RGPD et gestion des données personnelles : la fin du laxisme dans les entreprises

Après un premier article consacré à la désignation d’un délégué à la protection des données (DPD / DPO) et au recueil du consentement des destinataires de vos campagnes marketing, je me penche aujourd’hui avec les membres et amis de la DIGITAL LEAGUE (Thema League RGPD) sur l’enjeu de la gestion et du stockage des données personnelles dans le cadre de l’entrée en vigueur, à partir du 25 mai 2018, du Règlement général sur la protection des données (RGPD / GPDR).

La protection des données personnelles

L’application du RGPD impose aux entreprises de repenser leur système de stockage des informations sur leurs clients comme sur leurs collaborateurs. Pour vous mettre en conformité, vous devez avant toute chose instaurer des dispositifs de sécurité technique et organisationnelle adaptés à la nature des données conservées et documenter cette mise en conformité.

Qu’est-ce qu’une donnée personnelle ?

D’après l’article 2 de la loi « Informatique et libertés » : « Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».

Pour la CNIL (Commission nationale de l’informatique et des libertés), les données sont ainsi « à caractère personnel » dans la mesure où elles permettent d’identifier une personnes physique directement ou indirectement – nom, numéro de téléphone, adresses e-mail et postale, date de naissance, informations de santé mais aussi photographie, adresse IP, coordonnées GPS, informations de santé peuvent être considérées comme données personnelles si elles permettent, par recoupement, d’identifier une personne.

Si le stockage ou le traitement de vos données est sous-traité, il est notamment de votre responsabilité de vérifier que votre prestataire répond aux exigences du RGPD en termes de sécurité et de confidentialité des données et fournit des garanties suffisantes contre leur perte, leur destruction, leur altération, ou encore leur accès et leur diffusion sans autorisation.


Vous êtes sous-traitant ? Téléchargez le Guide du sous-traitant RGPD de la CNIL.

À noter : le transfert de données personnelles hors UE est interdit par le RGPD, sauf si le pays ou prestataire destinataire garantit un niveau de protection suffisant. La CNIL a produit une carte de la protection des données dans le monde : l’Argentine, le Canada et les États-Unis sont considérés comme adéquats par l’UE.

L’archivage des données

La CNIL distingue 3 types d’archives :

  • la base active (ou archives courantes) ;
  • les archives intermédiaires (accès restreint avant suppression) ;
  • les archives définitives (pas de destruction prévue en raison d’un intérêt scientifique, historique ou statistique – cette base doit être conservée sur un support indépendant, dans l’idéal).

L’archivage des données doit être à la fois sélectif, limité dans le temps et d’accès restreint. Seules les informations nécessaires doivent être conservées et un système de gestion des droits d’accès doit donc être mis en place. Vous devez également définir pour chaque type de données une durée de conservation cohérente avec l’objectif poursuivi lors de la collecte initiale d’informations, et les supprimer une fois cet objectif atteint.

Quelle durée de conservation pour quelle donnée ?

La durée de conservation des données est relative à leur nature, mais dépend également des obligations légales s’appliquant pour certaines d’entre elles. Dans un article sur la limitation de la conservation des données, la CNIL donne plusieurs exemples :

  • « Dans le cas d’un dispositif de vidéosurveillance, la conservation des images ne peut excéder 1 mois.
  • Les données relatives à la gestion de la paie ou au contrôle des horaires des salariés peuvent être conservés 5 ans.
  • Lors d’un achat sur internet, les coordonnées de la carte bancaire du client ne peuvent être conservées que le temps de réalisation de l’opération de paiement.
  • Les coordonnées d’un prospect qui ne répond à aucune sollicitation pendant 3 ans doivent être supprimées.
  • Les données figurant dans un dossier médical doivent être conservées 10 ans. »

 

Certaines de vos données sont archivées au format papier ? Elles sont évidemment concernées par la nouvelle législation : protégez leur accès et détruisez-les en temps et en heure ! Vous devez également être en mesure de tracer la consultation de l’ensemble des données personnelles archivées.


RGPD – Les 6 étapes à suivre pour se mettre en conformité.

Le droit à l’effacement / droit à l’oubli

L’article 17 du RGPD stipule que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant ». Le droit d’accès aux données, quant à lui, permet à un individu d’obtenir l’ensemble des données le concernant (base active et archives). Votre entreprise doit donc établir des procédures claires pour être en mesure de répondre à une demande d’accès, de modification ou de suppression de données personnelles. Bien sûr, cette suppression n’est possible qu’à condition que la conservation des données ne soit pas imposée par la loi. Astuce : ne vous précipitez pas à tout automatiser ! À compter de la réception de la demande d’effacement, vous aurez un mois pour répondre, délai qui peut être prolongé à deux mois si la complexité ou le nombre de demandes le justifie. Prévoyez un traitement manuel et, si les demandes affluent, automatisez le traitement. Qui va piano va sano.


Consultez le document de la CNIL sur les droits liés aux données à caractère personnel.

Il est crucial que l’information circule de façon optimale au sein de l’entreprise parmi les collaborateur·trices ayant accès à des informations à caractère personnel lors d’une demande de modification ou de suppression. Le responsable du traitement doit informer les équipes pour éviter les copies et exports égarés. Pour résumer : après avoir réalisé un audit de l’utilisation et du stockage des données à caractère personnel au sein de votre entreprise, documentez avec précision les efforts de mise en conformité réalisés (processus, limitations des accès, gestion des consentements, désignation d’un DPO, fiabilité des prestataires, finalités explicites de la collecte de données, etc.).

Rendez-vous pour notre dernier article consacré au sujet, qui portera sur les mesures d’anonymisation et de pseudonimisation des données !

 

Merci à Jean-Baptiste de la société Akuitéo pour la rédaction de cette article !

« Retrouvez l’article orignal et bien d’autres sur le mag akuiteohttps://www.akuiteo.com/blog »