Le 25 mai 2018, les lois sur la protection des données au sein de l’UE ont fait l’objet d’une refonte majeure en raison de l’entrée en application du RGPD, le Règlement général de protection des données. Cette réforme législative européenne unifie et harmonise les règles en matière de protection de la vie privée dans l’ensemble de l’UE et instaure une nouvelle réglementation sur la protection des données dans l’ère numérique.
L’objectif général de la législation RGPD est de renforcer la protection des données à caractère personnel au sein de l’UE. Cette question est particulièrement d’actualité, notamment en raison du scandale de Cambridge Analytica en mars 2018 et d’autres violations de données signalées dans les médias.
Pour faire face à l’évolution du cadre légal de traitement des données qu’inclut cette nouvelle réglementation, tout comme pour suivre les évolutions constantes qu’induisent les progrès technologiques, les besoins de formation RGPD sont importants pour les organisations qui collectent des informations personnelles de clients ou d’utilisateurs.
Le cadre d’application du RGPD
L’application du RGPD est vaste et ne se limite pas aux seuls citoyens et organisations/entreprises de l’UE mais à toutes les données collectées ayant un rapport avec l’union européenne.
L’article 3 du RGPD définit que la législation s’applique ainsi au « traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union » mais aussi « traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union ».
Il s’applique donc également aux personnes concernées qui séjournent temporairement dans l’Union ou aux entreprises établies en dehors de l’Union qui traitent des données à caractère personnel des personnes concernées dans l’Union.
La législation est nécessairement complexe pour traiter chaque situation et intégrer les règles du RGPD aux différentes activités de collecte des données. C’est peut-être la principale raison pour laquelle, malgré un délai de grâce de deux ans pour incorporer la législation dans leurs politiques, la grande majorité des organisations/entreprises concernées s’estimaient mal préparées un mois seulement avant l’entrée en vigueur du RGPD.
Pourtant, un tel non-respect peut entraîner des amendes et des pénalités très sévères, voire des problèmes plus graves de réputation et, en cas de manquements extrêmes ou répétés, une ordonnance de cessation d’activité du commissaire à la protection des données.
Compte tenu des pénalités – qui peuvent s’élever à des dizaines de millions d’euros – il est essentiel que toutes les entreprises touchées par le RGPD aient mis en place des politiques adéquates pour assurer la conformité de leurs activités. Mais pour que la conformité soit totale, les employés doivent également être formés aux pratiques du RGPD.
En effet, même si la non-conformité au RGPD est le résultat d’une erreur humaine ou le fait d’un sous-traitant, elle n’est pas considérée comme une excuse opposable et la partie négligente peut toujours faire l’objet de sanctions.
Le reste du présent document exposera les domaines clés à prendre en compte dans la préparation d’un cours de formation sur la RGPD et les principales étapes sur lesquelles les organisations doivent se concentrer.
Pourquoi la formation RGPD est-elle nécessaire ?
Comme nous l’avons mentionné plus haut, si une entreprise est jugée en irrégularité par rapport au RGPD – ou pire encore, qu’une brèche se produit et que des données privées sont piratées – l’erreur humaine n’est pas considérée comme une excuse. Il est donc dans l’intérêt du responsable du traitement des données de s’assurer que tous les employés qui traitent les données des personnes concernées de l’UE ont reçu une formation adéquate au RGPD.
S’il est tentant de passer outre ces besoins de formation RGPD – les journées de formation pouvant être coûteuses et prendre du temps de la journée d’un employé – elle permet à long terme de suivre l’évolution des activités de l’entreprise en fonction des progrès technologiques et présente des avantages indéniables pour toutes les parties.
Il ne faut pas négliger que la violation de données personnelles affecte en premier lieu la « personne concernée » par le traitement de ses informations personnelles qui peut alors être victime de fraude, d’autres cyber-attaques ou de vol d’identité. Les données privées peuvent être vendues par milliers sur le marché noir, ce qui en fait une cible attrayante pour les cybercriminels.
La définition de violation des données dans le cadre du RGPD est large et intègrent des cas de violation peu importants. Par violation des données à caractère personnel, on entend une «violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données » (Article 4, paragraphe 12 du RGPD)
Comment concevoir une formation RGPD ?
Pour éviter de perdre du temps, les cours de formation RGPD doivent être adaptés à ceux qui les suivent. Les organisations qui ne traiteront jamais les données de mineurs, par exemple, n’ont pas besoin d’être formés à la manière de traiter ces données. De même, si une entreprise ne recueille jamais de données sur la santé, les employés n’ont pas besoin d’être formés dans ce domaine. Cependant, il y a certains éléments communs qui devraient être inclus dans tous les cours de formation au RGPD.
Cet article se propose de décrire les différents modules qui peuvent constituer la base d’une formation. Un grand nombre d’entre eux seront nécessaires pour tous les employés, bien que d’autres puissent être adaptées aux bénéficiaires en fonction de leurs activités et responsabilités.
Il est essentiel que tout programme de formation au RGPD soit parrainé par le responsable de l’organisation pour contribuer à la communication interne autour des implications du RGPD et assurer la bonne transmission des informations essentielles du cadre légal.
Programme de base d’une formation RGPD :
1 – Qu’est-ce que le RGPD et où s’applique-t-il ?
Il est évident qu’avant de se lancer dans les complexités de la législation de RGPD et ses implications, les participants au cours ont besoin de quelques introductions de base au cadre légal du nouveau règlement de traitement des données. Eviter les longues leçons d’histoire juridique, il s’agit surtout de se concentrer plutôt sur ce que le RGPD signifie concrètement pour l’organisation.
- Introduction à la protection des données – La protection des données est une notion vague ; la plupart des gens auront une idée de ce qu’il signifie mais l’établissement de définitions claires est nécessaire. La protection des données concerne les droits des « personnes concernées » par le traitement de leurs données, de sorte que nous sommes tous concernés par la législation sur la protection des données.
- Pourquoi le RGPD est nécessaire ?– La loi européenne antérieure au RGPD était une directive et non un règlement, de sorte que les lois sur la protection des données à travers l’UE n’étaient pas uniformes, les Etats membres faisant différentes interprétations et applications de la loi. L’ancienne directive 95/46/CE était également antérieure à l’ère numérique. Il existe encore, même dans le cadre du RGPD, certaines exclusions spécifiques possibles pour les États membres, mais les organes d’orientation de l’UE tels que le G29 (ou Groupe de travail Article 29) et le conseil d’administration de l’AEPD travaille à une normalisation commune. De plus, un bref aperçu des récents scandales liés aux données peut aider à cibler les employés.
- Portée géographique du RGPD – Le cadre du RGPD est vaste et s’applique au traitement des données à caractère personnel des personnes concernées qui se trouvent dans l’Union (l’Union européenne), il ne précise pas qu’elles doivent être des citoyens de l’Union. Le RGPD s’étend également à toute organisation qui traite les données des personnes concernées de l’UE dans l’Union, quel que soit le lieu où cette organisation contrôle ou traite les données. Il sera particulièrement important pour les employés qui traitent des données personnelles et qui font l’objet de demandes d’accès de connaître l’étendue géographique de RGPD.
- Quand s’applique-t-il ? – Le RGPD est un texte législatif complexe qui couvre un large éventail de scénarios. Toutefois, il existe également de nombreuses exceptions à cette règle. Tous les employés n’ont pas besoin de connaître les détails de ces exceptions, mais il est quand même important de les mettre en évidence. Il est essentiel que les entreprises s’attendent à une augmentation potentielle du nombre de demandes émanant des personnes concernées et qu’elles soient en mesure de traiter les nouvelles demandes telles que la portabilité et l’effacement des données.
- Lexique du RGPD – Pour aider les employés à comprendre la législation, nous recommandons de leur fournir une sorte d’information sur le langage utilisé en utilisant les définitions établies dans la législation.
2 – Principes fondamentaux de la protection des données
Le RGPD a été introduit pour unifier la protection des données dans toute l’UE, renforçant ainsi la protection offerte aux citoyens. Pour appuyer encore davantage cette protection, RGPD énonce six principes fondamentaux de protection des données qui guident l’ensemble de cette législation.
L’importance de ces principes ne doit pas être sous-estimée et tous les employés doivent être informés de leur existence.
- Types de données personnelles – Avant d’expliquer comment les données personnelles doivent être protégées, les employés doivent d’abord savoir de quoi il s’agit. La définition de « données à caractère personnel » désigne toute information concernant une personne physique identifiée ou identifiable (« personne concernée ») ; une personne physique identifiable est une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, une donnée de localisation, un identifiant en ligne ou à un ou plusieurs facteurs spécifiques de l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique ; Dans le cadre du RGPD, il existe également une catégorie spéciale de « données à caractère personnel sensibles » qui exige des garanties supplémentaires et le règlement prévoit des orientations spécifiques concernant le traitement des données pénales et traitées par l’État.
- Légalité, loyauté et transparence – Avant que les données ne soient collectées ou traitées de quelque manière que ce soit, les organisations responsables doivent s’assurer qu’il existe une base juridique adéquate pour effectuer ce traitement. Le RGPD définit les 6 bases juridiques suivantes : le consentement, l’exécution d’un contrat, un intérêt légitime, la protection d’intérêts vitaux, lorsque le traitement des données est dans l’intérêt public, et enfin l’exécution d’une obligation légale. Les médias mettent souvent fortement l’accent sur le consentement et l’intérêt légitime, mais il ne s’agit là que de deux des six bases juridiques du traitement des données. Les personnes concernées peuvent retirer leur consentement ou s’opposer à un traitement dans un intérêt légitime. Par conséquent, il est essentiel que l’entreprise utilise la base la plus appropriée à sa situation et aux données qu’elle recueille. Les entreprises doivent toujours être transparentes et, lorsque le consentement est la base, le retrait du consentement, par exemple, doit être aussi facile que son octroi.
- Minimisation des données – les organisations qui collectent des données privées ne doivent pas collecter plus d’informations que nécessaire pour l’objectif préétabli. C’est le concept clé de la protection de la vie privée par défaut et par conception.
- Limitation de la finalité – Avant que les données ne soient traitées, l’organisation doit décider et expliquer à la personne concernée comment elles seront utilisées et traitées. Lorsque les données sont traitées, elles ne peuvent être utilisées à d’autres fins sans le consentement explicite de la personne concernée.
- Droit de rectification – Toutes les données doivent être collectées et conservées de manière précise et régulière et le droit de modification/suppression précisé et respecté pour toute personne concernée qui en fait le demande.
- Intégrité et confidentialité – Aucune personne non autorisée ne devrait pouvoir accéder aux données à caractère personnel, et ceux qui y ont accès ne doivent pas les partager avec d’autres, sauf si cela est nécessaire pour le traitement.
- Limite de conversation des données – La plupart des types de données ne peuvent pas être stockés indéfiniment. La période de stockage est généralement convenue avant que les données ne soient collectées et doit être définie dans la politique de conservation de l’organisation. Certaines catégories de données, comme les données sur la santé, présentent des conditions particulières.
3 – Droits de la « personne concernée »
La « personne concernée » est la personne à laquelle les données personnelles appartiennent. Les personnes concernées sont au centre de RGPD, car ce sont leurs droits qui sont protégés.
La législation prévoit un certain nombre de droits spécifiques accordés aux personnes concernées. Tout employé qui traite directement avec la personne concernée ou qui assure le traitement des données devrait connaître ces droits. Les organisations doivent s’assurer qu’elles sont préparées pour faire face à une augmentation probable du volume des demandes des personnes concernées et former le personnel de première ligne en conséquence.
- Droit d’accès aux données collectées – Après le traitement des données, les personnes concernées doivent toujours pouvoir demander au responsable du traitement et/ou au sous-traitant une copie de toute donnée à caractère personnel qui a été traitée, sans retard injustifié.
- Droit à la transportabilité des données – Si la personne concernée souhaite changer de fournisseur, elle doit pouvoir obtenir les données dans un format numérique lisible par des outils standards.
- Droit d’opposition – Si une personne concernée ne souhaite pas que ses données soient traitées, elle a le droit de s’opposer au traitement des données et d’en empêcher la poursuite.
- Droit de limiter le traitement – Tout comme le droit d’opposition, si une personne concernée n’est pas à l’aise avec certains aspects du traitement des données, elle peut limiter le traitement des données en demandant que ses données ne soient pas utilisées de certaines manières. Toutefois, tout traitement qui a été exécuté reste valable.
- Droit de rectification – Si une personne concernée constate des inexactitudes dans les données traitées, elle peut demander que des modifications soient apportées pour corriger ces erreurs.
- Droit d’effacement – Peut-être le plus connu des nouveaux droits relatifs aux données, le « droit à l’oubli » garantit que les personnes concernées peuvent faire effacer complètement leurs données par le responsable ou le sous-traitant.
- Droit de réclamation – Si la personne concernée estime avoir été traitée injustement par un responsable du traitement ou un sous-traitant, elle peut présenter une réclamation formelle à une autorité de contrôle.
- Droit à la représentation – Les personnes concernées qui ont déposé une réclamation (voir ci-dessus) ont le droit d’être représentées par un organe indépendant.
4 – Le rôle du responsable du traitement des données
Dans le cadre du RGPD, le responsable du traitement est défini comme l’organe qui exerce un contrôle global sur la finalité de la collecte et la manière dont les données à caractère personnel sont traitées.
Dans la mesure où ils prennent effectivement le contrôle de la gestion des données de la personne concernée, ils ont un certain nombre de responsabilités à l’égard de cette dernière. Fondamentalement, ils doivent s’assurer que toutes les activités, y compris celles des sous-traitants qu’ils peuvent engager, sont conformes au RGPD.
Cette partie de la formation RGPD est particulièrement importante pour les cadres supérieurs qui supervisent les activités.
- Modalité de stockage des données – Parallèlement au droit d’accès de la personne concernée et à la portabilité des données, le responsable du traitement doit stocker les données d’une manière facilement accessible et transférable.
- Transparence – Dès le moment où il s’engage avec la personne concernée, le responsable du traitement doit être clair et transparent sur la manière dont les données seront traitées, l’endroit où elles seront stockées, les protections à appliquer et la durée pendant laquelle les données seront stockées.
- Responsabilité – Toutes les étapes du traitement, les contrats éventuels entre le responsable du traitement et un tiers ou les informations fournies à la personne concernée doivent être consignés. De plus, il doit y avoir un compte rendu à jour de la façon dont les politiques sont adaptés au RGPD au sein de l’organisation.
- Contrats – Les contrôleurs doivent s’assurer que tous les contrats avec les sous-traitants sont conformes au RGPD, car en vertu du RGPD, ceux-ci ne peuvent traiter des données personnelles que sur instructions écrites du responsable du traitement.
5 – Responsabilité des sous-traitants
De nombreuses organisations font appel à un tiers, sous-traitant, pour organiser la collecte ou effectuer l’analyse des données. Pour l’essentiel, les sous-traitants sont tenus de se conformer aux mêmes règles que le responsable du traitement donneur d’ordre, et respecter la confidentialité et l’intégrité des données.
La responsabilité du donneur d’ordre est engagée par l’action de son sous-traitant et il doit vérifier que ce dernier est en conformité avec le RGPD. En effet, le sous-traitant ne doit traiter des données à caractère personnel que sur la base des instructions écrites du responsable du traitement.
- Contrats – Avant de traiter des données personnelles, le responsable du traitement et son sous-traitant doivent décider comment les données seront collectées et quelles actions seront effectuées. Le contrat doit également préciser les mesures qui seront prises pour protéger les données et qui sera responsable de chaque élément de la protection des données en cas de violation.
- Traitement des données – Toutes les données doivent être traitées conformément au contrat préétabli. Le sous-traitant doit également s’assurer qu’ils respectent les droits de la personne concernée, tels que le droit d’opposition ou le droit de rectification.
- Sécurité des données – Les sous-traitants doivent disposer de garanties adéquates pour protéger les données à caractère personnel de la personne concernée.
6 – Collecte de données conformes au RGPD
La première étape de toute forme de traitement de données est la collecte des informations personnelles des personnes concernées. Les employés impliqués dans cette activité auront généralement des interactions directes avec la personne concernée, mais la collecte automatisée est un moyen de plus en plus important de collecte de données. Bien qu’il soit plus compliqué d’assurer le respect du RGPD lorsque les données sont recueillies par de tels moyens, il est encore possible de le faire.
- Définition du « consentement éclairé » – Le consentement éclairé signifie essentiellement que lorsqu’une personne concernée accepte le traitement de ses données, elle sait exactement comment les données seront utilisées et pourquoi elles sont utilisées à cette fin. Tout employé qui recueille des données manuellement doit être informé de la réglementation RGPD puisqu’il devra répondre à des questions à son sujet.
- Consentement des mineurs – En vertu du RGPD, toute personne âgée de moins de 16 ans ne peut donner son consentement éclairé, mais le réglement précise que les États membres de l’UE peuvent abaisser cette limite à 13 ans s’ils légifèrent en ce sens (ce n’est pas le cas de la France actuellement). Pour ceux qui n’ont pas l’âge spécifié, le consentement peut être donné par un parent ou tuteur légal.
- Cas particuliers de collecte de données – Il y a inévitablement des exceptions aux règles ci-dessus. Par exemple, si la collecte de données est nécessaire pour des raisons de sécurité nationale ou liées à un crime, le consentement n’est pas nécessaire. La plupart des employés ne seront jamais confrontés à de tels cas, mais ils devraient être avisés de la manière d’y faire face au besoin.
- S’appuyer sur une base adaptée au traitement – Les organisations qui se fondent sur le consentement ou l’intérêt légitime doivent se demander si les bases définies pour le traitement de données collectées sont les plus adaptées à leurs objectifs. Un contrat peut constituer une base plus solide pour l’entreprise et appropriée au traitement. Rappelez-vous que le consentement peut être retiré et que l’intérêt légitime peut faire l’objet d’une objection. Les organisations ne doivent pas chercher de raccourcis pour traiter les données à caractère personnel dont elles ont besoin et pouvoir justifier les motifs du traitement.
7 – Exigences relatives au mot de passe et à la protection des données
La formulation du RGPD garantit qu’il n’aura pas besoin d’être constamment mis à jour – il reste vague et ne précise pas comment les données devraient être traitées. Toutefois, le règlement exige que toutes les garanties possibles soient mises en œuvre pour protéger les données de la personne concernée.
Certaines mesures de protection clés sont décrites ci-dessous. C’est au personnel d’encadrement, au délégué à la protection des données (DPD) et à l’équipe de sécurité qu’il appartient de décider de la manière exacte dont ils doivent être mis en œuvre et ses implications sur les besoins de formation RGPD des personnels.
- Mots de passe – Classifiés comme mesure de protection technique, les mots de passe sont familiers à toute personne qui utilise la technologie. Les experts ne s’entendent pas sur la fréquence à laquelle ils devraient être modifiés, bien que tous s’entendent pour dire qu’ils devraient contenir un ensemble complexe de lettres, de chiffres et de caractères spéciaux. Les technologies qui offrent des niveaux de protection équivalents (comme l’authentification à deux facteurs) peuvent également être utilisées.
- Chiffrement – Encore une fois, un terme familier, bien que de nombreux employés ne savent pas ce que cela signifie. Expliquer comment cela protège les données et comment les employés peuvent les utiliser dans leur travail quotidien peut aider à prévenir les atteintes à la protection des données.
- Garanties administratives – Les garanties techniques, bien qu’importantes, ne sont pas le seul moyen de protéger les données. Les garanties administratives peuvent être très importantes, surtout s’il y a eu violation. Il est essentiel d’expliquer aux employés l’importance de savoir à qui s’adresser ou comment tenir des dossiers de registre. La mise en œuvre de procédures permettant au personnel de se connecter lorsqu’il travaille à distance est essentielle.
- Mesures de protection physiques – Il y a plusieurs mesures simples que n’importe quel employé peut prendre pour aider à protéger les données. Qu’il s’agisse de mettre en place des politiques de sécurité claires ou de veiller à ce que tous les bureaux aient des portes verrouillables, toute mesure peut contribuer à la protection des données sur le plan physique.
- Anonymisation et pseudonymisation – L’utilisation de ces techniques pour protéger les données signifie que l’entreprise peut protéger davantage les informations personnelles et que les contraintes légales du RGPD sont réduites.
8 – Faire face aux atteintes à la protection des données
Malheureusement, les atteintes à la protection des données sont une quasi-inévitabilité. Aussi bonne soit la technologie de protection mise en place, les outils permettant aux criminels de lancer des cyberattaques ne sont jamais loin derrière. Tous les membres du personnel associés au traitement des données doivent être informés de la façon de réagir en cas d’infraction, même si pour la plupart d’entre eux, cela impliquera qu’ils en informent leurs supérieurs qui s’occuperont ensuite de l’infraction.
- Autorités de surveillance – Tous les États membres de l’UE doivent désigner une autorité de surveillance. Ces organismes régissent la conformité du RGPD au sein de l’État et s’occupent de toute atteinte à la protection des données qui pourrait survenir. Lorsqu’il s’agit de signaler un manquement à une autorité de contrôle, il faut fournir le plus de détails possible sur le manquement afin de décider de la ligne de conduite à suivre et des sanctions qui s’appliqueront.
- Signalement de l’infraction – Après la découverte d’une infraction, le responsable du traitement et/ou le sous-traitant ne dispose que d’un délai de 72 heures au maximum pour la signaler à l’autorité de contrôle compétente.
- La personne concernée – Toute personne susceptible d’avoir été affectée par le manquement doit être informée si celui-ci présente un risque élevé pour ses droits et libertés. Cela est quelque peu subjectif pour l’organisation, mais les personnes concernées ont également le droit de porter plainte auprès des autorités chargées de la protection des données si elles ne sont pas informées à la suite d’une violation de leurs données.
9 – Analyse d’Impact relative à la Protection des Données (AIPD)
Les analyses d’impact relative à la protection des données (AIPD), autrement appelé DPIA pour Data Protection Impact Assessments enanglais, sont utiles pour aider les organisations à se conformer au RGPD.
Essentiellement, elles identifient les domaines clés dans lesquels les politiques doivent être mises à jour, et évaluent les moyens possibles d’améliorer la protection des données.
- Protection de la vie privée et conformité au RGPD – Si l’AIPD identifie des scénarios dans lesquels les données personnelles demeurent vulnérables, les entreprises doivent atténuer le risque ou peut-être ne pas traiter les données du tout. L’AIPD doit amener tout traitement à niveau de risque élevé vers un traitement à risque moyen ou faible.
- Nouvelles technologies – La cybersécurité progresse rapidement et il existe une myriade de nouvelles technologies qui peuvent être utilisées pour mettre à jour les politiques existantes. Les AIPD doivent être en mesure d’identifier les nouvelles technologies accessibles et permettre de concevoir des politiques pour les mettre en œuvre. Dans le cadre du RGPD, où les données peuvent être rendues totalement anonymes, les mêmes contraintes prévues par la loi peuvent être exemptées.
- Consultation préalable – Lorsque des vulnérabilités ont été identifiées, le responsable du traitement et/ou le sous-traitant doit demander l’avis de l’autorité de contrôle avant tout traitement ultérieur pour obtenir des conseils et indications sur les étapes à suivre.
10 – Rôle des délégués à la protection des données
Il est fortement recommandé que chaque responsable du traitement désigne un délégué à la protection des données (DPD) spécifique (en anglais DPO pour Data Protection Officer). Tous les employés associés à la collecte ou au traitement de données doivent être informés de l’existence et du rôle du DPD et des moyens de le contacter.
- Objectif du DPD – Le rôle du DPD peut se résumer à des fonctions d’éducateur, de conseiller et de superviseur. Ils sont chargés de concevoir des cours de formation (comme celui-ci) et de fournir des informations générales aux employés sur la conformité des données. Ils doivent également superviser toutes les activités liées aux données et donner des conseils à ceux qui ne sont pas certains de la meilleure façon de se conformer au RGPD.
- Indépendance – Le DPD doit être indépendant du responsable du traitement et du sous-traitant afin de s’assurer qu’il peut accomplir son travail sans parti pris. Il ne peut pas y avoir de conflit d’intérêts si le DPD occupe un autre poste dans l’entreprise.
11 – Conséquences de la non-conformité
La non-conformité au RGPD est un problème grave car elle soumet la vie privée de tout utilisateur du service d’une organisation à un risque de fraude, de vol d’identité ou d’autres activités malveillantes.
Pour faciliter l’application de la législation, le RGPD prévoit plusieurs peines à l’encontre des responsables en cas de non-conformité. Informer les employés de ces sanctions peut également renforcer le respect des règles du RGPD.
- Amendes administratives – Il existe deux types d’amendes financières pour les infractions au RGPD : une amende standard de 10 à 20 millions d’euros ou une amende de 2 à 4 % du chiffre d’affaires global de l’entreprise. Le montant de l’amende dépend de la nature de l’infraction et de la manière dont elle a été traitée, bien qu’il soit en fin de compte laissé à la discrétion de l’autorité de contrôle. Le Commissaire à la protection de la vie privée peut également ordonner à une organisation d’arrêter le traitement des données.
- Poursuites judiciaires – Les personnes concernées ont le droit d’introduire un recours judiciaire devant les tribunaux en cas de désaccord entre elles et le responsable du traitement. La procédure se déroulera soit dans l’État membre dans lequel le responsable du traitement a son siège, soit dans l’État dans lequel réside la personne concernée.
- Indemnisation – Si une personne concernée a subi un préjudice en raison d’une violation du RGPD, elle peut demander une indemnisation financière auprès du système judiciaire.
- Sanctions imposées par les États membres – Les amendes administratives décrites ci-dessus constituent la base des sanctions qui peuvent être appliquées par les États membres. Certains États peuvent choisir d’imposer des peines supplémentaires, y compris des peines d’emprisonnement.
12 – Sur quels domaines se concentrer pour se mettre en conformité avec le RGPD ?
Cette partie se veut un bref résumé des principaux domaines sur lesquels les organisations devraient travailler pour assurer leur conformité au regard du RGPD.
- Cartographie et inventaire des données – Les organisations doivent commencer par étudier la nature les données personnelles qu’elles détiennent et faire une cartographie des systèmes, des catégories de données et des flux entrants et sortants de l’organisation. Vous ne pouvez pas planifier une mise aux normes RGPD sans savoir ce que vous détenez exactement. L’organisation détient-elle des données sensibles telles que définies par le RGPD ? Dans l’affirmative, des mesures de protection supplémentaires sont nécessaires.
- Collecte ou traitement – il s’agit ensuite de situer l’organisation sur le spectre de la collecte au traitement des données en fonction de l’utilisation qu’elle en fait. Toute organisation est au moins un jour concernée par la collecte des données, ne serait que pour les informations personnelles de ses employés.
- Analyse des risques et plan de projet – Une fois les deux premières étapes achevées, procéder à une analyse des risques au regard de l’activité de l’organisation et sur ce qu’elle doit mettre en œuvre pour se conformer au RGPD. Cela suppose de construire un projet qui doit s’appuyer sur plusieurs étapes et échéanciers.
- DPD et AIPD – Les organisations doivent décider si elles ont besoin d’un DPD ou non et s’il s’agit d’un DPD interne ou externe. Un critère clé à respecter est que ce dernier soit expert sur la réglementation RGPD et indépendant. L’Organisation doivent identifier les DPD qui sont nécessaires au regard de ses activités.
- Article 30 – Le RGPD prévoit la tenue d’un registre du traitement des données. C’est une étape clé dans le cadre du RGPD. Toutefois, les organisations de moins de 250 salariés en sont exemptées.
- Formation et sensibilisation – Evaluer les besoins de formation RGPD pour tout le personnel, mais pas nécessairement au même niveau. L’organisation doit disposer d’une équipe formée, prête à répondre aux diverses demandes des personnes concernées et à y répondre. Il faut également s’assurer que les systèmes de l’organisation peuvent également gérer les demandes des personnes concernées. Des phases de test sont importantes à cette étape pour s’assurer que les temps de réponse sont respectés.
- Transferts internationaux de données – Le transfert de données en dehors de l’UE doit se faire sur une base adéquate et encadrée par le RGPD.
- Documents de suivi – Les organisations auront besoin de mettre en place des documents de suivi des politiques à jour sur la gouvernance des données, la conservation, la protection de la vie privée et les atteintes à la protection des données.
- Protection de la vie privée par défaut et par dessein – Les organisations assujetties à la réglementation sur la protection de la vie privée doivent placer la protection de la vie privée par défaut et par dessein au cœur de toutes leurs activités, en réduisant au minimum les données recueillies et en les conservant uniquement à des fins précises.
- Systèmes informatiques – Il est essentiel d’améliorer la sécurité des données à caractère personnel pour assurer la conformité au RGPD. L’anonymisation et la pseudonymisation peuvent contribuer à en assurer la conformité.
Quels besoins de formation au RGPD ?
Comme le montre ce résumé du programme d’une formation au RGPD, les implications de la loi ne peuvent être simplifiées à un seul cours de formation : la réglementation est trop complexe et couvre trop de scénarios différents au regard des multiplicités de traitement et collecte des données à caractère personnel.
La formation RGPD est donc nécessaire mais elle doit prendre la forme de séances brèves et régulières pour s’adapter aux bénéficiaires et suivre l’évolution des savoirs. C’est la meilleure façon de prévenir les erreurs humaines qui mènent à une non-conformité au RGPD contraire aux obligations de l’organisation.