[data] RGPD synthèse audit v3 (Règlement UE 2016/679 « données personnelles »)

[8 février 2018] Le temps passe et nous nous rapprochons de la date (fatidique ?) du 25 mai 2018. PAS DE PANIQUE, pitié, le Titanic n’est pas en train de couler ! Les Autorités de contrôle ont bien compris que les entreprises ne seraient pas toutes (euphémisme) conformes au RGPD dès le 25 mai prochain et qu’elles n’ont pas toujours les moyens à hauteur de leurs missions (interview de Mme Falque-Pierrotin, Présidente de la CNIL du 22 janvier 2018). Comprenez juste qu’il faut vous y intéresser maintenant, et commencer à agir (pour de vrai) entre maintenant et très bientôt… Vous vous interrogez encore sur l’ampleur de la tache à accomplir ? Voici pour vous une présentation en version longue « RGPD synthèse audit« , qui tient compte de l’ensemble des remarques / commentaires / questions que j’ai entendu depuis quelques mois déjà. Et pour rendre les choses pratiques, nous avons privilégié une approche « clients / prospects / salariés RH » pour chacun des aspects du RGPD.

La présentation v3 accessible dans le slider juste en dessous est donc assez profondemment refondue au regard de la v2.5 qui datait de septembre 2017. Evidemment, tout est dans les slides en BD. Juste après le slider, un résumé classique pour les plus littéraires d’entre vous.



Merci aux participantes et aux participants de la journée de formation les Echos Lamy Conférence le 8 février 2018 au Trocadéro. J’espère avoir répondu à vos questions ! 


RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]


RGPD synthèse audit : les définitions essentielles

Evidemment, nous commencerons basiquement par la définition de « donnée à caractère personnel » et de celle de « traitement » pour savoir si le RGPD s’applique aux data de votre système d’information. Si votre base de données comporte des data purement techniques (par exemple une base de données géographiques ou météo), a priori, vous sortez du champ du RGPD. Si vous réfléchissez à propos de vos fichiers clients / prospects / fournisseurs, ne réfléchissez plus et appliquez le RGPD. Si, enfin, vous ne savez pas ce que sont aujourd’hui les métadonnées, c’est le moment de vous intéresser au problème. Car c’est très probablement sur votre stock de « métadonnées à caractère personnel » que la présente synthèse et audit RGPD devrait s’appliquer…

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Cliquez sur le lien qui suit pour accéder au détail des notions fondamentales de la GDPR. Si en plus vous souhaitez mettre ce texte en perspective avec l’évolution de la technique des réseaux de communication électronique et du droit européen qui s’y applique, une seule solution : vous pencher sur le « droit de la data« .

1 – RGPD synthèse audit : les 3 critères d’application territoriale

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Vous avez déterminé qu’effectivement, vous traitez des données [personnelles] ? Mais ces traitements tombent-ils dans le champ d’application territorial du RGPD ? Vous n’y échapperez que si votre entreprise est située hors de l’UE et seulement si vous traitez des données de citoyens situés hors de l’UE. Dans tous les autres cas, ce sera obligatoirement le RGPD.

Et pour les prestataires HORS UE qui traitent des données en  provenance de l’UE, n’oublions pas l’obligation de désigner un « représentant » GDPR sur le territoire de l’UE.

Cliquez sur le lien qui suit pour accéder au détail des règles d’application territoriale du RGPD dans notre étude des notions fondamentales de la GDPR).

2 – RGPD synthèse audit : responsable du traitement ou sous-traitant ?

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Si des données sont traitées, il faut savoir à quel titre. Vous serez « data controller » (responsable de traitement) si votre entreprise décide des moyens et des finalités du traitement de données. Dans les autres cas, votre entreprise sera « data processor » (sous-traitant). Evidemment, votre entreprise peut assumer les deux rôles selon les traitements. Ce qui est sûr ? Le sous-traitant traite des données qui ne sont pas les siennes. Dans le cas contraire, il n’est plus seulement sous-traitant.

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Question récurrente : et si le sous-traitant collecte des données pour le responsable du traitement ? Et bien, il sera (probablement) responsable du traitement de cette collecte spécifique de données, et ce sera alors sur lui que peseront les obligations d’information des personnes concernées. A moins que ce soins-traitant affiche clairement collecter des données [personnelles] au nom et « pour le compte » du responsable du traitement (son client). CE QUI VEUT DIRE QUE LE SOUS-TRAITANT NE SERA PAS AUTORISE A UTILISER CES DONNEES POUR SON PROPRE COMPTE. C’est logique.

Cliquez sur le lien qui suit pour accéder à notre étude détaillée des droits et obligations s’imposant spécifiquement aux sous-traitants.

3 – RGPD synthèse audit : la nature des données

Selon la nature des données traitées, les contraintes induites par le RGPD-GDPR ne sont pas identiques. Alors, dès le départ, regardez si vous traitez des données sensibles (politiques, religieuses, santé…) ou des données pénales.

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Attention aussi de vérifier si vous collectez des données de mineurs entre 13 et 16 ans. Sur ce point, il faudra attendre la loi française, puisque les Etats membres de l’UE ont une option sur ce point. Pour l’état de ce qui se prépare en France, nous ne disposons aujourd’hui que du projet de loi du Gouvernement du 13 décembre 2017.

Cette étape d’audit sur les data peut débuter par un audit des applications actives dans le SI de votre entreprise. Cela peut permettre de savoir quel logiciel traite quoi… Ne souriez pas, cette démarche est problématique dans certaines entreprises dont les grandes directions utilisent des applications « métier » sans forcément en informer la DSI. C’est particulièrement vrai avec la généralisation de la mise à disposition d’outils logiciels en mode SaaS.  

Le détail de ces définitions et des régimes dérogatoires prévus dans la GDPR sont résumés dans le post sur les « notions fondamentales de la GDPR« .

4 – RGPD synthèse audit : les traitements soumis à analyse d’impact

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Cette étape est cruciale. Il va bien falloir lire en détail les 3 critères posés par le RGPD-GDPR pour les « traitements à grande échelle« … Puis il va falloir choisir d’en informer (ou pas) l’Autorité de contrôle pour prendre son avis. Prendre le risque de ne pas le faire, alors que vous auriez pris la décision de rédiger une « Privacy Impact Assessment » me paraitrait un choix surprenant…

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les traitements « à grande échelle ».

5 – RGPD synthèse audit : les « bases juridiques » des traitements

Dans la mesure où tout responsable de traitement aura l’obligation d’informer les personnes dont elle traite les données des « bases juridiques » retenue par le traitement, votre audit devrait vous permettre d’opter pour un traitement AVEC ou SANS consentement.

Si vous choisissez AVEC consentement, il vous faudra respecter la manière dont la GDPR impose la collecte de ce consentement. Je vous rappelle by the way que le retrait du consentement = obligation d’effacement (pas de désactivation, ni d’archivage). « EFFACEMENT » : c’est le terme de l’article 17 RGPD.

Si vous choisissez un traitement SANS consentement (comme par exemple « nécessaire à exécution d’un contrat ») ou, plus tentant mais beaucoup plus difficile, « nécessaire aux fins des intérêts légitimes du responsable du traitement », vous devrez l’indiquer clairement aux personnes concernées. Clairement.

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Que votre entreprise collecte directement des données ou fasse l’acquisition de fichiers, dans les deux cas, l’entreprise devra informer chaque personne concernée. Car les obligations d’information en cas de collecte « directe » ou « indirecte » sont bien reprise dans l’obligation de transparence de l’article 12 RGPD qui impose l’obligation d’information, corollaire des droits dont disposent les personnes concernées.

Et sans doute aurez-vous intérêt à ne pas fonder certains de vos traitement sur un choix unique. Car le panachage de fondement (AVEC et SANS consentement donc) est parfaitement possible dans le RGPD-GDPR. Et si vous êtes assez courageux/courageuse pour lire en détail le RGPD, vous verrez que les traitements AVEC consentement offrent une grande sécurité juridique pour le responsable du traitement. Oubliez tout de suite l’opt-out, il est expressément éliminé de ce texte. Le consentement devra repose sur une décision « informée » de chaque personne et sur une action positive (un « oui » verbal sans ambiguïté ou une case à cocher non pré-cochée…).

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.

6 – RGPD synthèse audit : les 6 critères de licéité des traitements

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

TOUS les traitements devront respecter des finalités explicites et légitimes, et les volumes de données collectées devront suivre ces mêmes principes. C’est ici qu’intervient la notion essentielle de « minimisation » : vous pourrez collecter les données nécessaires au service à rendre (les besoins interne de votre entreprise ou le service à rendre à vos clients). Pas plus, et certainement pas tout… Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.

Je vous rappelle que la charge de la preuve du respect de ces 6 principes pèsera sur le responsable du traitement, lequel professionnel ne sera présumé « compliant » que s’il a adhéré à un programme de certification ou à un code de conduite validé par son Autorité de contrôle…

7 – RGPD synthèse audit : l’information obligatoire des personnes concernées

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

C’est à ce stade que le RGPD-GDPR peut faire le plus peur : il faudra informer clairement les personnes dont les données sont traitées. En plus de toute information nécessaire au titre des GCU/CGV par exemple. En cas de collecte directe de données par l’entreprise ET de collecte indirecte (achat/location de fichiers, etc.). Et la liste est… comment dire… dense. 

En plus, il faudra rappeler systématiquement la liste des droits offerts aux personnes : accès, rectification (bien sur) et aussi le fameux « droit à l’oubli » (officiellement « droit à l’effacement »), le droit nouveau à « limitation » en réalité étroitement associé aux traitements SANS consentement « pour les intérêts légitimes » du responsable du traitement.

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les droits d’accès / rectification / limitation.

Cliquez sur le lien qui suit pour accéder à notre étude spécifique sur les droits d’opposition à prospection / profilage. Car il y a un droit d’opposition général et un droit spécial, notamment pour les traitements SANS consentement « nécessaires aux intérêts légitimes » du responsable du traitement

Cliquez sur le lien qui suit pour accéder à notre étude compète du « droit à portabilité » (RGPD + loi République Numérique du 7 octobre 2016).

A mon sens, pour être « full GDPR compliant », j’ai peur que certains responsables de traitement na soient dans l’obligation de re-qualifier certaines de leurs bases de données clients/prospects (par exemple et bien entendu au hasard…).

8 – RGPD synthèse audit : les nouvelles obligations

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Dès le 25 mai 2018, toute entreprise, responsable de traitement comme sous-traitant :

  • devra avoir mis en place un « registre des activités de traitement »;
  • devra avoir pris des mesures techniques de chiffrement et de pseudonymisation des données traitées;
  • devra avoir organisé un process technique et juridique de notification des failles de sécurité et des éventuelles fuites de données consécutives;
  • devra veiller à son obligation de transparence, c’est-à-dire à la parfaite information sur les droits offerts aux personnes dont les données sont traitées

C’est à cette étape que nous vous suggérons de regarder vos éventuels transferts de données hors UE.

Cliquez sur le lien qui suit pour accéder à notre étude complète sur les nouvelles obligations GDPR.

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

9 – RGPD synthèse audit : vérification des contrats BtoB et BtoC

RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]

Vous n’y couperez pas… vos CGU/CGV, vos contrats de service SaaS… il faudra que TOUS vos contrats (que vous les rédigiez ou que vous signiez après négociations ceux de vos partenaires) reprennent les obligations imposées par le RGPD…

 Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les clauses contractuelles obligatoires dans les contrats de sous-traitance portant sur des données personnelles.

Pour une revue détaillée des contrats SaaS à jour de la réforme 2016 du droit des contrats ET des obligations GDPR applicables aux sous-traitants, c’est ici qu’il faut cliquer.

10 – RGPD synthèse audit : la nécessaire certification ?

Pour que votre entreprise soit « GDPR compliant », vous devrez à l’avenir quasi obligatoirement passer par l’étape certification / code de conduite. Dans les 2 cas, vous serez soumis à une obligation d’audit régulier… Car c’est bien de vouloir respecter la loi à la date de sa mise en application (c’est la loi…) mais au fond, il va surtout falloir organiser votre process permanent de conformité. C’est la partie immergé de l’iceberg, de loin la plus importante en réalité. D’aucuns travaillent à la mise en place d’outils et de process de certification sur le long terme, en relation étroite avec la CNIL.


RGPD synthèse audit v3 données à caractère personnelles [Ledieu-Avocats]