Retour Thema RGPD

1 an après, que s’est-il passé ?

vendredi 24 mai – Saint-Etienne
Retour sur notre #Thema League RGPD

Sommaire :

I. L’évolution depuis la RGPD : récap’
a. Pour quel motif la CNIL agit-elle ?
b. Sur quoi la fuite de données impacte-t-elle ?
c. Quelles sont les données sensibles ?
II. Quiz
10 questions/réponses
III. Conformité RGPD
a. Droit du contrat : quelles informations à afficher ?
b. Contrat : réglementation droit du travail
c. Les bonnes choses à connaître (droit du travail)
d. La mise en conformité : ce n’est pas juste le registre !
TO DO
IV. Nos experts

L’évolution depuis la RGPD : récap’

Quelques chiffres

Entre 2017 et 2018, +30% de plaintes ont été enregistrées en France.

Quelques sanctions -amendes-

Pour quel motif la CNIL agit-elle ?

Violation des données

Un exemple avec la CNIL portugaise qui applique une sanction de 400 000 000€ d’amende à un établissement de santé qui, anté-RGPD, n’avait aucun système de gestion des utilisateurs, des failles de sécurité et pas d’anti-virus ce qui a conduit à une fuite importante de données.

Bonne pratique : toute fuite de données doit être déclarée à la CNIL, par la société concernée, pour savoir s’il faut informer les utilisateurs ou non.

1170 fuites ont été recensées entre 2017 et 2018.

Sur quoi la fuite de données impacte-t-elle ?

  • l’accessibilité
  • la confidentialité
  • l’intégrité

Pour n’importe quel type de données.
Dans le cas ci-dessus, si un employé (médecin, chirurgien, infirmier, etc.) de l’hôpital n’a pas accès au dossier d’un patient, cela peut avoir de graves conséquences sur la vie de ce dernier.

Quelles sont les données sensibles ?


AIPD : analyse d’impact relative à la protection des données

  • le numéro de sécu
  • la sexualité
  • la religion
  • le casier judiciaire (condamnation etc.)
  • les données biométriques

Vous avez 3 ans pour vous mettre en conformité AIPD !
Pour les entreprises, il s’agit d’être conforme sur, au moins, la partie RH (sécurité des employés).

Après ce récapitulatif RGPD, nos experts nous ont proposé un quiz de 10 questions pour tester nos connaissances.

Quiz :

1. Le Règlement concerne-t-il uniquement les grandes entreprises ?

Faux.

La RGPD ne s’applique pas qu’aux personnes morales, entrepreneurs, noms propres, etc. mais à tous, et surtout à ceux qui ont une activité professionnelle. Un individu traitant des données dans un cadre personnel est non-soumis à la RGPD (ex : liste personnelle, répertoire personnel, etc.)

2. Le Règlement s’applique-t-il à des entreprises hors de l’UE ?

Oui.

Les données de citoyens européens hors UE sont également soumises à la RGPD. C’est en parti pour cela que Facebook rencontre des problème de réglementation.

3. Le Règlement ne concerne-t-il que les données sous format numérique ?

Non.

Est soumis à la RGPD, tout type de format à partir du moment où la personne est identifiable (même les adresses IP). Une carte de visite peut être soumise à la RGPD.
L’intérêt légitime : faire un contrat, recueillir le consentement pour l’utilisation des données à des fins commerciales surtout si l’usage de ces données vient après un certain temps.

4. Le Règlement ne concerne-t-il que les données BtoC ?

Le BtoC, c’est compliqué.

Le temps de conservation recommandé par la CNIL est de 3 ans, mais souvent, au bout d’un an, les données sont conservées dans un dossier d’archivage par la direction.
Un conseil : prendre le minimum de données SSI client. Après vérification, la copie doit être détruite.
CNIL : 3 secteurs principaux qui traitent des données B2C : recrutement – bailleurs sociaux – horodateur

5. La nomination d’un DPO dépend de la taille de l’entreprise ?

Débat :

un DPO peut être nommé dans toutes tailles d’entreprise mais il n’est pas obligatoire sauf dans les établissements publics.
En revanche un DPO est obligatoire si l’entreprise traite des données à grande échelle (non précisées).

6. Le registre est-il toujours obligatoire ?

Non.

Par exemple, une société en sommeil n’est pas tenue d’avoir un registre.
Lors d’une démarche de mise en conformité, le registre sera demandé (à conservé numériquement). Ne pas oublier de le faire évoluer !
Il existe des modèles sur la CNIL, à compléter par activités.
Attention arnaque :
il peut arriver que des entreprises reçoivent un courrier par voie postale de la mise en conformité RGPD par la Commission européenne. Certains documents sont faux !

7. Les données personnelles d’un citoyen européen traitées hors UE ne sont pas concernées par le règlement ?

Faux.

C’est en parti pour cela que Facebook rencontre des problèmes avec la CNIL. Les citoyens européens sont protégés par la RGPD sur n’importe quel continent.

8. Les sous-traitants sont-ils soumis aux obligations ?

Oui.

Notion de sous-traitance :: missionner un prestataire :
Exemple : pour sauvegarder/stocker des données personnelles, le prestataire intervient sur ces dernières, il faut donc qu’il ait, au préalable, un contrat/registre de traitement des données et prévoir également un contrat qui lie le client et le prestataire : des mentions spécifiques sont présentes sur le site de la CNIL.
CGV de sous-traitance conforme : les mentions sont impératives !

Un jour, j’ai reçu un contrat avec une close de 22 pages, je l’ai directement jeté !

Témoignage

Attention :
Responsable de traitement =/= sous-traitant : dans un contrat, il faut bien mentionner les notions que tel ou tel type de données (à caractères pornographiques, etc.) ne sont pas concernées.
Identifier l’activité précisément (sauvegarde hébergement =/= maintenance) Bonne pratique : faire plusieurs registres

9. Il sera possible de conserver les données ?

Cela dépend de la durée de conservation.

Uniquement celles nécessaires liées à la finalité du traitement des données.
Par exemple, un bulletin de salaire d’un employé doit être gardé 5 ans, en cas de réclamation du salarié.

10. Faudra-t-il déclarer certaines formalités à la Commission européenne au lieu de la CNIL ?

Non.

C’est la CNIL qui est responsable en France.

Conformité RGPD

Droit du contrat : quelles informations à afficher ?

  • registre traitement des données
  • conditions générales de vente (CGV) : passage dédié à la RGPD (catégorie-conservation-consentement)
  • interne : site internet/blog/forum : CGU réglementation données personnelles + politique de confidentialité + durée de conservation + quelles données sont récoltées en détail

Contrat : réglementation droit du travail

Lors d’un changement de salarié, donner le mot de passe de la boîte mail de l’ancien employé n’est autorisé sauf si ce dernier a donné son accord ou parce qu’une mention à été faite à ce propos dans le contrat.
Si un problème informatique survient, et que des téléchargements illégaux ont été trouvés sur l’ordinateur appartenant à l’entreprise, est-ce un motif de licenciement ?
Si l’employeur se porte garant des employés : c’est l’employeur qui sera en cause, si le contraire n’est pas noté dans le contrat, et dans ce cas « tant mieux » pour salarié.
Il faut renforcer la responsabilité des individus.

Tolérance : droit d’envoyer des mails perso avec un mail pro, droit d’aller sur Facebook (mais ne pas y rester toute la journée).

Les bonnes choses à connaître (droit du travail) :

  • un dossier « perso » : pas le droit d’y accéder en tant qu’employeur
  • si un téléchargement est en cours : droit de le couper
  • si la suppression d’un dossier est faite parce qu’il y a des risques/un danger : ok, mais sans l’ouvrir, et il ne faut pas cibler qu’une seule personne
  • dire clairement si les employés sont fliqués
  • prévoir un autorisation de droit à l’image : exposition sur un support, numérique ou non, pendant X temps lorsqu’un salarié est sortant
  • un employeur sortant des données dont il n’a pas le droit d’accès : non-recevable
  • un salarié utilisant des photos etc. prises à l’insu de son employeur : recevable, pas d’interdiction

Le salarié est ultra protégé, il faut donc une charte en interne pour protéger l’entreprise (surtout informatique : pas de gmail etc., un mot de passe pour chaque post…)

La mise en conformité : ce n’est pas juste le registre !

Tu ne peux jamais être conforme à 100%, puisque les textes sont trop vagues, chacun les interprète comme il les entend.

parole de nos experts

Des géants qui passent leurs conditions d’utilisation par une case à cocher :
Google, Dropbox, etc.
Attention, vos données ne vous appartiennent plus !

Les données personnelles sont utilisées à outrance. Une personne à le droit d’effacer toutes ses données, ou de demander à ce que cela soit fait.

Montrer les grandes entreprises qui payent des amendes exorbitantes (sauf pour elles), pourrait être considéré comme un coup de com/marketing pour que la majorité des boites soient conformes ou se mettent à niveau.
Une entreprise étant conforme est mise en valeur face à d’autres sans scrupules.

Autre sujet peu exploité :
Le Privacy by Design, parle à tous ceux qui font et entretiennent les outils digitaux !

Merci à nos 3 intervenants experts :
Nicolas Bard de Strat&Si
Olivier Frachon du cabinet Axio Conseil
Sébastien Claude d’ASC2Si

Découvrez nos Thema League passées :