Trois cas de figure bien clairs pour la conformité RGPD

Nous ne sommes également pas égaux face au Règlement, personnes physiques ou morales, (très) petites, moyennes ou grandes entreprises,…

La plus grande disparité existe mais il nous semble que la summa divisio est celle qui sépare :

  1. les organisations qui satisfont déjà la réglementation actuelle et en particulier la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et
  2. les entreprises qui n’ont pas encore mis en place une politique de protection des données personnelles ; et
  3. celles qui gèrent des données privées particulièrement sensibles.

Nous explorons une situation concrète pour chaque division et appliquons les 13 étapes recommandées par la Commission de protection de la vie privée en Belgique pour s’assurer de la conformité de votre entreprise au Règlement: https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN%20FR%20-%20V2.pdf

 

13 ÉTAPES POUR LA CONFORMITÉ

1. Entreprise de recrutement ou de marketing qui a déjà mis en place des mécanismes de protection des données

Si la CONSCIENCE dans le chef personnes clés et des décideurs quant aux changements à venir est probablement bien présente, la vaste majorité des entreprises européennes sont insuffisamment préparées (voir la Libre Belgique du… et : une étude menée par Vanson Bourne pour Sophos révèle que 54 % des entreprises comprennent mal les amendes associées à la nouvelle réglementation européenne RGPD (General Data Protection Regulation : https://www.digimedia.be/News/fr/20992/les-entreprises-en-belgique-ignorent-la-loi-sur-la-protection-des-donnees.html.)

L’entreprise tient donc déjà un REGISTRE DES DONNÉES qui inventorie les données à caractère personnel qu’elle conserve, leur origine et les personnes avec lesquelles elle les partage. Elle enregistre tous les traitements qu’elle opère sur ces données. Elle a probablement déjà réalisé un audit d’information à cet effet.

En termes de COMMUNICATION, l’entreprise a déjà  évalué sa déclaration de confidentialité existante et prévu les modifications nécessaires à y apporter à la lumière du RGPD.

En termes de respect des DROITS DE LA PERSONNE CONCERNÉE, l’organisation doit veiller à ce que les procédures actuelles prévoient tous les droits que la personne concernée peut invoquer, y compris la manière dont les données à caractère personnel peuvent être supprimées ou dont les données seront communiquées par voie électronique.

Une procédure de DEMANDE D’ACCÈS existe et est mise à jour eu égard aux nouveaux délais du RGPD.

L’organisation s’assure que le FONDEMENT LÉGAL POUR LE TRAITEMENT DE DONNÉES À CARACTÈRE PERSONNEL est à chaque fois documenté et pour les différents types de traitements de données.

Cette entreprise a évalué la manière dont elle demande, obtient et enregistre le CONSENTEMENT et apporte les modifications nécessaires.

Puisque certains clients ou simples personnes concernées sont des ENFANTS, l’organisation a Développé des systèmes qui vérifient l’âge de la personne concernée et qui demandent le consentement au(x) parent(s) ou au(x) tuteur(s) pour le traitement de données de mineurs.

Toutes les parties prenantes de l’entreprise sont impliquées dans la prévention des procédures adéquates pour détecter, rapporter et analyser des FUITES DE DONNÉES à caractère personnel.

L’entreprise et son personnel dédié à la conformité au Règlement se familiarisent avec les notions de LA PROTECTION DES DONNÉES DÈS LA CONCEPTION et L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES.

Un DÉLÉGUÉ À LA PROTECTION DES DONNÉES est déjà désigné et se prépare à son nouveau rôle.

AU NIVEAU INTERNATIONAL, l’entreprise a déterminé de quelle autorité de contrôle elle relève.

Les CONTRATS EXISTANTS, principalement avec des sous-traitants,  ont été évalués et les changements nécessaires apportés et en temps utile.

Elle peut être rassurée: elle est conforme au RGPD.

 

2. Un Cabinet comptable qui n’a jamais pris de mesures spéciales de protection des données

En pratique, le professionnel du chiffre : comptable, expert-comptable ou réviseur traitera les données sur la base du consentement, afin de pouvoir exécuter sa mission ou la préparer,  respecter une obligation légale, comptable, fiscale ou de sécurité sociale et aux fins de ses intérêts légitimes.

Le métier même des professionnels du chiffre ne se réduit-il pas à l’accomplissement pour leurs clients de devoirs légaux et l’évaluation et le conseil quant aux risques de violer ces obligations pour précisément pouvoir les en protéger ?

Pour accomplir leur mission, les professionnels du secteur en contact avec les (futurs) clients ne doivent-ils pas accéder à des informations nécessairement personnelles, et parfois sensibles, de ceux-ci (notamment en termes de niveaux de revenus ou de patrimoine)?

Le consentement que le cabinet comptable doit recevoir devra donc être donné en réponse à une demande de consentement présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie d’une déclaration qui constitue une violation de cette obligation n’est contraignante pour la personne concernée.

Même si le consentement donné ne porte à priori et en règle pas sur les données sensibles au terme du Règlement (article 9) puisque absolument inutiles pour accomplir la mission (respect du principe de limitation des données), le simple fait par exemple de devoir identifier leurs clients par le biais de leur carte d’identité ou autres moyens doit inciter les professionnels à bien vérifier : 1) la base sur laquelle le traitement est opéré (il y en a 6 cf article 6) et 2) si des données sensibles sont collectées, alors que l’interdiction de l’article 9 ne s’applique pas.

Sa hantise comme tout responsable du traitement des données et donc in fine de toute entreprise qui les collecte, est plus que jamais d’être victime d’une violation des données à caractère personnel… et leur diffusion publique.

 

3. Un club privé qui ne sait pas ce qu’il risque si ses membres et certaines de leurs particularités (richesse, orientation sexuelle ou autres) sont déballées sur la place publique?

Si l’entreprise traite en outre des catégories particulières de données à caractère personnel (par exemple des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé,…), les conditions du traitement sont limitées et compliquées tout comme le consentement requis.

Le consentement requis pour les catégories particulières de données doit quant à lui être explicite et pour une ou plusieurs finalités spécifiques.

Quelles sont données sensibles ? Les voici :

  1. l’origine raciale ou ethnique
  2. les opinions politiques
  3. les convictions religieuses ou philosophiques
  4. l’appartenance syndicale
  5. le traitement des données génétiques
  6. données biométriques aux fins d’identifier une personne physique de manière unique
  7. données concernant la santé
  8. données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

Le principe est simplement l’interdiction sauf CONSENTEMENT EXPLICITE.

C’est normal et intuitif : Plus vos technologies/finalités du traitement sont intrusives de la vie privée, plus vous devrez vous organiser pour obtenir un consentement explicite.

A supposer donc que les clients de ce club aient marqué leur consentement clair, net et précis sur des données aussi personnelles que leurs revenus, leurs préférences sexuelles, des données concernant leurs pratiques sexuelles, leur santé ou plutôt sans doute absence de maladies, leur origine raciale ou ethnique,…  Ce club privé se voit particulièrement exposé aux mesures à prendre pour SAUVEGARDER et donc SECURISER ces données et éviter toute VIOLATION DES DONNEES ou DATA BREACH.

La plupart des questions relatives aux violations de données sont traitées dans le cadre des formations du personnel ou d’échec du respect de procédures ou règles d’entreprises. Il peut s’agir de l’attaque d’un criminel qui se connecte à vos systèmes pour extraire des informations (ou les crypter) ou d’un membre du personnel qui n’a pas la formation pour savoir qu’il ne peut « cliquer » sur une application, email ou document. C’est en règle parce que nos services informatiques et manuels de procédure ne prévoient pas de mécanismes de sécurité lors de la conception. La sensibilisation et formation du personnel et la conception par défaut de mécanismes de sécurité empêchera de nombreuses violations de données.

Le nouvel article 32 du Règlement pose particulièrement haut la barre du niveau de sécurité du traitement des données : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) » et fourni ensuite une liste de mesures qu’il considère appropriées (dont la pseudonymisation et le chiffrement).

Les systèmes doivent accumuler différentes fonctions ou qualités

  1. proactifs : ils empêchent les violations de données avant qu’elles ne se produisent
  2. dès la conception : conçus afin d’offrir la meilleure protection des données
  3. par défaut : les procédures et process assurent la meilleure protection de manière automatique
  4. incorporés : la protection des données est la caractéristique essentielle de tout système
  5. pleinement fonctionnels : la protection des données est planifié et sans compromis
  6. permanents : une protection est assurée durant tout le cycle de vie du produit
  7. transparent : des procédures indépendantes vérifient la conformité du système à la protection des données.

A défaut,

Les amendes sont réparties en deux catégories en fonction de la nature des manquements :

  • maximum 10 Mo d’euros ou 2 % du chiffre d’affaires mondial de l’exercice précédent
  • maximum 20 Mo d’euros ou 4 % du chiffre d’affaires mondial de l’exercice précédent.

C’est à chaque fois le montant le plus élevé (nominal ou en pourcentage du CA) qui est retenu.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du  chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Pour apprécier le montant de l’amende, l’autorité de contrôle doit notamment prendre en considération:

  1. la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement concerné, ainsi que du nombre de personnes concernées affectées et le niveau de dommage qu’elles ont subi; (…)
  2. les catégories de données à caractère personnel concernées par la violation;

Si les données du club privé se retrouvaient  « sur la toile » nul doute que l’amende sera particulièrement « salée »… Il suffit de s’imaginer la tête de ses collègues au travail un lundi matin après que ces données particulièrement privées aient été dévoilées.