DonkeyCode : Introduction sur la conformité RGPD

Introduction sur la conformité RGPD

Qu'est ce que c'est que "RGPD" ?

Le Règlement Général sur la Protection des Données, RGPD (ou GDPR en anglais) va entrer en vigueur le 25 mai 2018. Les personnes concernées auront 2 ans pour s'y rendre conforme.

Il permettra d’accroître sensiblement les droits des citoyens en leur donnant plus de maîtrise sur leurs données. En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue.

Quelles données sont concernées ?

Toutes les données personnelles : identité, âge, email, téléphone, les adresses IP, les identifiants…

La loi définit le traitement de ces données comme ″toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation […], l’effacement ou la destruction″.

Qui est concerné ?

Toutes les entreprises, quelle que soit leur taille ou activité
Les associations & organismes publics
Les fournisseurs tiers (sous-traitants) seront co-responsables des données traitées
Services et départements : ventes, marketing/communication, juridique, DSI, RH, finance, production…

Quelles sont les exigences du RGPD ?

Obligation de prouver leur implication dans la démarche de conformité
Identifier précisément toutes les collectes de données (document de recensement justificatif à l’appui) en respectant des principes de sélection stricte et de conservation limitée
Sécuriser les données contre les risques de perte, de vol ou de divulgation
Récolte minimale et explicite des données
Limitation de leur durée de conservation
Autorisation à un droit d’accès, de rectification, de suppression, de portabilité, de transparence des données
Audit et contrôle de la conformité
Documenter les mesures et les procédures de protection
Notifier la CNIL, sous 72h en cas de risque réel d'atteinte à la protection de la vie privée
Être conforme au 25 mai 2020

Quels sont les risques encourus ?

Jusqu'à 4% du CA ou 20M€
Risques en terme d'image
Pertes de marché potentielles
Sanctions juridiques, jusqu'à 5 ans d'emprisonnement

Quelle démarche mettre en place ?

Complexité du règlement (99 articles répertoriés en 11 chapitres)
Mise en oeuvre de nouveaux process de gestion interne
Renforcement des solutions de sécurité des données

Les modifications majeures côté dévelopeur web

L'utilisateur doit pouvoir supprimer ses données (https://gdpr-info.eu/art-17-gdpr/)
L'utilisateur doit pouvoir supprimer ses données envoyées aux outils tiers (https://gdpr-info.eu/art-19-gdpr/)
L'utilisateur doit pouvoir exporter ses données, format non défini (ex: JSON) (https://gdpr-info.eu/art-20-gdpr/)
L'utilisateur doit pouvoir éditer son profil (même si inscrit depuis Facebook) (https://gdpr-info.eu/art-16-gdpr/)
Diviser la case à cocher "J'accepte les termes et conditions" en 1 case à cocher par autorisation nécessaire (https://gdpr-info.eu/art-7-gdpr/)
Préparer un envoi de mail aux utilisateurs utilisant la solution afin de les informer du changement des conditions d'utilisation et pour les inviter à mettre à jour leurs préférences sur les données utilisées
L'utilisateur doit pouvoir visualiser ses données, et que ce soit "lisible" (pas en JSON) (https://gdpr-info.eu/art-15-gdpr/)
Vérifier l'âge de l'utilisateur, et s'il a moins de 16ans, demander une autorisation parentale (https://gdpr-info.eu/art-8-gdpr/)
Désigner un DPO (Data Protection Officier) qui sera le chef d'orchestre chargé d'informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi les employés, pour piloter en continu la conformité