Le RGPD ou Règlement Général sur la Protection des Données est entré en vigueur le 25 mai 2018. Il oblige tout organisme public ou privé, traitant des données personnelles et établi sur le territoire de l’Union Européenne, à se mettre en conformité. Les logiciels RGPD apportent des solutions pour traiter efficacement les données. Le non-respect de cette loi peut exposer une entreprise à une amende de 20 millions d’euros ou 4 % de son chiffre d’affaires annuel. Ainsi, pour garantir la conformité, il convient de vérifier certains points.
Logiciel de conformité RGPD : son fonctionnement
Un logiciel RGPD est un outil qui permet de se conformer au RGPD. Il est utilisé pour réaliser des audits de conformité. Ces derniers permettent d’évaluer votre entreprise, notamment les risques éventuels et le plan d’action choisi. De plus, l’outil est régulièrement mis à jour.
Par ailleurs, un logiciel RGPD doit établir et tenir les registres des traitements de données personnelles à jour. Ces dernières sont centralisées. Quant aux données sensibles, elles doivent être identifiées et sécurisées. Enfin, cet outil doit inclure un programme de gestion des consentements pour gérer l’accès aux données personnelles.
Un logiciel performant doit pouvoir prendre en charge les registres de traitements, assurer le respect des données privées et réunir des preuves en cas de contrôle par la CNIL. Pour plus d’informations sur le logiciel conformité rgpd, vous pouvez voir ici.
Le principe de collecte des données est-il respecté ?
Il existe deux principes de collecte des données :
Le principe de collecte licite des données
Ce principe consiste à informer une personne que ses données vont être collectées par une entreprise. La collecte doit se faire directement auprès de la personne concernée par le biais de mentions d’informations. Celles-ci vont préciser les conditions exactes de l’utilisation des données. Si une collecte se fait sans consentement, elle est punie par le RGPD. Cependant, il existe certaines exceptions. Ce sont les « zones grises » qui concernent le parrainage ou la prospection commerciale.
Le principe de la proportionnalité
Le principe de proportionnalité se base sur le fait qu’un professionnel a le droit de collecter autant de données qu’il le souhaite dès lors que ces dernières restent proportionnées, adéquates, pertinentes et nécessaires au regard de la finalité poursuivie. Ainsi, si une entreprise recueille des données relatives à la nature physique d’un individu (couleur des yeux, couleur de peau…), elle est disproportionnée et non conforme au RGPD.
La sécurité des données est-elle assurée ?
Pour se mettre en conformité, il est important de s’assurer de la sécurité des données. De ce fait, il est indispensable de fournir des preuves. Pour ce faire, il convient d’installer un serveur entièrement sécurisé qui propose :
- un cryptage des données ;
- des mesures de protection des logiciels ;
- un contrôle d’accès des utilisateurs ;
- la sauvegarde des données.
Il convient de noter que vos partenaires et les sous-traitants sont aussi dans l’obligation de respecter ce point parce qu’en cas de problèmes, vous en serez tenu responsable.
Le droit à l’oubli est-il respecté ?
L’article 5 du RGPD stipule que tout traitement doit être limité dans le temps. De plus, il est obligatoire de définir une durée de conservation des données. Les personnes concernées doivent aussi être faciles à identifier pendant une certaine période qui n’excède pas celle nécessaire à l’atteinte de l’objectif. La durée en question varie en fonction des données et des finalités. Elle peut être recommandée par la CNIL. Les données de paie peuvent, par exemple, être conservées pendant 5 ans, celles liées à la vidéosurveillance pendant 1 mois et celles du milieu médical pendant 10 ans.
Les données à caractère personnel ont 3 cycles de vie. On distingue :
- les données courantes : ce sont les informations utilisées tous les jours ;
- les données intermédiaires : les archives et les dossiers conservés pour pouvoir justifier certaines obligations légales ;
- les données définitives : elles sont définitivement supprimées.
La collecte des données sensibles
Dans le cadre d’une collecte de données sensibles, le consentement de la personne concernée est requis. Il doit donner son accord express. C’est une pratique très risquée pour une entreprise. Les données sensibles concernent : les opinions politiques, les origines raciales ou ethniques, les convictions religieuses ou philosophiques, les données biométriques et génétiques, les informations sur la santé ou la vie sexuelle et l’appartenance syndicale. Il faut noter que les données personnelles relatives aux condamnations pénales et aux infractions ne peuvent être traitées que sous le contrôle d’une autorité publique.
Le respect des droits des personnes fichées
Il s’agit de respecter les droits des personnes dont les données sont traitées par une entreprise.
Le droit à l’effacement
Selon l’article 17 du RGPD, une personne bénéficie du droit d’effacer ses données à caractère personnel dans les meilleurs délais. Elle peut faire valoir ce droit sans avoir à se justifier. Le responsable de traitement sera obligé de prouver pourquoi il n’efface pas certaines données, notamment les données pertinentes et proportionnées. Voici quelques raisons qui justifient l’effacement des données :
- elles sont non-conformes au RGPD : expiration du délai de conservation ;
- le consentement qui fondait le traitement a été retiré ;
- les données de mineurs ont été collectées sur internet ;
- les données ne sont plus nécessaires au regard des finalités.
Le droit d’accès à l’information
Les personnes fichées peuvent accéder à leurs données et exiger leur rectification. Elles peuvent aussi s’opposer au traitement de leurs données et demander à les effacer.
La transparence du traitement
Cela permet d’informer les personnes sur tout ce qui concerne leurs données (pourquoi, comment, où, par qui et qui y a accès).
Le droit de suite
Il permet d’informer les personnes dès que leurs données sont supprimées.
Le consentement
C’est une base légale permettant de traiter les données personnelles. Le consentement doit être spécifique, éclairé et libre. Un acte positif claire et univoque est requis pour le manifester. Ainsi, le silence et la case cochée ne sont pas valides.
La portabilité des données
Les données communiquées à une plateforme peuvent être récupérées dans un format adéquat pour être transmises à un concurrent.
La désignation d’un DPO ou Data Protection Officer
La désignation d’un DPO est obligatoire dans les cas suivants :
- la structure traite des données sensibles ;
- la structure réalise un suivi régulier des personnes à grande échelle ;
- le traitement est réalisé par une entité publique.
Par contre, elle est facultative dans d’autres cas. Néanmoins, les autorités de protection européennes encouragent les entreprises à désigner un délégué. En effet, cela permet de confier l’identification et la coordination des actions mener à un professionnel. Le recours à son expertise assure le respect du RGPD.
La documentation de la mise en conformité
Tout d’abord, il s’agit de faire le point sur la gouvernance. En effet, il convient de désigner des personnes pour appliquer la réglementation. Ainsi, il est recommandé de formaliser une matrice des responsabilités sur un fichier Excel. Vous pouvez y préciser les tâches respectives du personnel et les informations nécessaires pour garantir la sécurité des traitements. Ensuite, vous devez réaliser une étude d’impact. Il s’agit d’analyser les risques en matière de protection des données. Enfin, il est nécessaire de recueillir toutes les preuves de conformité en prenant en compte les éléments suivants :
- la cartographie des activités de traitements : contrats conclus, données, modalités d’archivage et de conservation, prestataires, flux… ;
- la cartographie des risques ;
- la tenue des registres pour décrire les activités des traitements dans un document ;
- l’obtention d’une certification ;
- l’adhésion à des codes de conduite.
