[GDPR] synthèse et audit (Règlement « data protection » 2016/679)

[mis à jour le 30 mai 2017] Etrange anniversaire : dans 12 mois tout juste, la GDPR entrera effectivement en vigueur. Que vous soyez juriste, entrepreneur, RSSI / DSI ou futur DPO, vous vous sentez perdu dans la masse d’informations à digérer sur ce texte novateur et extrêmement dense ? Il vous reste 12 mois pour mettre votre entreprise en conformité avec la loi européenne sur la protection des données [personnelles]. Il n’est pas trop tard pour organiser votre audit, il est juste temps.

Synthèse et audit GDPR

Tant qu’à faire, il nous a semblé intéressant de tourner cette synthèse sous forme de méthode d’audit. Car telle est bien la difficulté de cette réforme fondamentale. Dès le 25 mai 2018, cette loi s’appliquera directement, sans loi nationale, dans chaque pays de l’Union Européenne. Et il n’y est nulle part prévu dans la GDPR de validation (même de manière temporaire) des traitements de données existants.

Un binôme d’audit « juridique + informatique » ?

Vous, les gens de l’informatique, vous n’y arriverez pas seuls. Et nous, les juristes, nous n’y arriverons pas non plus sans les pro de la technique informatique. Car les contraintes techniques et juridiques induites par la GDPR sont le plus souvent indissociables. Et il va falloir arbitrer. La meilleure manière de faire à cet égard est probablement de confier le dossier à une équipe pilote mixte dans laquelle chacun va devoir faire l’effort (enfin) d’apprendre les termes « métier » de l’autre…  

Donc, dès le 25 mai 2018, vos traitements de données [personnelles] seront conformes – ou pas – à la GDPR. Pour qu’ils le soient le plus possible, suivez le guide sur « ce sur quoi doit porter votre audit« .

Evidemment, nous repartirons basiquement de la définition de « donnée à caractère personnel » et de celle de « traitement » pour savoir si la GDPR s’applique aux data de votre Système d’information. Si votre base de données comporte des data purement techniques (par exemple une base de données géographiques ou météo), a priori, vous sortez du champ de la GDPR.

Cliquez sur le lien qui suit pour accéder au détail des notions fondamentales de la GDPR

1 – les 3 critères d’application territoriale de la GDPR

Vous avez déterminé qu’effectivement, vous traitez des données [personnelles] ? Mais ces traitements tombent-ils dans le champ d’application territorial de la GDPR ? Vous n’y échapperez que si votre entreprise est située hors de l’UE et seulement si vous traitez des données de citoyens situés hors de l’UE. Dans tous les autres cas, ce sera la GDPR.

Cliquez sur le lien qui suit pour accéder encore aux notions fondamentales de la GDPR.

2 – le rôle de l’entreprise

Si des données sont traitées, il faut savoir à quel titre. Vous serez « data controller » (responsable de traitement) si votre entreprise décide des moyens et des finalités du traitement de données. Dans les autres cas, votre entreprise sera « data processor » (sous-traitant). Evidemment, votre entreprise peut assumer les deux rôles selon les traitements. Ce qui est sûr ? Le sous-traitant traite des données qui ne sont pas les siennes.

Cliquez sur le lien qui suit pour accéder à notre étude détaillée des droits et obligations s’imposant spécifiquement aux sous-traitants.

3 – l’audit de la nature des données

Selon la nature des données traitées, les contraintes induites par la GDPR ne sont pas identiques. Alors, dès le départ, regardez si vous traitez des données sensibles (politiques, religieuses, santé…) ou des données pénales. Attention aussi de vérifier si vous collectez des données de mineurs entre 13 et 16 ans. Cette étape peut débuter par un audit des applications actives dans le SI de votre entreprise. Cela peut permettre de savoir quel logiciel traite quoi… Ne souriez pas, cette démarche est problématique dans certaines entreprises dont les grandes directions utilisent des applications « métier » sans forcément en informer la DSI. C’est particulièrement vrai avec la généralisation de la mise à disposition d’outils logiciels en mode SaaS.  

Le détail de ces définitions et des régimes dérogatoires prévus dans la GDPR sont résumés dans notions fondamentales de la GDPR.

4 – les traitements soumis à Privacy Impact Assessment (analyse d’impact)

Cette étape est cruciale. 12 mois avant l’entrée en vigueur de la GDPR, nous ne disposons pas encore de la liste des traitements obligatoirement soumis à PIA. Il va bien falloir lire en détail les 3 critères posés par la GDPR pour les « traitements à grande échelle« … Puis il va falloir choisir d’en informer (ou pas) l’Autorité de contrôle pour prendre son avis. Prendre le risque de ne pas le faire, alors que vous auriez pris la décision de rédiger une PIA me paraitrait un choix surprenant…

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les traitements « à grande échelle ».

5 – audit et « bases juridiques » des traitements

Dans la mesure où tout responsable de traitement aura l’obligation d’informer les personnes dont elle traite les données des « bases juridiques » retenue par le traitement, votre audit devrait vous permettre d’opter pour un traitement AVEC ou SANS consentement. Si vous choisissez AVEC consentement, il vous faudra respecter la manière dont la GDPR impose la collecte de ce consentement. Si vous choisissez un traitement SANS consentement (comme par exemple « nécessaire à exécution d’un contrat« ) ou, plus tentant mais beaucoup plus difficile, « nécessaire aux fins des intérêts légitimes du responsable du traitement« ), vous devrez l’indiquer clairement aux personnes concernées. Clairement.

Que votre entreprise collecte directement des données ou fasse l’acquisition de fichiers, dans les deux cas, l’entreprise devra informer chaque personne concernée. Car les obligations d’information en cas de collecte « directe » ou « indirecte » sont bien reprise dans l’obligation de transparence de l’article 12 GDPR qui impose l’obligation d’information, corollaire des droits dont disposent les personnes concernées.

Et sans doute aurez-vous intérêt à ne pas fonder certains de vos traitement sur un choix unique. Car le panachage de fondement (AVEC et SANS consentement donc) est parfaitement possible dans la GDPR. Et si vous êtes assez courageux/courageuse pour lire en détail la GDPR, vous verrez que les traitements AVEC consentement offrent une grande sécurité juridique pour le responsable du traitement. Oubliez tout de suite l’opt-out, il est expressément éliminé de ce texte. Le consentement devra repose sur une décision « informée » de chaque personne et sur une action positive (un « oui » verbal sans ambiguïté ou une case à cocher non pré-cochée…).

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.

6 – les 6 critères de licéité des traitements

TOUS les traitements devront respecter des finalités explicites et légitimes, et les volumes de données collectées devront suivre ces mêmes principes. C’est ici qu’intervient la notion essentielle de « minimisation » : vous pourrez collecter les données nécessaires au service à rendre (les besoins interne de votre entreprise ou le service à rendre à vos clients). Pas plus, et certainement pas tout…

Je vous rappelle que la charge de la preuve du respect de ces 6 principes pèsera sur le responsable du traitement.

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.

7 – l’information des personnes concernées

C’est à ce stade que la GDPR peut faire le plus peur : il faudra informer clairement les personnes dont les données sont traitées. En plus de toute information nécessaire au titre des GCU/CGV par exemple. En cas de collecte directe de données par l’entreprise ET de collecte indirecte (achat/location de fichiers, etc.). Et la liste est… comment dire… dense. 

En plus, il faudra rappeler systématiquement la liste des droits offerts aux personnes : accès, rectification (bien sur) et aussi le fameux « droit à l’oubli » (officiellement « droit à l’effacement »), le droit nouveau à « limitation » en réalité étroitement associé aux traitements SANS consentement « pour les intérêts légitimes » du responsable du traitement.

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les droits d’accès / rectification / limitation.

Cliquez sur le lien qui suit pour accéder à notre étude spécifique sur les droits d’opposition à prospection / profilage. Car il y a un droit d’opposition général et un droit spécial, notamment pour les traitements SANS consentement « nécessaires aux intérêts légitimes » du responsable du traitement…

Cliquez sur le lien qui suit pour accéder à notre étude compète du « droit à portabilité » (GDPR + loi République Numérique du 7 octobre 2016).

A mon sens, pour être « full GDPR compliant », j’ai peur que certains responsables de traitement en soient dans l’obligation de re-qualifier certaines de leurs bases de données clients/prospects (par exemple et bien entendu au hasard…).

8 – les nouvelles obligations GDPR

Dès le 25 mai 2018, toute entreprise, responsable de traitement comme sous-traitant :

  • devra s’interroger sur son éventuelle obligation de désigner un DPO
  • devra avoir mis en place un « registre des activités de traitement »
  • devra avoir pris des mesures techniques de chiffrement et de pseudonymisation des données traitées
  • devra avoir organisé un process technique et juridique de notification des failles de sécurité et des éventuelles fuites de données consécutives
  • devra veiller à son obligation de transparence, c’est-à-dire à la parfaite information sur les droits offerts aux personnes dont les données sont traitées

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur le Data Protection Officer.

Cliquez sur le lien qui suit pour accéder à notre étude complète sur les nouvelles obligations GDPR.

9 – audit et évolution des contrats BtoB et BtoC

Vous n’y couperez pas… vos CGU/CGV, vos contrats de service SaaS… il faudra que TOUS vos contrats (que vous les rédigiez ou que vous signiez après négociations ceux de vos partenaires) reprennent les obligations imposées par la GDPR…

 Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les clauses contractuelles obligatoires dans les contrats de sous-traitance portant sur des données personnelles.

Pour une revue détaillée des contrats SaaS à jour de la réforme 2016 du droit des contrats ET des obligations GDPR applicables aux sous-traitants, c’est ici qu’il faut cliquer.

10 – la nécessaire certification GDPR ?

Pour que votre entreprise soit « GDPR compliant », vous devrez quasi obligatoirement passer par l’étape certification / code de conduite. Dans les 2 cas, vous serez soumis à une obligation d’audit régulier…

Mais ? 12 mois avant l’entrée en vigueur de ces documents (qui simplifieraient grandement vos démarches d’audit de « GDPR compliance »), ni la Commission européenne, ni aucune des Autorités de contrôle n’ont à ce jour publié aucun de ces documents.

Aurez-vous la patience d’attendre ?