conseils pour aider votre organisation à se préparer à l'entrée en vigueur du RGPD : partie 2

Dans la première partie, nous vous avons déjà donné 5 conseils pour vous aider à vous préparer à l'entrée en vigueur du RGPD. En voici 5 autres.

Conseil 6: Vérifiez si vous traitez ou faites traiter des données en dehors  de l'UE.

Si vous traitez ou faites traiter des données en dehors de l'UE (par exemple si vous utilisez un serveur de backup aux Etats-Unis, vous devez respecter certaines obligations supplémentaires.

Au sein de l'UE, les données à caractère personnel circulent librement parce que dans chaque état membre, les mêmes droits sont garantis aux personnes concernées.   En cas de transfert dans des pays non membres de l'UE, cela ne peut se faire que moyennant la garantie d'un niveau de protection adapté. Il faut donc que la personne concernée ait l'assurance de disposer de droits similaires à ceux qui sont appliqués lorsque le traitement a lieu au sein de l'UE.

N'oubliez donc pas de vérifier si vous transférez des données à des entreprises en dehors de l'UE. Le transfert visé ici peut être direct (le siège social de l'entreprise se trouve en dehors de l'US et toutes les données des filiales lui sont automatiquement envoyées) ou indirect  (vous utilisez un cloud provider et vous n'avez pas spécifié de région particulière pour le stockage, de sorte que vos données seront probablement stockées quelque part en dehors de l'UE).

Vous transférez effectivement des données en dehors de l'UE ? Dans ce cas, vous devez vérifier si le lieu de destination offre suffisamment de garanties pour que la vie privée de la personne concernée soit protégée. Si ce n'est pas le cas, vous devrez d'abord passer des accords avec l'entreprise en question avant de pouvoir effectuer toute transaction de données.

Pour en savoir plus sur les procédures et modalités spécifiques pour obtenir ces garanties, consultez le site web de la Commission sur la protection de la vie privée.

Conseil 7: Utilisez le  "privacy by design" et le "privacy by default".

"Privacy by design" et "privacy by default" font le buzz dans la sphère RGPD. Mais de quoi s'agit-il exactement ?

Privacy by design

"Privacy by design" signifie que dès la phase de développement de nouveaux produits et services, il faut  vérifier comment la protection des données à caractère personnel sera garantie de façon optimale. Le point de départ doit être de minimiser les données.

Pendant le processus de développement, posez-vous les questions suivantes : ai-je vraiment besoin de ces données à caractère personnel pour mon produit ou service ? Si oui, comment puis-je les protéger de la meilleure façon possible? Puis-je améliorer cette protection en ne traitant les données à caractère personnel que durant une période limitée ?

Privacy by default

"Privacy by default" fait partie du "privacy by design". Les paramètres standard d'un produit ou service doivent être toujours réglés de manière à maximaliser la protection de la vie privée de la personne concernée.

Exemple

Illustrons cela à l'aide des paramètres d'un profil sur un réseau social. L'option standard ne peut jamais être que les données sont, par définition, publiques. A  l'inverse, elles doivent être paramétrées de telle sorte que le profil soit aussi bien protégé que possible. Ce n'est qu'avec l'accord univoque et incontesté de la personne concernée que son profil pourra être rendu public.

Mise en œuvre

Comment mettre cela en œuvre dans votre entreprise ? Comme c'est le cas pour la politique de protection de la vie privée,  tout dépend du degré de sensibilisation de votre personnel à ces concepts.
 
Essayez de définir quelques règles empiriques et proposez-les dans un graphique ou un  diagramme. Veillez à distribuer aussi largement que possible cette information dans chaque service responsable du développement de nouveaux produits ou services et/ou de procédures internes impliquant le traitement de données à caractère personnel.

A l'instar du développement de produits et services qui s'appuie sur la gestion de projets, vous pouvez également insérer les notions de privacy by design/default dans votre project flow. Evaluez chaque projet sous l'angle du respect de la vie privée, comme vous le faites lorsque vous vérifiez si un projet financier par exemple est réalisable, s'il n'y a pas de contraintes juridiques ou d'entraves à la politique de sécurité.  

Conseil 8: Vérifiez les contrats avec vos fournisseurs

Vous faites certainement régulièrement appel aux services de fournisseurs. N'oubliez de vérifier dans quelle mesure le traitement de données à caractère personnel intervient dans cette collaboration. Jouez-vous le rôle de responsable du traitement, et votre fournisseur est-il considéré comme sous-traitant au sens du RGPD ? Dans ce cas, vous devez conclure un accord de traitement avec ce fournisseur.

Les grandes entreprises peuvent difficilement ignorer les obligations du RGPD et devront elles aussi prendre les mesures qui s'imposent. Pour les plus petites organisations que vous utilisez comme fournisseur, les risques sont plus grands.  Vous avez donc tout intérêt à prendre vous-même l'initiative.

Si vous avez besoin d'un modèle pour le contrat de traitement, consultez la nouvelle annexe jointe à votre contrat d'agent avec DNS Belgium.

Conseil 9: Soyez prêt à agir en cas de fuite de données.

D'abord, la mauvaise nouvelle. La probabilité que vous soyez un jour confronté à une fuite de données dans votre entreprise est beaucoup plus élevée que la probabilité que cela n'arrive jamais. Si une fuite de données résulte d'un comportement laxiste ou d'imprudence dans le traitement de données à caractère personnel, les conséquences peuvent être plus lourdes encore.

Contrairement aux réclamations individuelles des personnes concernées, il s'agit ici de l'exposition involontaire d'un grand nombre de données à caractère personnel  - et les dommages qui peuvent s'en suivre pour les personnes concernées sont, potentiellement, beaucoup plus importants. On peut donc s'attendre à ce que les DPA soient extrêmement vigilants.

Prévoyez de toute façon un plan catastrophe en cas de fuite de données - ce plan doit être à la fois préventif et curatif et a pour but d'informer vos collaborateurs quant aux mesures à prendre en cas de fuite de données.

Contrairement aux règles en matière de privacy by design/default, les règles applicables en cas de fuite de données concernent aussi bien le responsable du traitement que le sous-traitant.

Les entreprises qui accordent suffisamment d'attention aux concepts privacy by design/default, mènent déjà automatiquement une politique préventive en matière de fuite de données. Mais il est aussi important de savoir ce qu'il y a lieu de faire si un incident survient.

N'oubliez pas que la notion de fuite de données fait l'objet d'une définition très rigoureuse. L'envoi d'un mail au mauvais destinataire ou la perte d'une clé USB contenant des données à caractère personnel est déjà considéré  comme une fuite de données.

Que faire en cas de fuite de données ?

Heureusement il ne faut pas prévoir toute une série de mesures pour chaque incident. Ce n'est que lorsque l'infraction implique un risque (élevé) pour les droits et libertés des personnes physiques qu'une procédure spécifique s'applique.

Cette procédure couvre :

  • notification de la fuite de données dans les 72 heures après sa détection;
  • notification à la Commission pour la protection de la vie privée s'il y a des risques pour les personnes physiques concernées;
  • notification aux personnes concernées lorsqu'il est hautement probable que leurs droits et libertés en matière de vie privée soient atteints;
  • description de la nature de l'infraction et catégorie de personnes victimes de la fuite de données;
  • coordonnées du responsable du traitement/ sous-traitant (ex. données du DPO);
  • conséquences réelles ou probables de la fuite de données;
  • mesures prises ou proposées pour éviter de nouvelles infractions et/ou limiter les conséquences de l'infraction.

Conseil 10: Tenez compte des droits des personnes concernées

Les personnes physiques dont vous  collectez des données ont un certain nombre de droits fondamentaux qu'elles peuvent faire valoir plus facilement dans le cadre du RGPD que ce n'était le cas auparavant.

Nombre de ces droits existent déjà dans la législation actuelle mais faisaient jusqu'à présent l'objet d'une certaine négligence. Le RGPD rétablit l'équilibre en faveur des personnes dont les données sont traitées.

En d'autres termes, les données que vous collectez ne sont pas "votre" propriété mais restent sous le contrôle de la personne concernée, qui décide si vous pouvez continuer à utiliser ces données, a le droit de les corriger, peut vous demander de les supprimer, etc.

Veillez à être prêt à réagir à des demandes spécifiques de personnes dont vous traitez les données. Il est peu probable que votre DPA nationale commence à enquêter spontanément à propos de vos activités de traitement. Ce genre d'enquête ne sera sans doute entamé qu'à la suite d'une plainte déposée par quelqu'un dont vous traitez les données. Imaginons que quelqu'un vous demande de lui communiquer les données  que vous avez traitées à son sujet et que vous ne donniez pas suite à cette demande.  Cette personne risque fort de ne pas apprécier votre négligence et d'adresser une plainte à votre DPA qui pourra alors initier une enquête.  

Quels sont les droits fondamentaux dont vous devez tenir compte ?

Voici un aperçu des principaux droits fondamentaux :

  • droit de regard et notification : la personne concernée peut toujours demander quelles sont les données traitées, dans quels buts, combien de temps les données sont conservées, à qui elles sont transférées, etc.
  • droit de correction: la personne concernée peut toujours vous demander de corriger des données incomplètes ou erronées.
  • droit à l'oubli : la personne concernée peut toujours vous demander d'effacer ses données si elles ne sont plus nécessaires au traitement. Cela vaut également lorsque la personne concerné retire son consentement au traitement ou si les données ont été illégalement obtenues.
  • droit à la portabilité des données: la personne concernée a, dans certaines circonstances, le droit de recevoir ses données à caractère personnel dans un format qui lui permette de les transférer à un autre responsable du traitement.
  • droit de retrait: la personne concernée peut faire valoir son droit d'interdiction d'utilisation de ses données à caractère personnel à certaines fins - de marketing notamment.   

La personne concernée peut faire valoir ces droits envers le responsable du traitement (data controller) mais pas envers le sous-traitant (data processor). Pour en savoir plus sur la différence entre responsable du traitement et sous-traitant, lisez la première partie de cet article, publiée précédemment.
      

 

serveur

Est un programme informatique ou un dispositif matériel qui offre des services à d’autres programmes informatiques ou des utilisateurs.

DNS

Domain Name System, littéralement Système de Noms de Domaine. Le DNS est le protocole internet qui assure la conversion entre les noms de domaine et les adresses IP et vice versa.