adresse de l’hébergeur doivent être identifiables. La traçabilité, l’historique et les flux qui transitent en dehors de l’Union Européenne doivent être indiqués.


• Jusqu’à quand ? Déterminez la durée de conservation de chaque information.

Dans un article complémentaire, un expert du RGPD vous explique comment tenir un registre des traitements avec un exemple.

Votre registre des traitements reflète votre situation concernant les principes fondamentaux du RGPD :

• le consentement,
• le respect de la vie privée,
• le droit à l’oubli (désindexation des pages web mentionnant ses données),
• le droit à la portabilité (récupérer ses informations et les transmettre à une autre organisation).

Les points de vigilance :

• la quantité et la qualité des données récoltées et traitées sont raisonnables, nécessaires et sécurisées au regard de la finalité du traitement,
• la base juridique du traitement est identifiée (obligation légale, consentement, contrat, etc.),
• les mentions d’informations et mentions légales respectent les exigences du GRPD,
• vous avez informé vos sous-traitants et ils démontrent leurs capacités à assurer un haut niveau de confidentialité et de sécurité,
• vous donnez les moyens aux personnes d’exercer leurs droits de rectification des informations, d’accès, de surpression, de consentement et de portabilité.

En fonction de vos manquements, vous devez tout mettre en œuvre pour vous conformer, mais aussi être en mesure d’apporter la preuve de votre engagement sur la bonne voie.

Vous avez identifié un risque : vous êtes dans l’obligation légale d’effectuer une analyse d’impact relative à la protection des données pour chaque traitement concerné.

Cette analyse d’impact, également appelée DPIA, Data Protection Impact Assessment en anglais, consiste à réaliser une étude complète afin de :

• déterminer la cause d’un risque et estimer le potentiel de non-conformité,
• améliorer un traitement de données pour qu’il respecte les droits des personnes,
• réunir les conditions techniques et organisationnelles nécessaires,
• prouver qu’un risque est écarté.

Votre DPIA sert à évaluer l’impact d’un traitement sur la vie privée. Cette analyse doit décrire le traitement et ses finalités, estimer le bien-fondé du traitement en tenant compte de sa finalité, identifier les risques et détailler les actions pour y remédier.

Une analyse d’impact est un excellent moyen de vérifier la conformité d’un traitement, et permet de prévenir d’un risque avant que les données ne soient exposées : c’est pour cette raison qu’il est vivement recommandé de mener une analyse d’impact en amont de la mise en place du traitement.

Le traitement de données sensibles est un exemple de traitement nécessitant une analyse : les opinions politiques ou religieuses, toute information liée à la santé, les origines raciales, les informations sur les personnes mineures, etc.

Autres sources de risques :

• de mauvaises procédures de sauvegarde ou d’hébergement de données,
• du matériel informatique obsolète ou défectueux, la vulnérabilité d’un logiciel,
• les cyber-attaques, malwares,
• l’absence de chiffrement de données.

Tous les acteurs concernés par le traitement doivent participer à l’analyse d’impact : le responsable de traitement, le responsable de la sécurité des systèmes d’information, le délégué à la protection des données, les sous-traitants.

Important : les personnes faisant l’objet d’un traitement peuvent être d’une grande utilité en donnant leur opinion sur leur expérience du traitement.

Pour garantir la meilleure protection des données possible et la maintenir sur la durée, il faut mobiliser toutes ses ressources, sensibiliser ses collaborateurs, intégrer les bonnes pratiques pour enfin les mettre en application.

Passer ses technologies au crible :

• envisager les incidents et estimer ses capacités de réaction face aux risques tels qu’un changement d’hébergeur, une faille de sécurité, une demande de rectification, etc. ;
• adopter une démarche Privacy by Design (confidentialité par conception, ou protection de la vie privée dès la conception). Il s’agit d’intégrer et de garantir un haut niveau de sécurité et de respect de la vie privée, dès la conception d’une technologie destinée au traitement de données ;
• effectuer une veille technologique et juridique constante.

Former ses équipes :

• la conformité commence par la prise de conscience. Chaque collaborateur doit être informé et sensibilisé par un plan de formation ;
• une organisation fluide et favorisant la communication est nécessaire pour faire remonter les informations importantes en temps réel ;
• une charte de bonnes pratiques spécifiant les sanctions, comportements adéquats et conseils utiles permet de mieux guider les collaborateurs et de les responsabiliser.

Donner les moyens aux propriétaires des données de disposer de leurs droits :

• chaque personne doit pouvoir accéder et rectifier ses informations, s’opposer à leur utilisation, bénéficier du droit de portabilité (…) ; vous devez être en mesure de traiter toutes ces demandes ;
• chaque personne peut exercer ses droits par messagerie internet notamment en identifiant clairement les modalités à suivre et l’interlocuteur ;
• en cas de violation de données, le propriétaire doit être averti dès que possible, l’autorité de contrôle (la CNIL) dans les 72 heures.

C’est le principe d’accountability : la responsabilité en français. Il s’agit de responsabiliser l’entreprise et de l’inciter à s’engager à respecter le cadre légal imposé par le Règlement Général sur la Protection des Données personnelles.

La GED, gestion électronique de documents, prend une part importante dans le dispositif RGPD : le tableau ci-dessous mentionne la longue liste des documents à établir et conserver.

RGPD et marketing : un expert vous explique pourquoi le consentement est une opportunité de nouer une relation client plus qualitative et de valoriser les données.

Pour réussir votre transition numérique, voici 4 types d’audit RGPD « friendly » que certains prestataires comme un DPO externalisé vous proposent déjà sur le marché :

• L’audit CNIL : des experts cartographient vos traitements, les comparent aux exigences de la CNIL et établissent un plan d’actions de mise en conformité ;


• L’audit de conformité (compliance) : cet audit réunit les exigences de la CNIL et préconise également des actions et termes de sécurité du système informatique, suite à des tests ;


• L’audit d’un sous-traitant : un professionnel étudie la réputation d’un sous-traitant auprès de sa clientèle, s’assure de sa conformité, évalue les risques liés au transfert de données et fournit un rapport appuyé de recommandations ;


• L’audit de votre site web : cet audit permet de détecter les aspects vulnérables, de mettre à jour les conditions générales de ventes et les formulaires par exemple, et de vérifier si les outils marketing sont conformes.

Conseils : comme vous devez apporter les preuves de votre mise en conformité et des moyens engagés, pensez à demander des clauses d’engagement sur les moyens mis en œuvre, ainsi qu’une documentation (que vous devez être en mesure de fournir à l’autorité de contrôle suite à chaque audit).

Bon à savoir : selon l'avis d'un spécialiste, la réussite d'un audit RGPD dépend du code de conduite adopté par l'entreprise.

Face aux menaces de fuite ou perte de données, le responsable de la sécurité informatique ou le DPO peuvent apporter leurs lumières à l’entreprise responsable de traitements.

Nous avons noté quelques solutions techniques pour vous aider à réfléchir à votre plan d’action visant à atteindre un niveau de sécurité qui satisfait aux exigences du RGPD :

• Vous pouvez mettre en place une procédure de détection automatique des données personnelles dans votre système d’information et chiffrer immédiatement les données par cryptage, anonymisation, pseudonymisation ;


• Le règlement impose la traçabilité des données : il est indispensable de prévoir un historique permanent des applications connectées aux identités pour mieux contrôler les accès ou protéger les adresses email par exemple ;


• Le processus informatique PAM (Pluggable Authentification Modules, modules d’authentification enfichables en français) permet de sécuriser la gestion des accès en la séparant du processus des logiciels demandant une authentification ;


• Pour écarter et limiter la fuite de données sensibles, les techniques DLP (Data Loss Prevention, prévention de perte de données en français) sont indiquées : elles offrent la possibilité de détecter, de contrôler et de protéger chaque donnée grâce en l’analysant ;


• Appliquer le principe du SIEM (security information and event management) pour gérer les événements liés à des informations en toute sécurité (collecte, normalisation, corrélation, etc.).

Le 23 février 2018, la CNIL annonce la fin des labels CNIL et la mise en place progressive des certifications et référentiels :

Les professionnels et entreprises rompus aux normes suivantes — ou qui ont déjà engagé une démarche qui professionnalise leur approche de la protection des données personnelles — présentent donc des avantages indéniables pour les responsables de traitement qui ont besoin d’aide pour se mettre en conformité avec le RGPD :

• Les avocats experts en matière de sécurité de l’information et de la loi sur la vie privée ;


• La certification AFAQ Protection des données personnelles de l’AFNOR qui permet de prouver les moyens mis en œuvre pour se mettre en conformité avec le GRPD au niveau technique et organisationnel ;


• Les détenteurs du label CNIL Gouvernance Informatique et Libertés témoignent d’une excellente approche en matière de gestion des données personnelles ;


• La certification ISO/IEC 27001 de l’AFNOR prouve vos compétences en matière d’identification de données sensibles et votre force de proposition pour trouver des solutions sécuritaires.

Les spécialistes de la protection des données, professionnels ou entreprises ayant obtenu des certifications ou des labels exigeants en matière de sécurité et de confiance numérique témoignent eux aussi d’une démarche GRPD « friendly » déjà engagée :

• Les prestataires de confiance certifiés AINSSI et inscrits sur la liste des prestataires reconnus par l’Agence nationale de la sécurité des systèmes d’information en France ;


• Les fournisseurs de service de confiance ayant obtenu un certificat de conformité eIDAS ;


• Le label France Cybersecurity représente une garantie en termes de confiance numérique avec une exigence particulière sur la qualité des fonctionnalités pour les utilisateurs ;


• Les entreprises qui ont obtenu le label de sécurité délivré par l’organisme d’évaluation de la conformité LSTI, qui témoigne d’un respect des normes de sécurité françaises, européennes et internationales ;


• Les organisations certifiées Cloud Confidence, la référence en matière de transparence sur la protection des données ;


• Les hébergeurs ayant obtenu la norme certifiée ISO 27001:2013 (référence internationale) qui garantit intégrité, confidentialité et traçabilité des données ;


• Les entreprises affichant la certification TRUSTe présentent un gage de confidentialité des données sur internet.

Avertissement : toutes les certifications citées sont susceptibles d’évoluer et certaines vont certainement changer de noms afin d’être officiellement reconnues par la CNIL et respecter à la lettre le cadre du RGPD.

Le logiciel en ligne (SaaS) Compliance Booster répond à toutes les exigences du règlement européen.

Il réunit tous les outils et ressources nécessaires au sein de la même plateforme pour devenir conforme au RGPD :

• une documentation informatisée afin de prouver vos processus engagés,
• la tenue d’un registre des traitements et données,
• un service juridique intégré,
• les services d’un délégué à la protection des données (DPO),
• la fourniture de la preuve de consentement est transmise dans les 72h à l’autorité de contrôle compétente dans chaque pays d’Europe (délai imposé notamment en France),
• un hébergement des données en France,
• une couverture du risque financier pouvant atteindre 90M€ en cas d’erreur commise par Compliance Booster.

Découverte de la plateforme de mise en conformité au RGPD en vidéo :

Compliance Booster offre également la possibilité de mener son audit RGPD comme son analyse d’impact : évaluation des risques, recensement des traitements et données, y compris les données sensibles pour mieux anticiper les solutions à mettre en place et éviter les pertes ou fuites de données.

Vous avez déjà trouvé votre DPO ? La plateforme est parfaitement adaptée à l’utilisateur compétent en matière de protection des données !

Par ailleurs, la conception de Compliance Booster a été réfléchie en amont par des responsables de la protection des données pour les entreprises : les fondateurs témoignent de 30 ans de pratique en termes de protection des données, de sécurité de l’information et de respect des lois sur la vie privée.

• les données des utilisateurs sont stockées de manière anonyme, sécurisée et certifiée,
• vous conservez la preuve du consentement avec une traçabilité dans le temps,
• la solution fournit toute la documentation sur les mesures et les procédures de protection,
• les données sont hébergées en France.

La solution offre notamment un système de chiffrement des données et des consentements qui protège les données des utilisateurs :

Atouts pour tous les acteurs concernés par le marketing :

• une solution d’Opt-in conforme au GRPD pour recueillir les informations de leurs clients potentiels,
• la solution communique avec votre CRM, ERP, et logiciel de marketing automation,
• Axeptio existe en plugin compatible pour les CMS et plateforme e-commerce comme PrestaShop, WordPress, Drupal, Magento, shopify.

Le travail collaboratif est mis à l’honneur dans Captain DPO : le délégué à la protection des données (DPO) peut mobiliser toutes les parties prenantes concernées par la protection des données.

Captain DPO est un outil collaboratif qui permet au délégué à la protection des données de mettre en place une gestion de projet fluide.

Tous les acteurs qui engagent leur responsabilité collaborent : responsable de la sécurité des systèmes d’information, sous-traitants, responsable du traitement, etc.

Le DPO peut recueillir les preuves et donner ses directives dans la solution.

Découverte de Captain DPO en vidéo :

Les outils intégrés au logiciel :

• audit RGPD et analyse d’impact,
• cartographie des applications connectées aux données,
• registre des traitements et données,
• gestion documentaire,
• gestion des droits utilisateurs complète,
• notifications et alertes en temps réel,
• documentation obligatoire incluse,
• assurance couvrant les pertes de données,
• hébergement des données en France.

Les dispositions légales en matière d’amende sont lourdes de conséquences sur toute organisation qui ne serait pas conforme au GRPD.

En effet, toute collecte de données — ainsi que toute utilisation, traitement, etc. — qui ne respecte pas les règles du Règlement Général sur la Protection des Données entraîne une sanction.

En cas de violation du règlement européen concernant ses données, tout citoyen peut faire valoir ses droits et prétendre à une réparation pour le ou les préjudices subis. Si la violation du RGPD est avérée, les dommages et intérêts peuvent être lourds de conséquences : outre une amende “salée”, c’est une mauvaise image qui viendra entacher la réputation de l’entité en cause.

Dans un contexte où l’entreprise responsable de traitements doit pouvoir fournir toutes les preuves telles que le registre de traitement, l’analyse d’impact, les preuves de consentements (…), une solution de mise en conformité au RGPD apporte une assistance précieuse à la fois à l’entreprise, mais aussi au délégué à la protection des données.