Le règlement général sur la protection des données (RGPD) implique sans doute les changements les plus importants dans la législation de protection des données depuis 20 ans. Beaucoup de travail doit être réalisé dès aujourd’hui pour être conforme lors de son entrée en application en mai 2018. Jusqu’à quel point êtes-vous prêts à supporter une amende pouvant atteindre 4% du chiffre d’affaires global de votre organisation ?
Participez à notre formation et partagez avec nos experts de précieux conseils et pratiques pour déployer un programme de protection des données en toute conformité.

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Votre dossier devra notamment comporter les éléments suivants :

LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) (Article 30)
  • Les analyses d’impact relatives à la protection des données pour les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes (Articles 35+36)
  • L’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles types, les BCR et certifications) (Articles 44-50)
  • Le registre qui documente toutes les violations de données. Celui-ci renseigne les effets de la violation de données et les mesures prises pour y remédier. (Articles 33+34)

L’INFORMATION DES PERSONNES (Articles 13+14)

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées
  • Les procédures mises en place pour l’exercice des droits

LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

  • Les contrats avec les sous-traitants (Article 28)
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base juridique.

Attention : cette liste n’est pas exhaustive et les besoins de documentation peuvent varier d’un organisme à l’autre.

Il est important que les personnes clés et les décideurs de votre organisation soient au courant du règlement général sur la protection des données (RGPD). Ils doivent pouvoir évaluer les conséquences que le nouveau cadre légal aura sur leur organisation et identifier les domaines qui pourraient être problématiques.

Le RGPD peut avoir une influence considérable sur vos ressources humaines, surtout pour les entreprises ou structures de plus grande taille ou plus complexes. Utilisez donc la période de transition jusqu’au 25 mai 2018 pour sensibiliser vos collaborateurs aux changements à venir.

Vous recherchez un consultant RGPD pour le Luxembourg ? Skalis Luxembourg vous sélectionne l’expert qui répondra à votre problématique.

Pour mesurer concrètement l’impact du règlement européen sur la protection des données sur votre activité, commencez à faire l’inventaire de tous les traitements de données personnelles que vous mettez en oeuvre. Notez quelle est la provenance de ces données et les personnes avec lesquelles vous les avez partagées. La tenue d’un registre des traitements vous permet de faire le point.

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

  • Les différents traitements de données personnelles ;
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis (finalités) par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données. Vous devez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

QUI ?

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données (Article 30).
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme.
  • Etablissez la liste des sous-traitants (Article 28).

QUOI ?

  • Identifiez les catégories de données traitées.
  • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions).

POURQUOI ?

  • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

OÙ ?

JUSQU’À QUAND ?

COMMENT ?

Vous souhaitez être accompagné ?

Tendance notable sur le marché du travail, les Français ont de plus en plus soif de liberté. Cette dynamique est d’autant plus marquée chez les consultants RGPD qui sont très attachés à leur statut d’indépendant. Le portage salarial c’est la garantie de conserver cette liberté et de continuer de choisir leurs clients, leurs missions, leurs tarifs. Et ce à chaque étape du parcours professionnel : que vous soyez en recherche d’emploi, en reconversion ou en création d’entreprise.

Les seniors qui constituent « le socle historique des consultants RGPD », bénéficiant d’une solide expertise, ces consultants en règlementation de protection des données personnelles sont très recherchés pour des missions ponctuelles, notamment dans l’industrie bancaire, les administrations, l’industrie agro-alimentaire, le e-comemrce… Nous constatons également que les jeunes diplômés spécialisés dans la règlementation de protection des données personnelles et la gestion des datas grossissent de plus en plus les rangs des adeptes du portage salarial.

Le portage salarial permet également de regagner en souplesse face à la complexité des tâches administratives. Skalis Portage joue le rôle d’interface administrative, ce qui permet au consultant de se consacrer pleinement à son activité cœur.

Et le portage salarial ne se limite pas à la seule gestion administrative. Forme d’activité innovante, le portage salarial permet en effet à des travailleurs indépendants d’exercer leur activité avec tous les avantages du salariat. Le portage salarial permet donc à un travailleur indépendant de rester dans le régime salarié et donc de bénéficier des mêmes garanties, notamment en matière de protection sociale.
Le consultant RGPD peut ainsi se mettre à son compte tout en bénéficiant des avantages du salariat : il cotise ainsi à l’assurance chômage et pour sa retraite comme tous les salariés. Des garanties solides pour tous ceux qui hésitent encore à se lancer en indépendant. Force est de constater qu’en quelques années, le nombre d’indépendants consultants RGPD a augmenté, notamment grâce au portage salarial. Et la tendance n’est pas prête de s’inverser, au contraire.

Le marché français du consulting est en plein essor : il a triplé en dix ans selon l’INSEE.  Nul doute que le portage salarial participe de cette dynamique et continue de s’imposer progressivement comme une réponse adaptée aux mutations du monde du travail et des besoins des travailleurs indépendants comme les consultants en règlementation de protection des données personnelles.

Vous souhaitez être accompagné ?

Désignez au besoin un délégué à la protection des données (DPD) ou une personne qui est responsable du respect des règles de protection des données. Cette personne exerce une mission d’information, de conseil et de contrôle en interne. Dans l’attente du 25 mai 2018, vous pouvez d’ores et déjà désigner un « chargé de la protection des données », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

Il est important, qu’une personne de votre organisation ou un conseiller externe, soit en charge des questions relatives à la protection des données et que cette personne dédiée ait les connaissances, les ressources et la compétence de le faire.

La désignation d’un délégué à la protection des données est obligatoire à partir du 25 mai 2018 si :

  • Vous êtes un organisme public. La notion d’autorité publique ou d’organisme public est déterminée par le droit national. Certaines missions de service public peuvent être réalisées par des organismes n’ayant pas un statut public. Il est recommandé que ces organismes désignent aussi un DPD.
  • Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Notion d’activités de base: L’obligation de désignation d’un DPD est analysée au regard des traitements de données « clés », effectués par le responsable du traitement ou le sous-traitant pour réaliser les objectifs de son activité principale.

Exemple: Les activités de base d’une banque impliquent des traitements de données financières. La banque doit aussi traiter des données RH de ses employés, mais c’est une activité accessoire.

La notion de suivi systématique et régulier n’est pas définie dans le règlement, mais inclut clairement toutes formes de surveillance, traçage et de profilage sur internet et n’est pas limitée à un environnement en ligne. Une collecte de données est systématique lorsqu’elle est méthodiquement organisée. Elle est régulière lorsqu’il y a une certaine périodicité/constance dans la mise en œuvre du traitement.

Exemple: Une banque qui doit régulièrement et systématiquement suivre l’évolution des comptes et des transactions de ses clients notamment dans le cas de ses obligations liées à la prévention de la fraude, du blanchiment d’argent ou du financement du terrorisme.

Notion de « grande échelle » : Cette notion n’est pas définie par le règlement. Il appartient au responsable du traitement/sous-traitant d’effectuer cette analyse sur base de critères tels que:

  • Le nombre de personnes concernées (nombre spécifique ou proportion d’une population);
  • Le volume des données traitées;
  • La durée ou permanence des traitements de données;
  • L’étendue géographique.

Exemples:

  • traitement des données des patients par un hôpital (contrairement au traitement de données des patients par un médecin individuel);
  • traitement de données par une assurance ou une banque;
  • traitement de données (contenu, trafic, localisation) par un fournisseur de services de communications électroniques.

Catégories particulières de données: il s’agit des

  • données qui révèlent l’origine raciale ou ethnique, les convictions religieuses ou philosophiques ou l’appartenance syndicale;
  • données concernant la santé ou la vie sexuelle ou l’orientation sexuelle;
  • données génétiques;
  • données biométriques;
  • données relatives aux condamnations pénales ou aux infractions.

Exemple: Un hôpital traitant des données de santé et génétiques

Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Le rôle du délégué à la protection des données

Le délégué à la protection des données est principalement chargé:

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Pour vous accompagner dans la mise en place des nouvelles obligations imposées par le règlement européen, le délégué doit notamment:

  • s’informer sur le contenu des nouvelles obligations ;
  • sensibiliser les décideurs sur l’impact de ces nouvelles règles ;
  • réaliser l’inventaire des traitements de données de votre organisme ;
  • concevoir des actions de sensibilisation ;
  • piloter la conformité en continu.

La charge de travail d’un délégué à la protection des données peut varier en fonction de nombreux facteurs (taille de l’organisation, nombre de données traitées, type de données, etc.) Il ne s’agit donc pas forcément d’un poste à plein temps. Une personne peut dans certains cas aussi assurer cette fonction à côté de ses tâches principales.

 

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

Organiser les processus implique notamment :

  • de prendre en compte la protection des données personnelles dès la conception (Article 25) d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données, …). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données ;
  • de sensibiliser et d’organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) (Articles 15-23) ;
  • d’anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais (Articles 33+34).

Sur base de votre registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.

Points d’attention quels que soient vos traitements

  1. Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées (Article 5).
  2. Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) (Article 6).
  3. Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (Articles 12, 13 et 14).
  4. Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées (Article 28).
  5. Prévoyez les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…) (Articles 15-23).
  6. Vérifiez les mesures de sécurité mises en place (Article 32).

Points d’attention nécessitant une vigilance particulière

VOUS TRAITEZ CERTAINS TYPES DE DONNÉES

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques,
  • des données d’infraction ou de condamnation pénale,
  • des données concernant des mineurs.

VOTRE TRAITEMENT A POUR OBJET OU POUR EFFET

  • la surveillance systématique à grande échelle d’une zone accessible au public ;
  • l’évaluation systématique et approfondie d’aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative.

VOUS TRANSFÉREZ DES DONNÉES HORS DE L’UNION EUROPÉENNE (Articles 44-49)

  • vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne ;
  • dans le cas contraire, encadrez vos transferts.

Si vos traitements répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer (exemple : analyse d’impact relative à la protection des données, information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, …). Une analyse approfondie de la loi sur la protection des données et du règlement est nécessaire pour déterminer les mesures à mettre en œuvre.

 

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD, en anglais, Data Protection Impact Assessment ou DPIA) (Articles 35+36).

L’analyse d’impact relative à la protection des données permet :

  • d’élaborer un traitement de données personnelles ou un produit respectueux de la vie privée,
  • d’apprécier les impacts sur la vie privée des personnes concernées,
  • de démontrer que les principes fondamentaux du règlement sont respectés.

L’enjeu est d’apprécier les risques sur la protection des données du point de vue des personnes concernées.

Quand mener une analyse d’impact relative à la protection des données ?

  • avant de collecter des données et de mettre en oeuvre le traitement,
  • sur tout traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques.

Dans quels cas est-il recommandé de mener une analyse d’impact relative à la protection des données?

Selon les lignes directrices du Groupe « Article 29 » (qui n’est pas encore finale), la mise en œuvre d’un analyse d’impact relative à la protection des données est nécessaire si plusieurs des critères suivants s’appliquent au traitement de données à caractère personnel :

  • Le traitement effectue une évaluation ou notation, y compris le profilage et la prédiction
  • Le traitement effectue des décisions automatiques résultant en des implications légales ou similaires pour les personnes concernées
  • Le traitement consiste en une surveillance systématique des personnes concernées (traitements utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris les données collectées à partir d’une surveillance systématique des lieux accessibles au public)
  • Des données sensibles (suivant la définition de la règlementation) font l’objet du traitement
  • Le traitement est un traitement à grande échelle:
    • le nombre de personnes concernées est élevé ou proportionnellement élevé par rapport à une population ou
    • le volume de données traitées est important ou
    • la durée ou la permanence de l’activité de traitement est importante ou
    • l’étendue géographique du traitement est importante »
  • Des jeux de données à caractère personnel ont été combinés d’une manière qui pourrait dépasser les attentes raisonnables des personnes concernées
  • Les données traitées concernent des personnes vulnérables (ex: situation de déséquilibre des pouvoirs entre les personnes concernées et le responsable de traitement)
  • Le traitement se rapporte à l’usage ou l‘application de solutions technologiques ou organisationnelles innovantes
  • Le traitement de données ne permet pas aux personnes concernées d’exercer leur droit ou les empêche d’accéder à un service ou un contrat (ex: une banque qui analyse le profil de ses clients pour décider de leur offrir un crédit ou pas)