Dans un contexte marqué par l’explosion des données, les entreprises ont l’obligation de mettre en place une politique de confidentialité et de gestion des données efficace. Elles sont tenue de respecter le RGPD visant à encadrer et à sécuriser le traitement des informations personnelles. Reveals vous accompagne pour comprendre ce cadre réglementaire, identifier les enjeux et mettre en œuvre des actions concrètes adaptées à votre activité.

Qu’est-ce que la confidentialité des données ?

La confidentialité des données désigne l’ensemble des mesures visant à protéger les informations personnelles collectées par une organisation, tout en garantissant aux individus le contrôle sur leur utilisation. Elle permet d’éviter tout accès, utilisation ou divulgation non autorisés.

Une donnée à caractère personnel correspond à toute information permettant d’identifier directement ou indirectement une personne physique. Il peut s’agir de ses nom et prénom, numéro de téléphone, adresse mail, identifiants en ligne, numéro de sécurité social ou encore adresse IP.  

La protection de ces éléments constitue un enjeu majeur, car une mauvaise utilisation peut avoir des conséquences importantes : démarchage abusif, discrimination ou encore usurpation d’identité. 

Dans ce contexte, les individus doivent pouvoir conserver le contrôle sur leurs informations. Ils ont le droit d’être informés de manière claire et transparente sur la façon dont leurs données sont récoltées, stockées et traitées. 

De leur côté, les entreprises ont l’obligation de mettre en place des protocoles et des mesures techniques et organisationnelles afin de garantir la sécurité de l’information et de respecter les principes de transparence et de sécurité. 

Quel est le cadre réglementaire de la politique de gestion des données à caractère personnel ?

Le RGPD : la référence principale

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) harmonise les pratiques en matière de traitement des données personnelles au niveau européen. Il a pour objectif de renforcer les droits des individus, de responsabiliser les acteurs qui récoltent ces données et d’encadrer leur régulation. Cette réglementation s’applique à tous les organismes privés et publics qui récupèrent et traitent des données personnelles, dont les entreprises. 

Le RGPD repose sur 6 grands principes à partir desquels découlent d’autres réglementations :

• La transparence. Les individus doivent être informés des modalités de traitement de leurs informations et de leurs droits sur ce traitement (rectification, accès, effacement, etc.).
• La finalité. Les informations récoltées doivent l’être à des fins légitimes pour l’organisme (gestion des ressources humaines, suivis de clientèle, etc).
• Le principe de minimisation. L’entreprise ne doit récolter que les données strictement essentielles pour son bon fonctionnement. 
• Une durée définie. La conservation des informations a une durée déterminée. Les données doivent ensuite être supprimées, archivées ou anonymisées. 
• La sécurité. L’entreprise doit instaurer toutes les mesures nécessaires pour protéger les informations qui lui sont confiées.
• Les droits des personnes. Les individus doivent être en mesure d’accéder, de rectifier et de supprimer (“droit à l’oubli”) facilement les informations fournies.

La réglementation en matière de protection des données évolue en permanence. Il est donc indispensable d’assurer une veille régulière et d’adapter ses pratiques en conséquence.

Le droit national complémentaire

Plusieurs lois et institutions assurent l’application des règles RGPD au droit français :

• La CNIL (Commission nationale de l’information et des libertés) est l‘organisme de surveillance de la protection des données. Elle exerce un rôle d’information et d’alerte, mais aussi de contrôle et de sanction. Elle accompagne les acteurs dans leur mise en conformité avec le RGPD.
• La loi Informatique et liberté (LIL). Elle adapte les obligations du RGPD au droit français sous la forme de règlements et précise certaines modalités d’application nationales. 
• La directive NIS 2. Pilotée par l’ANSSI en France, elle définit un socle de mesures juridiques, organisationnelles et techniques pour renforcer la protection des organismes contre les risques de cyberattaque. 

Quelles sont les obligations des entreprises en matière de confidentialité et de gestion des données ?

Le dirigeant d’entreprise est le responsable du traitement des données. À ce titre, il est en charge de la mise en place les mesures et les protocoles nécessaires au traitement et à la protection des informations personnelles. 

Garantir la transparence et le respect des individus

Toute personne dont les données personnelles sont collectées doit savoir comment ces informations sont utilisées et à quelle fin. Il convient de lui communiquer tout un ensemble d’informations à ce sujet, notamment le nom du responsable du traitement, le caractère obligatoire ou non de ce transfert d’information, la durée de conservation des éléments, ou encore les droits dont elle dispose sur ces données (accès, modification, opposition, portabilité, suppression). 

Cette information doit être délivrée au moment de la récolte lorsque celle-ci est directe, ou dans un délai d’un mois lorsqu’elle est indirecte (c’est le cas des informations fournies par les sources publiques). Elle doit être formulée de façon claire et concise afin que la personne puisse donner son consentement de façon libre, éclairée, spécifique et univoque. Ce dernier peut être obligatoire avant tout traitement. 

Vous avez un site Internet ? Ces informations doivent figurer sur votre page de confidentialité (qui fait partie des mentions obligatoires). Un bandeau de gestion des cookies peut aussi être mis en place, mais il est interdit de pré-cocher des cases.

Sans information préalable, vous risquez une amende pénale de 1.500 euros en tant qu’entrepreneur individuel, et de 7.500 euros pour une société. En outre, si vous utilisez des données personnelles sans consentement, vous pouvez être sanctionné de 5 ans d’emprisonnement, 300.000 euros d’amende en entreprise individuelle et jusqu’à 1.500.000 euros en société. 

Ces obligations de transparence ne sont pas seulement des contraintes légales : elles contribuent à instaurer un climat de confiance et à renforcer la crédibilité de votre entreprise.

Instaurer une gouvernance des données

La gouvernance des données désigne l’ensemble des protocoles mis en œuvre au sein d’un organisme pour garantir la confidentialité, la sécurité, l’exactitude, la disponibilité et l’exploitabilité des informations. Elle regroupe à la fois des normes, des processus techniques ou des systèmes d’organisation.

Pour respecter le principe d’accountability et être en mesure de garantir la conformité de votre société aux règles de protection des données, deux actions sont essentielles :

• Tenir un registre des données. Il recense l’ensemble des traitements effectués afin d’avoir une vision claire des actions menées. Sa tenue est obligatoire au-delà de 250 salariés, mais aussi en dessous de ce plafond si vous traitez des données sensibles, des données relatives à des condamnations pénales, ou des données qui représentent un réel risque pour les droits et les libertés des individus. C’est par exemple le cas des entreprises de finances ou de santé.
• Désigner un délégué à la protection des données (DPO). Ce data protection officer est obligatoire lorsque votre entreprise traite un grand nombre d’informations ou si la nature de votre activité implique un suivi de personnes à grande échelle.

Une gouvernance des données est essentielle pour structurer la gestion interne de vos données et développer votre croissance.

Renforcer la sécurité et anticiper les risques

Les mesures de sécurité à mettre en place doivent être proportionnées à la nature des données traitées et aux risques spécifiques à votre activité.

Encadrer le traitement des données

Commencez par encadrer le traitement des données :

• Recensez les traitements des données et les supports utilisés ;
• Cartographiez les schémas d’interconnexion et de flux de données de la récolte à la suppression ;
• Établissez un plan d’action dédié à la sécurité informatique de votre entreprise ;
• Prévoyez régulièrement des contrôles pour identifier tout nouveau risque.

Élaborer un système de journalisation

Un système de journalisation enregistre l’ensemble des interventions techniques et métier des utilisateurs, les anomalies ou tout événement lié à la sécurité. Il constitue un outil indispensable pour détecter les incidents et réagir en cas de violation de données.

Agir à plusieurs niveaux

Pour renforcer la sécurité, il existe plusieurs leviers d’action, notamment :

• La restriction de l’authentification et de l’habilitation des utilisateurs. Proposez un identifiant unique par individu et limitez les accès en fonction de l’habilitation des personnes. 
• La protection du matériel informatique et du réseau. L’installation de pare-feux, la mise en place de systèmes de verrouillage automatique des cessions, la mise à jour régulière des antivirus, le cloisonnement du réseau ou encore la suppression des données présentes sur un poste avant sa réaffectation sont des exemples de mesures courantes. Vos équipes doivent également être sensibilisées aux risques liés à l’usage du matériel mobile (vol, connexion à des réseaux publics non sécurisés).
• La sécurisation des serveurs. Elle peut s’appuyer  sur le protocole TLS pour le chiffrement des échanges, ainsi que sur des logiciels de détection de programmes malveillants.
• Réaliser des sauvegardes régulières des données (dont une en hors-ligne). Pensez à protéger ces sauvegardes avec le même niveau d’exigence que vos systèmes de production. 

Évaluer les risques

Le niveau de risque doit faire l’objet d’une évaluation régulière, ajustée au degrés de risque de votre activité. En cas d’incident, votre entreprise doit être en mesure de prouver qu’elle a pris les mesures adéquates.

Lorsqu’un traitement des données présente un risque important pour les droits et les libertés des individus, il faut alors réaliser une analyse d’impact relative à la protection des données (AIPD). Il s’agit d’évaluer les risques, la proportionnalité des actions menées et les mesures envisagées pour les maîtriser.

Créer des protocoles de gestion

Tout incident de sécurité doit être encadré par une procédure formalisée. Le document doit décrire les critères de qualification de l’incident et les personnes à contacter en cas de souci. Rappelons qu’en cas de violation susceptible de porter atteinte aux droits et libertés des personnes, vous disposez de 72 heures pour en informer la CNIL.

Encadrer les flux de données vers des organismes tierces

Si vous faites appel à des organismes tiers pour la gestion de vos données, il convient de vérifier qu’ils possèdent les garanties suffisantes. Demandez la politique de sécurité de la structure et vérifiez leurs compétences et leurs ressources. Établissez ensuite un contrat de sous-traitance pour formaliser l’objet du traitement, organiser la répartition des tâches et des responsabilités et les modalités de traitement des informations. 

Si vous faites appel à un organisme résidant à l’extérieur de l’UE, vérifiez que son pays de résidence fait l’objet d’une décision d’adéquation de la Commission européenne (la liste est disponible sur le site de la CNIL). Si aucune décision n’a été rendue, il convient d’exiger des garanties de la part de l’organisme: adhésion à un code de conduite, signature d’un contrat intégrant les clauses contractuelles types de la Commission européenne ou mise en place de règles d’entreprise contraignantes.

Quels sont les enjeux et les défis de cette mise en œuvre pour les sociétés ?

Les risques en cas de manquement

L’application d’une politique de confidentialité et de traitement des données est obligatoire et encadrée par la loi. En cas de non-conformité, l’entreprise s’expose à des sanctions financières importantes, voire à des sanctions pénales. 

Au-delà de l’aspect juridique, toute violation de données a aussi un impact sur l’image de l’entreprise. À l’inverse, une politique stricte constitue un levier pour renforcer la confiance des consommateurs. 

Le développement technologique

La digitalisation des outils et des systèmes de stockage (Cloud, objets connectés), ainsi que le développement de l’intelligence artificielle et du big data, accentuent les enjeux liés à la gestion des données.

Ces évolutions rendent le traitement des informations plus complexe et augmentent le risque de failles potentielles de sécurité. Il est donc impératif d’instaurer une politique de gouvernance qui s’adapte aux enjeux actuels.  

Le respect de la confidentialité dans la gestion des données est un enjeu majeur dans la transformation numérique des entreprises. Encadré par le RGPD, il s’agit d’assurer un traitement utile et cohérent de l’information pour accélérer la croissance des structures tout en garantissant la protection des données. Si ces obligations représentent une contrainte organisationnelle et technique, elles constituent aussi un levier de confiance essentiel. Reveals vous accompagne dans l’instauration d’une politique de gouvernance adaptée à vos enjeux métiers. Contactez-nous pour identifier les axes de structuration de vos traitements de flux de données afin d’accélérer votre croissance.  

FAQ

Qu’est-ce qu’une donnée personnelle ?

Une donnée personnelle est une information qui identifie directement ou indirectement un individu. Un nom, un prénom, une adresse de domicile, une adresse IP, un numéro de téléphone ou encore une empreinte en sont des exemples. 

Quelle est la différence entre le RGPD et la CNIL ?

Le RGPD est la réglementation européenne qui encadre la protection des données personnelles. La CNIL est l’autorité française en charge de son application au niveau du territoire français. Elle accompagne les organisations dans leur mise en conformité. 

Quelles sont les étapes du traitement d’une donnée ?

Une donnée est tout d’abord collectée puis enregistrée. Elle peut ensuite être utilisée, modifiée, voire partagée si nécessaire. Elle est conservée pendant une durée définie avant d’être supprimée ou anonymisée. 

L’article Confidentialité et gestion des données : comment garantir leur sécurité ? est apparu en premier sur REVEALS.

À retenir :

• Un registre RGPD recense toutes les activités de traitement des données ;
• Il est obligatoire pour de nombreuses structures qui gèrent des données personnelles ;
• Son contenu doit être mis à jour dès qu’un traitement évolue ;
• C’est un outil de pilotage pour sécuriser vos données et améliorer vos process internes.

Vous souhaitez instaurer un registre RGPD dans votre entreprise ? Ce document vous permet de centraliser tous vos process de traitements de données personnelles afin de piloter votre stratégie et de rester conforme à vos obligations en matière de protection des données. Reveals vous explique comment créer et tenir un registre des activités de traitement. 

Qu’est-ce qu’un registre des activités de traitement ?

Encadré par l’article 30 du Règlement général sur la protection des données, le registre des activités de traitements (aussi nommé registre RGPD) est un document interne qui centralise l’ensemble de vos procédures par lequel votre entreprise collecte, utilise et gère des données personnelles. Il vous offre une vision globale de vos traitements, vous permet d’identifier les pratiques à faire évoluer et à vérifier que chaque procédure instaurée est réellement utile et pertinente pour votre structure. 

Il s’agit d’un document clé du respect du principe d’accountability. Il recense toutes les mesures mises en place par votre société pour se conformer aux obligations du RGPD. Il constitue l’un des premiers documents demandés lors des contrôles de la CNIL (Commission nationale de l’informatique et des données). Il vous permet de démontrer que vous respectez la réglementation européenne en matière de protection des données personnelles. 

Notez qu’il existe deux types de registre : 

• Un registre pour les responsables de traitement ;
• Un registre pour les sous-traitants

Si votre entreprise est à la fois responsable de la collecte d’informations et sous-traitante, alors il sera nécessaire de tenir deux dossiers distincts. Cette situation intervient notamment chez les cabinets RH et les prestataires informatiques. 

Bon à savoir : vous trouverez un exemple de registre de traitement RGPD simplifié téléchargeable sur le site de la CNIL.

Qui est obligé de tenir un registre RGPD ?

En principe, tous les organismes qui collectent des données personnelles (celles de leurs salariés, de leurs clients, de leurs fournisseurs, etc.) sont obligés de tenir ce registre des activités. Néanmoins, la réglementation propose des dérogations pour les structures de moins de 250 salariés. 

Ces dernières ont réellement l’obligation de constituer ce répertoire lorsqu’elles traitent des données qui ont un caractère sensible (santé, biométrie, etc.) et peuvent présenter un risque pour la liberté personnelle. En cas de doute sur la nature des données que vous gérez en interne, la CNIL vous recommande d’intégrer cette information dans votre registre. De fait, si vous travaillez dans un établissement financier, il reste nécessaire de créer et de mettre régulièrement à jour ce document si vous avez une petite structure indépendante (comme un cabinet de courtage). 

Quel est l’intérêt de ce document pour les entreprises ?

Respecter la réglementation RGPD

Depuis 2018, toutes les entreprises collectant des données de résidents européens ont l’obligation de se conformer au règlement général sur la protection des données. Lorsque vous collectez et traitez des informations à caractère personnel (comme le nom et les coordonnées de vos clients), vous devez mettre en place toutes les mesures nécessaires pour les protéger. 

Le registre d’activité de traitement formalise cette démarche. En documentant exactement pourquoi et de quelle façon est traité chaque type d’information que vous utilisez, vous disposez d’un élément de démonstration solide de votre conformité.

Identifier les données les plus à risques

Les données sensibles nécessitent l’instauration de techniques de protection avancées. Vous pourrez ainsi ajuster vos actions selon leur degré de sensibilité. 

Il est important de vous assurer que seules les personnes habilitées y ont accès. Vous pouvez aussi mettre en place des actions de protection avancée, comme le chiffrement de vos données ou le renforcement de la sécurité de vos serveurs et de votre réseau informatique.

Vérifiez que vos données sont réellement utiles pour votre entreprise

Votre entreprise est tenue de respecter le principe de minimisation. Cela signifie que vous ne devez traiter que les informations qui ont un intérêt à l’accomplissement d’un objectif  légitime, explicite et déterminé. Si certaines données ne sont pas justifiées, vous devez les supprimer.

Reveals vous accompagne dans le renforcement de votre gouvernance des données. Nous vous aidons à structurer les pôles de responsabilité et à mettre en place des systèmes de gestion adaptés. Découvrez notre offre de conseil en data gouvernance pour structurer et piloter vos données.

Comment constituer un registre de traitement ?

Vous êtes libre de créer un registre au format électronique ou papier. Toutefois, celui-ci doit intégrer certaines informations essentielles. 

Le registre du responsable de traitement

Votre registre recense l’ensemble de vos traitements sous la forme de fiches individuelles.

Chacune doit détailler les éléments suivants : 

• Le nom du traitement ;
• Le nom et les coordonnées du responsable de ce traitement, ainsi que celui du délégué à la prospection des données (DPO) de l’entreprise, le cas échéant ;
• Les finalités du traitement (en précisant l’objectif principal et les objectifs secondaires) ;
• Les catégories des données personnelles concernées par le traitement ;
• Les catégories de personnes concernées (à qui appartiennent ces informations) ;
• Les destinataires des données (dont les sous-traitants) ;
• La liste des mesures de sécurité mises en place pour protéger ces données ;
• Les éventuels transferts mis en place ;
• Les durées de conservation prévues.

Pour donner un exemple : un établissement bancaire met en place un traitement relatif aux comptes de ses clients. La fiche dédiée à cette activité indiquera que la finalité est de pouvoir ouvrir, gérer et clôturer des comptes bancaires. Les clients peuvent être des particuliers ou des sociétés. La banque traite des données sensibles, telles que l’identité et les coordonnées des clients, une copie de leur pièce d’identité, leur situation professionnelle, leur situation financière. Les destinataires sont à la fois les services internes de la banque et des organismes externes (comme la Banque de France ou des prestataires de paiement). La durée de conservation des données est de 5 ans après la clôture du compte et 10 ans pour les pièces comptables. Des mesures de sécurité spécifiques peuvent être mises en place, comme le chiffrement des données ou la restriction d’accès aux seules personnes habilitées. 

Le registre du sous-traitant

Si vous gérez aussi les données de vos clients, vous devez tenir un registre des catégories d’activités de traitement. 

Chacune doit contenir les éléments suivants :

• Le nom et les coordonnées de votre organisme ;
• Le nom et les coordonnées de votre client, de son responsable de traitement, voire de son représentant ;
• Le nom et les coordonnées de vos sous-traitants (le cas échéant) ;
• Les catégories de traitement concernées ;
• Les mesures de sécurité mises en place ;
• Les éventuels transferts de données vers un pays tiers ou une organisation internationale, et les garanties associées.

Vous pouvez compléter ce registre avec toute information que vous jugez utile.

Comment tenir et mettre à jour son registre RGPD ?

Ce registre est tenu par le responsable de traitement, un sous-traitant ou le délégué à la protection des données (DPD), si l’entreprise en a un. 

Lors de son élaboration, il convient de lister toutes les activités nécessitant l’utilisation de données personnelles. Dans une entreprise, il peut s’agir du recrutement, de la gestion RH, de la gestion des fiches de paie, de la gestion du portefeuille des clients ou encore de la formation des employés. 

1. Pour commencer votre premier recensement, contactez l’ensemble des responsables qui utilisent des données personnelles au sein de votre structure. Pensez aussi à analyser votre site Internet pour identifier toutes les informations collectées via vos formulaires. 
2. Ensuite, listez toutes les activités qui utilisent des informations personnelles. Vous pourrez ainsi compléter une fiche par activité et obtenir une vision claire de tous les traitements opérés au sein de votre structure.
3. Enfin, évaluez les risques liés à la sécurité de vos données. afin de mettre en place des actions nécessaires pour rester conforme au RGPD. 

Et n’oubliez pas de mettre à jour ce dossier dès qu’un processus évolue. Toute modification doit être enregistrée pour garantir l’exactitude votre document. 

À qui communiquer ce registre des données personnelles ?

C’est un registre interne à l’entreprise. Il peut être cependant demandé par la CNIL dans le cadre d’un contrôle de conformité RGPD. À cette occasion, l’organisme vérifie que les procédures instaurées permettent de garantir la sécurité des données personnelles lors de leur traitement.

L’instauration d’un registre RGPD est une étape essentielle pour toute entreprise qui gère des données personnelles. Au-delà de l’obligation réglementaire, ce document vous permet d’avoir une vision claire de vos pratiques, d’identifier les axes d’amélioration et de renforcer la sécurité de vos traitements. Reveals vous guide dans la mise en place d’une politique de gouvernance adaptée à votre entreprise afin de sécuriser vos données et de les exploiter pleinement. Contactez-nous pour déployer un dispositif de contrôle et de pilotage adapté à votre structure. 

FAQ

Quels sont les registres obligatoires du RGPD ?

Il existe deux types de registres de traitement des données : le registre de l’organisme qui récolte les informations et celui des sous-traitants. Lorsqu’une structure assure les deux rôles, elle doit créer deux registres distincts. 

À quelle fréquence faut-il mettre à jour le registre des activités de traitement ?

Il faut le mettre à jour dès qu’une procédure de traitement des données évolue.

Quelle sanction en cas de non-tenue du registre de traitement ?

Si un organisme qui traite des données personnelles ne tient pas de registre RGPD conformément à la réglementation européenne, il s’expose à une amende allant jusqu’à  10.000.000 euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial pour une société.

L’article Registre RGPD : pourquoi et comment le bâtir ? est apparu en premier sur REVEALS.