Cyril Cornet
Traffic Manager
9/3/2023
5 min

Les changements du RGPD dans le fonctionnement d'une entreprise

Dans notre dernier article sur la RGPD, nous évoquions les tables de la Loi de la RGPD, les 8 commandements à constamment avoir en tête pour diminuer les risques d’une infraction au règlement européen.

De ces règles d’or découle un certain nombre d’obligations de fonctionnement pour tous les organismes (y compris les sous-traitants). Parmi ces obligations, l’une précise qu’ils doivent s’inscrire dans une posture de mise en conformité dynamique avec la RGPD.

Pour cela, tous les acteurs intervenant dans un traitement de données personnelles devront mettre en place à la fois des outils techniques, mais aussi des modes d’organisation différents.

Mais lesquels vous demandez vous ?

C’est exactement ça que nous allons détailler aujourd’hui !

“Appelez-moi le responsable !”

L’approche prise par la RGPD sur la protection des données personnelles découle d’un concept des années 80 remis au goût du jour : celui de l’accountability. (responsabilité en français)

Ce concept vise à responsabiliser les individus dans la supervision de la protection des données. L’organisme qui fait la collecte devient alors responsable du traitement de celles-ci et ne peut pas blâmer quelqu’un d’autre pour une mauvaise utilisation. Cette approche influence toutes les mesures qui permettent à un organisme de se mettre en conformité.

Les outils de la mise en conformité

Cette logique de responsabilisation au cœur de la RGPD implique plusieurs obligations :

  • Il faut désormais désigner un responsable : délégué à la protection des données ou DPO (oui, c'est ça le fameux titre que vous avez vu apparaître sur les profils Linkedin de vos contacts depuis 1 an) ;
  • Tenir un registre des activités de traitement qui détaille ce qui est fait avec les données et pourquoi ;
  • Appliquer une politique de confidentialité ;
  • Réaliser une analyse d’impact sur la vie privée.

Cette mise en conformité doit être dynamique, c’est-à-dire qu’elle n’est pas simplement mise en place au début puis laissée tel quel. Il faut qu’elle bénéficie d’un suivi et d’adaptations au fil du temps.

Cela veut dire que la protection des données doit être présente dans chaque nouvelle technologie traitant de données personnelles et lors de chaque utilisation de cette technologie. Et ce même en l’absence de la prévision de la protection des données personnelles dès la conception de la technologie. Vous devez donc adapter la technologie utilisée aux normes RGPD.

De plus, la mise en conformité doit être globale et concerne tous les acteurs de l’organisme.

Il existe deux catégories d’outils nécessaires à la mise en conformité :

  • Obligatoires :
  • Le registre d’analyse des traitements ;
  • Le délégué désigné ;
  • L’analyse d’impact de certains traitements ;
  • La notification de violation sous certaines conditions.
  • Recommandés :
  • La certification ;
  • Les règles contraignantes d’entreprise  (BCR) qui concernent les entreprises implantées dans plusieurs pays ;
  • Les codes de conduite.

Penser la protection dès la conception : La privacy by design

L’obligation de mise en conformité concerne les technologies déjà existantes, mais évidemment aussi les nouvelles.

L’accountability n’a pas été le seul concept à être exhumé et remis sur le devant de la scène par la RGPD.

Celui de la protection des données dès la conception, ou Privacy by design en anglais. Développé dans les années 90 par la Commissaire à l’information et à la protection de la vie privée de l’Ontario au Canada. Il est désormais repris à l’article 25 du RGPD.

Ce concept veut la mise en place de la protection des données a priori, c’est-à-dire dès la conception d’un produit ou d’un service, avant même la collecte de la première information. Vous devez donc penser la création d’un service avec la protection des données en tête.

Ainsi, certaines fonctionnalités doivent être réfléchies en amont. Par exemple, il est conseillé de mettre en place un système de pseudonymisation des données lorsqu’il n’est pas nécessaire de les conserver sous une forme identifiante et d’intégrer des mécanismes de purge automatique au-delà d’une certaine durée de conservation.

Il existe 7 concepts principaux autour duquel s’articule la Privacy by design :

  • Elle implique la conception de mesures proactives et préventives ;
  • La protection est implicite et automatique (ou protection par défaut, nous allons y revenir plus bas) ;
  • Elle est intégrale ;
  • La vie privée est intégrée dans la conception des systèmes et au cœur des pratiques ;
  • La sécurité doit être garantie durant toute la durée de la conservation des données ;
  • Il faut s’assurer qu’il y ait de la visibilité et de la transparence sur la manière de traitement des données ;
  • La priorité est donnée au respect de la vie privée des utilisateurs.

Une analyse au quotidien

Du côté de l’organisation qui collecte les données, il s’agit d’abord de ne collecter que les informations dont elle a réellement besoin, et de les traiter avec précaution et loyauté.

Pour les organismes qui collectent les données, le concept de “Privacy by design” est un défi.

Il demande de trouver le graal en garantissant aux clients un traitement des données à la fois sûr. Ce qui corresponde à leur besoin et tout ça sans collecter plus de données que nécessaire.
Cette garantie devra également être présente durant toute la conservation et l’utilisation des données.
Et bien sûr, tout cela en parfaite transparence sur les modalités et les finalités du traitement des données.
Enfin, il faut offrir au particulier le moyen de vérifier, modifier et supprimer les données enregistrées.

Pourtant (et même si cela semble difficile à croire) il y a des avantages à cette approche même pour l’organisme !
En intégrant l’idée de protection des données dès la conception, l’organisme réduit :

  • Les risques liés à un usage malveillant des données à caractère personnel ;
  • Les risques liés à sa responsabilité / aux sanctions ;
  • Le besoin de modifier ensuite le service ou le produit pour s’adapter à la réglementation sur la protection des données.

Et cela tout en se dotant d’un avantage compétitif puisqu’il pourra se différencier de ses concurrents non-conformes. Il bénéficiera aussi de plus de confiance de la part du particulier qui prendra moins de risque à partager ses données personnelles avec l’organisme.

La protection des données par défaut : la privacy by default

La protection ne doit pas être une option, elle doit être totale et ne nécessiter aucune action supplémentaire de l’utilisateur.

Par défaut l’ensemble du processus doit être restreint au strict minimum en limitant :

  • La quantité des données collectées ;
  • La diversité des finalités ;
  • De la durée de conservation ;
  • Le nombre de personnes habilitées à accéder aux données.

Le principe de la minimisation de la collecte des données s’applique ici : seules les données nécessaires doivent être collectées.

Pour cela, il est judicieux de mettre en place des « Privacy Enhancing Technologies ». Ce sont des mesures permettant aux utilisateurs de concrétiser la minimisation des données en contrôlant leurs données, en les minimisant ou en les rendant anonymes à leur gré (cela peut être fait via l’interface du produit ou le cryptage de certaines données par exemple).

Le second principe qui s’applique est celui de la proportionnalité des techniques utilisées.
Les mesures utilisées par l’entreprise doivent être proportionnelles aux risques et aux violations que le traitement des données personnelles peut causer à la personne dont les données ont été collectées. C’est pour cela par exemple qu’il faut une très bonne raison pour pouvoir collecter des données comme l’appartenance religieuse ou l’orientation sexuelle.
Mais il ne suffit pas juste de suivre toutes ces mesures, il faut aussi pouvoir le prouver ! C’est donc ici qu’entre la dernière pièce du puzzle : la documentation.

La documentation

Toutes ces obligations de mise en conformité doivent pouvoir être prouvées ; ce qui implique la mise en place d’une documentation spécifique.

Là où l’idée de privacy by design agit a priori de la collecte, la documentation couvre la conformité a posteriori.

Il est obligatoire de tracer et de formaliser les actions menées pour garantir les processus de protection des données. Il s’agit de pouvoir “prouver” à la CNIL à tous moments que l’organisme respecte les règles du RGPD.
Cette documentation permet également un pilotage en interne et de constituer des documents pour les sous-traitants afin de garantir cette conformité auprès de leurs clients.

Vous voilà donc un peu mieux équipé pour vous adapter aux nouvelles obligations de la RGPD !

Si vous voulez approfondir un sujet en particulier, le site de la CNIL regorge de documents utiles et clairs pour vous informer sur les conséquences de la RGPD.

Soan, la solution de gestion financière qui vous accompagne au quotidien.

Merci d’avoir pris le temps de lire notre article ! N’hésitez pas à visiter notre blog et notre FAQ 🙂

Rendez-vous sur le blog Soan ou abonnez-vous à nos réseaux sociaux : LinkedIn, Facebook ou Youtube.

Lire plus d'articles
Soan
Entreprise éco responsable : La planète vous dit merci !
7/9/2023
4 min
Soan
Soan lève 3.2 millions d'euros pour continuer son développement !
7/9/2023
5 min
Soan
Les 8 commandements du RGPD pour être aux normes
7/9/2023
4 min

Des conseils des salariés de chez Soan et l'actualité économique autour du paiement dans votre boite mail.

Merci ! Votre demande a été reçue !
Oups ! Un problème est survenu lors de la soumission du formulaire.
À PROPOS
Nous contacterComparatifBlogSécuritéLexiquePresseNos partenairesAvis clientsNous rejoindre
LIEN UTILES
Politique de confidentialitéMentions légalesLa RGPD chez SoanTutos vidéoCGUVFAQGérer les cookies
ADRESSE
51 Quai Lawton 33300 Bordeaux+33 5 54 54 05 06

Fait avec des kilos d’amour 💛, des heures de labeur 🕐 et des litres de sueur à Bordeaux.
La société Soan, société par actions simplifiée est enregistrée auprès de MANGOPAY, société anonyme agissant en tant qu’établissement de monnaie électronique agréé, auprès de la CSSF (Commission de Surveillance du Secteur Financier) sous la numéro B173459, en tant qu’agent prestataire de services de paiement.

© Soan 2023