Open Banking

GDPR : Avez-vous pensé à l’ensemble des déclinaisons opérationnelles ?

21 décembre 2017

Le 25 mai 2018, le Règlement Général sur la Protection des Données (GDPR) entrera en vigueur.

Cette réglementation constitue le nouveau texte de référence européen en matière de protection des données personnelles et vient remplacer la loi informatique et libertés de 1978 en France.

Les entreprises dont l’organisation n’est pas conforme au GDPR encourent une amende de 20 millions d’euros ou l’équivalent de 4% de leur chiffre d’affaires mondial.

Cette évolution majeure de la réglementation impose le renforcement des dispositifs existants et la mise en place de nouveaux, en matière de collecte, traitement, stockage des données personnelles.
Une bonne implémentation de GDPR au sein d’une société repose principalement sur trois piliers :

  • Le premier concerne la responsabilité de l’entreprise dans le cadre de la réglementation,
  • Le second repose sur le droit des individus sur les données personnelles les concernant,
  • Enfin, le dernier pilier couvre le traitement de ces données par la société.

La mise en œuvre de chacun de ces trois piliers repose sur une déclinaison en différents chantiers, dont nous vous proposons de détailler les principaux.

 

Pilier 1 : la responsabilité de l’entreprise et le rôle du Data Protection Officer

GDPR impose la nomination d’un Data Protection Officer (DPO) chargé de superviser la gestion des données personnelles.

Son rôle devient clef dans la gouvernance des données personnelles, notamment dans l’interface avec les métiers.

Le succès de cette nouvelle fonction réside dans la clarification de ses responsabilités.

Concrètement, les missions du DPO sont :

  • Contrôler la conformité des traitements avec le règlement,
  • Coopérer avec l’autorité de contrôle et devenir le point de contact,
  • Informer et conseiller le responsable de traitement,
  • Conseiller concernant les analyses d’impact,
  • Rassembler et maintenir à jour la documentation et les preuves,
  • Tenir le registre des activités de traitement,
  • S’assurer que les violations de données à caractère personnel sont bien notifiées dans les délais.

De plus, l’entreprise doit garantir la notion de privacy by design ou protection des données dès la conception. Cette notion est essentielle dans la pérennité de la protection des données personnelles.
Cela se traduit par la construction d’une cartographie des données pour chaque nouveau processus.

Par ailleurs, l’entreprise doit s’assurer de l’alignement des exigences GDPR tout au long du processus, notamment en cas de sous-traitance.

 

Pilier 2 : les droits des personnes physiques sur les données les concernant

Au 25 mai 2018, les personnes physiques disposeront de nouveaux droits et d’un renforcement de ceux existants :

Le droit d’être informé de manière simple et compréhensible,

  • Le droit de limitation de certains traitements,
  • Le droit à l’oubli et à la portabilité de ses données personnelles,
  • Le droit d’accès, d’opposition et de rectification.

Chaque individu aura la possibilité de récupérer les données personnelles transmises à une entreprise.

Il pourra stocker celles-ci pour son usage personnel ou dans le but de les transférer à un autre organisme traitant des données.

En synthèse, une personne physique a donc le droit d’accéder à ses données, de s’opposer au traitement de celles-ci et a la possibilité de les faire rectifier.

Pour les entreprises, cela a pour conséquences :

  • La mise en conformité de l’ensemble des systèmes applicatifs et des contrats recueillant des données personnelles,
  • La création d’une base des droits individuels (pour le stockage et historisation des résultats de la collecte des consentements et des droits cités supra) et la mise en œuvre des modalités de diffusion des informations (notamment vers les SI marketing et décisionnels & Big Data).

L’impact sur le parcours client peut être significatif. La notion de privacy by design définie dans le pilier 1, oblige un haut niveau de protection des données dès la conception.
Egalement, GDPR introduit la notion de privacy by default : uniquement les données personnelles essentielles à l’action doivent être récupérées.

Le parcours client doit intégrer une étape de signature de consentement explicite quant au recueil, au stockage et au traitement des données via un formulaire. Le conseiller en agence se verra ajouter une nouvelle mission concernant l’explication de ce formulaire. Par mesure d’efficacité, l’utilisation du canal digital est à privilégier pour obtenir ce consentement.

Le responsable de traitement doit pouvoir fournir au client ses données personnelles dans un format structuré et lisible par une machine. Ce même client peut obtenir sur demande, la rectification, la limitation et l’effacement de ses données. C’est le principe de droit à l’oubli.

Outre les données personnelles des clients et prospects qui représenteront la majorité de la masse de données, un processus pour que les collaborateurs puissent exercer leurs droits doit être mis en place.
Une communication spécifique et des sessions de formations sont à organiser pour sensibiliser et informer les collaborateurs sur les impacts de cette réglementation. Ces derniers doivent être à même de maîtriser les grands principes de la réglementation et améliorer les méthodes de travail concernant la gestion des données personnelles.

 

Pilier 3 : Le traitement des données personnelles

Une fois les règles et procédures internes définies sur la responsabilité de la société et l’exercice des droits, le dernier pilier relatif à la déclinaison opérationnelle de GDPR concerne le traitement des données personnelles.

La charge du traitement des données personnelles repose principalement sur les DSI

et soulève trois problématiques :

  • La mise en place d’un registre des traitements,
  • La conformité des traitements listés dans le registre,
  • La sécurité des données et notamment la notification lorsqu’il y a violation de celles-ci.

Le registre des traitements

La réglementation GDPR demande aux entreprises d’établir un registre intégrant l’ensemble des traitements liés à des données personnelles. Plusieurs étapes sont à effectuer avant d’obtenir un registre pleinement opérationnel.

Dans un premier temps, il est nécessaire de formaliser ce registre, c’est-à-dire de créer le fichier. Une fois le registre créé, celui-ci doit être partagé avec toutes les lignes métiers et toutes les éventuelles entités du groupe qu’elles soient présentes sur le territoire national ou à l’étranger. Le mode opératoire pour la saisie des traitements dans le registre doit alors être décliné sous la forme d’une procédure. Une gouvernance doit également être mise en place concernant la mise à jour des traitements. Cette mise à jour devant se faire de manière continue.

Une fois le fichier opérationnel, la dernière étape consiste à recenser les traitements et les qualifier.

Le principe de la tenue d’un registre des traitements est relativement simple. Néanmoins, l’imbrication des différentes lignes métiers peut rendre la tâche complexe, du fait de la spécificité de chacune des lignes dans le traitement des données.

Il est à noter que pour les traitements présentant un risque élevé pour les droits et les libertés des personnes physiques un dispositif de Privacy Impact Assesment doit être mis en place.

La conformité des traitements

Le recensement de traitements n’est pas la seule obligation. Les traitements doivent également être conformes à la réglementation. Le risque de non-conformité doit donc être évalué.

Si des traitements s’avèreraient non-conformes, un plan de remédiation doit être mis en place en y associant la direction de la conformité et la DSI.

Sécurité et notification des violations des données personnelles

L’obligation de communication sur les violations de données obligera la société à s’assurer de la robustesse et de la sécurité de son SI vis-à-vis de potentiels actes malveillants visant les données personnelles.

Cette obligation pourrait conduire les sociétés à adopter certains dispositifs comme la pseudonymisation et le chiffrement des données à caractère personnel.

Pour évaluer la robustesse du SI, certains points sont considérés comme sensibles, comme l’accès non autorisé aux données, que celui-ci soit accidentel ou effectué dans un but malveillant.

 

Pour vous aider à mettre en place et déployer ces déclinaisons opérationnelles Weave met à votre disposition son expertise.

Newsletter

Inscrivez-vous à notre newsletter pour recevoir nos dernières actualités*

Les informations recueillies sur ce formulaire sont enregistrées dans un fichier informatisé de gestion des Clients et Prospects (CRM).

Le Responsable de traitement est la société weave, 37 rue du rocher 75008 Paris RCS Paris 802 396 085.

Elles sont destinées à l’activité marketing du groupe weave ainsi quà celle de ses filiales, à l’exclusion de tout transfert hors de l’UE. Elles sont conservées pour une durée conforme aux dispositions légales (par exemple 3 ans pour les données prospects).

Ce traitement nécessite votre consentement que vous pourrez retirer à tout moment sans que cela ne remette en cause sa licéité.

Conformément à la loi « Informatique et Libertés » et au règlement européen n°2016/679, vous bénéficiez d’un droit d’accès, de rectification ou d’effacement, ainsi que d’un droit à la portabilité de vos données ou de limitation du traitement. Vous pouvez également pour des raisons tenant à votre situation particulière, vous opposer au traitement de vos données et donner des directives relatives à la conservation, à l’effacement et à la communication de vos données après votre décès. Vous disposez également du droit d’introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (www.cnil.fr).

Vous pouvez exercer vos droits en nous contactant à l’adresse vosdonnees@weave.eu.

En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour mesurer notre audience, vous proposer des contenus et des offres personnalisées, ainsi que des fonctionnalités de partage sur les réseaux sociaux. En savoir plus sur notre politique de cookies et notre charte des données personnelles