Fondamentaux RGPD
En matière de cybersécurité, toute entreprise européenne doit se conformer au Règlement Général sur la Protection des Données. Celui-ci concerne aussi bien les collectes de données internes à l’entreprise (par exemple, les informations à caractère personnel de ses salariés) que les données externes recueillies auprès de ses clients ou des visiteurs de son site Internet. Mais qu’est-ce que le Règlement Général sur la Protection des Données, communément appelé RGPD et quelles sont ses implications en matière de cybersécurité ?
Qu’est-ce que le Règlement Général sur la Protection des Données ?
Depuis le 25 mai 2018, toute entreprise, association, agence ou collectivité territoriale qui collecte ou traite des données est censée respecter le Règlement Général sur la Protection des Données (RGPD). Mais qu’est-ce que c’est ?
Définition du Règlement Général sur la Protection des Données (RGPD)
Le RGPD est une directive du parlement européen. Ce texte fixe un cadre au recueil et au traitement des données à caractère personnel dans tous les États membres de l’Union européenne (UE). Ses règles font autorité pour toute structure publique ou privée qui collecte ou effectue un traitement des données d’habitants de l’UE, même si son siège est hors de l’Union européenne.
Les préoccupations du RGPD concernant la vie privée et la sécurité des données
Les dispositions du RGPD poursuivent trois objectifs.
- Renforcer les droits des personnes sur leurs données.
- Rendre responsable l’entreprise qui collecte ou effectue un traitement des données, en cas de fuite ou d’usage non consenti.
- Renforcer la coopération entre les autorités de contrôle afin de rendre crédible la régulation de la protection des données.
Quels sont les fondements du RGPD en matière de protection des données ?
La CNIL établit 5 grands principes des règles de protection des données personnelles :
- la finalité : Le responsable d’un fichier ne peut enregistrer et utiliser des données sur des personnes physiques que dans un but bien précis, légal et légitime.
- la proportionnalité et la pertinence : Les données enregistrées doivent être pertinentes et strictement nécessaires au regard de la finalité du fichier.
- la conservation limitée dans le temps : Les informations sur des personnes physiques dans un fichier doivent être conservées dans une base active pour une durée fixée. Celle-ci correspond au temps strictement nécessaire à la réalisation de l’objectif poursuivi. Après quoi, les informations doivent être détruites, anonymisées ou archivées dans le respect des obligations légales.
- la sécurité et la confidentialité : Le responsable du fichier doit garantir la sécurité des informations détenues. Il doit en particulier mettre en place des protections physiques, informatiques et des habilitations pour que seules les personnes autorisées par des textes aient accès à ces données.
- les droits des personnes : Les personnes doivent savoir pourquoi leurs données sont collectées et l’usage qu’il en sera fait. Elles doivent pouvoir refuser les usages non strictement nécessaires, connaître leurs informations détenues par l’entreprise, modifier leurs données ou demander leur suppression.
Quelles sont les bases légales pour le traitement des données selon le RGPD ?
Le règlement général européen sur la protection des données est venu modifier le 20 juin 2018 la loi française « Informatique et Libertés » de 1978. Cette loi établit des règles sur la collecte et l’utilisation des données en France. La Commission Nationale de l’Informatique et des Libertés (CNIL) veille à son application et a un rôle de conseil. Sur son site internet, vous trouverez une formation, des recommandations pour la mise en œuvre de cette loi et des exemples.
Le recueil et le traitement des données doit protéger la vie privée des personnes, en particulier des mineurs. La sécurité de leurs données à caractère personnel doit également être assurée. En cas d’utilisation frauduleuse ou de fuite de leurs données, l’entreprise est tenue responsable par l’État. Elle devra rendre compte devant les autorités concernées.
La loi condamne ainsi les pratiques abusives, notamment des entreprises : collecte injustifiée de données ou sans le consentement de la personne, cookies imposés, utilisation sans l’accord des personnes concernées, contrôle injustifié ou sans information préalable, etc.
Quels droits les individus ont-ils en matière de protection des données ?
Sauf obligation légale, toute personne doit pouvoir :
- refuser la réutilisation de ses données ;
- donner son consentement explicite à d’autres usages ;
- avoir accès aux données récoltées à son sujet en moins d’un mois ;
- demander une modification ou un effacement de ses données ;
- demander le transfert de ses données.
Quelles sont les obligations et les responsabilités des entreprises en vertu du RGPD ?
Les entreprises doivent mettre en place des procédures pour :
- vérifier que les données à caractère personnel en leur possession ont obtenu explicitement le droit d’être recueillies et utilisées.
- s’assurer que leurs fichiers respectent les cinq principes du RGPD édictés par la Commission Nationale de l’Informatique et des Libertés (CNIL) vu précédemment.
- obtenir le consentement explicite des personnes pour le recueil de leurs données et chaque utilisation.
- permettre aux personnes d’accéder à leurs données, les modifier ou demander leur effacement.
- veiller à la sécurité des données, à leur confidentialité et limiter l’accès uniquement aux personnes concernées.
- faire le point régulièrement pour s’assurer que les traitements n’ont pas évolué, que le personnel des différents services respecte les procédures et les mesures de sécurité mises en place et procéder aux adaptations nécessaires.
Quelles sont les conséquences en cas de non-conformité avec le RGPD ?
Si une entreprise ne respecte pas le RGPD, elle s’expose, en cas de plaintes ou de contrôle, à des sanctions administratives, pénales ainsi qu’à devoir verser des dommages et intérêts. Certains manquements ou sanctions peuvent être rendus publics. Son image est alors écornée et son chiffre d’affaires chute.
Les sanctions dépendent de la gravité de l’infraction constatée. Elles peuvent aller du simple avertissement avec mise en demeure de se conformer au RGPD jusqu’à des sanctions financières allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Vous trouverez le détail des sanctions et de leur gradation sur le site de la CNIL.
Comment les entreprises peuvent-elles se conformer au RGPD ?
Les entreprises doivent se conformer au RGPD transposé dans la loi informatique et libertés. Voici nos conseils pour y parvenir.
Les 4 grandes étapes se conformer aux règles du RGPD
Pour se conformer au RGPD, la CNIL conseille quatre grandes étapes.
Étape 1 : créer un registre de traitement des données de l’entreprise
Dans le registre des activités de traitement des données, il faudra recenser les activités qui requièrent des données à caractère personnel (badge, recrutement, paye, vente, prospection, etc.).
Pour chaque activité, vous créerez une fiche. Celle-ci contiendra le but fixé, les catégories de données utilisées, qui a accès à ces données, leur durée de conservation tant pour un usage actif que pour l’archivage.
Étape 2 : veiller au respect du règlement général de protection des données
Pour chaque fiche, vous veillerez au respect du RGPD, notamment à ce que :
- seules les données nécessaires au but fixé soient collectées ;
- vous ayez le droit de traiter les données sensibles (information de santé, numéro de carte bancaire, religion, etc.) ;
- les données soient uniquement accessibles au personnel qui en a besoin ;
- les informations ne soient pas conservées plus longtemps que nécessaire.
Étape 3 : respecter le droit des personnes concernant leurs informations et son traitement
Pour respecter le droit des personnes, l’entreprise doit, chaque fois qu’un de ses services collecte des données à caractère personnel, veiller à ce que le support utilisé (formulaire, questionnaire, etc.) comporte les informations suivantes :
- le but du recueil de ces données et ce qui juridiquement l’autorise ;
- qui a accès à ces données ;
- la durée de conservation ;
- la manière dont les personnes peuvent demander quelles données sont stockées, ainsi que leur modification ou leur suppression ;
- en cas de transfert de données hors Union européenne, il faut préciser le pays et le cadre juridique garantissant une protection identique des données.
Étape 4 : sécuriser les données personnelles pour éviter un traitement malveillant
L’entreprise doit sécuriser les données personnelles par des moyens physiques et informatiques. Elle est, en effet, responsable en cas de fuite de données.
Les outils pour permettre aux entreprises de respecter le cadre réglementaire régissant les données
Il existe de nombreux outils, gratuits ou payants, pour se conformer au RGPD. La CNIL a créé le logiciel PIA pour faciliter la conduite et la formalisation d’analyses d’impact relatives à la protection des données prévues par le RGPD. Des entreprises privées ont également mis au point divers logiciels tels que :
- Witik, iubenda, Mission RGPD, MyDPOn ou Data Legal Drive qui assurent la conformité au RGPD et autres règles.
- Leto qui collecte directement les données à partir de vos applications. Il permet d’analyser et de récupérer toute la documentation légale des sous-traitants, d’identifier les risques et vous informe de tout changement.
- GDPR Folder qui fournit aux entreprises des modèles et des sections préremplis qui couvrent toutes les dispositions du RGPD.
- DPO Drive qui facilite la gestion du consentement et de la portabilité des données.
Les sources d’information pour mettre en œuvre le RGPD dans votre entreprise
La Commission Nationale de l’Informatique et des Libertés (CNIL) propose aux entreprises une formation au RGPD. Ses services ont également créé de nombreux contenus très utiles :
- exemples de mentions d’information ;
- conseils en cybersécurité pour protéger les données à caractère personnel ;
- réflexions sur la protection des données dans les nouvelles technologies (droit des mineurs, données biométriques, données des objets connectés, etc.) ;
- fiches thématiques, par exemple sur les données personnelles des salariés, les cookies, etc. ;
- contenus pour des acteurs et secteurs spécifiques (santé, TPE/PME, etc.).
La mise en œuvre du RGPD est indispensable, mais complexe en entreprise. Elle nécessite d’avoir un responsable en sécurité des systèmes d’information. Celui-ci se fera accompagner par un consultant GRC (Gouvernance, Risques et Conformité) et un juriste en cybersécurité.
En fonction de la sensibilité des données, il recourra à des cryptologues et des hackers éthiques. Des métiers promis à un bel avenir.
Découvrez l’ensemble de nos formations en cybersécurité, du bachelor en cybersécurité au master en cybersécurité.