Le fait de récupérer, stocker et utiliser des données à caractère personnel doit se faire de manière extrêmement rigoureuse. Et ce qui est vrai aujourd’hui, sous la loi Informatique et Libertés, le sera encore plus en mai 2018, lorsque le RGPD entrera officiellement en vigueur.

Ainsi, outre les prérequis qui seront demandés avant toute collecte (minimisation des données, consentement éclairé, analyse d’impact, etc.), le nouveau règlement européen comportera également une clause exigeant la mise en place d’un certain nombre de procédures internes, destinées à assurer la confidentialité des informations recueillies, et à les protéger contre une éventuelle utilisation inopportune.

Les conditions préalables à toute collecte de données à caractère personnel

Le RGPD met en avant le concept de « Privacy by design », lequel introduit la notion de protection des données et de la vie privée dès la conception. Il s’agit d’assurer en amont la prévention des risques de tous ordres, en incitant les responsables des traitements à respecter les obligations prévues par le nouveau règlement, et en les encourageant à faire preuve de vigilance, de bon sens, et de discernement…

  • Choix des données : privilégier la qualité plutôt que la quantité. C’est ce que la CNIL appelle le « principe de minimisation ». Le but étant de ne conserver que les données absolument nécessaires aux fins visées. Exemple : l’inscription à une newsletter ne doit en principe requérir qu’une adresse email. Les noms, adresses, ou encore numéros de téléphone sont totalement superflus et inutiles.
  •  

  • Obtenir le consentement des citoyens ciblés par la collecte, après les avoir explicitement informés sur leurs droits (droit d’accès aux données, d’effacement ou encore de rectification), ainsi que sur les finalités précises de la démarche (objectif du traitement), et ses modalités (durée de conservation des informations, à qui sont-elles destinées ?).
  •  

  • Mener une étude d’impact préalable en cas de données sensibles (informations médicales, convictions religieuses, opinions politiques, appartenance syndicale, etc.), afin de mesurer les risques si une crise de sécurité devait survenir.
  •  

  • Sensibiliser tous les acteurs du traitement de données, pour que les bonnes méthodes soient toujours appliquées. Et si le traitement est externalisé chez un sous-traitant, veiller à ce que ce dernier soit parfaitement en conformité avec le RGPD, et applique correctement les règles de sécurité.

 

Traitement et conservation de données à caractère personnel : les principes à respecter

  • Garantir la sécurité des données dès leur collecte et jusqu’à leur stockage (privé ou Cloud), en utilisant notamment des procédés de protection, comme le chiffrement ou la pseudonymisation.
  •  
    Dans le cas du chiffrement, un algorithme est utilisé pour crypter les données et les rendre illisibles. Un logiciel, associé à une clef (mot de passe, suite de chiffres, de lettres, etc.) est nécessaire pour l’opération de cryptage/décryptage. Si les données à caractère personnel sont migrées dans le Cloud, elles peuvent être chiffrées depuis la plateforme d’envoi (PC, tablette, smartphone), ou directement dans le Cloud.

    Dans le cas de la pseudonymisation, l’identifiant est remplacé par un pseudonyme. Le procédé est à différencier de celui de l’anonymisation, complètement irréversible, qui sort du contexte du RGPD dans la mesure où les données anonymisées ne permettent plus d’identifier une personne, ce qui n’est pas le cas des données pseudonymisées.

    • Mettre en place une sauvegarde efficace, capable, si besoin, de remettre rapidement (et correctement) en ligne des données, notamment à la suite d’une perte, d’une altération ou d’une destruction non programmée.
    •  

    • Contrôler la gestion des accès (ACL). Prévoir un système d’authentification fort, afin de s’assurer de l’intégrité des utilisateurs. Le but étant de ne pas exposer les données à des personnes non autorisées, qui pourraient en faire mauvais usage.

    A noter que ces différents dispositifs de sécurité devront être régulièrement vérifiés et testés pour s’assurer de leur constante efficacité.

    En cas de contrôle de la CNIL, toute défaillance relevée pourra être considérée comme une violation des obligations en matière de sécurité, et passible à ce titre d’une lourde sanction (maximum 10 millions d’€ ou 2% du chiffre d’affaires mondial). D’où l’intérêt de pouvoir recourir à un Délégué à la Protection des Données (DPO), dont l’une des fonctions sera de veiller au respect permanent de cette obligation de sécurité des traitements.

     

    Sources :

    https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article32

    https://www.linformaticien.com/dossiers/rgpd160-serez-vous-pr234t160-1.aspx

     

    A venir : RGPD : que doit contenir un registre des traitements ?

     

    Nathalie Dentico

    Rédactrice Web Ylneo

    %d blogueurs aiment cette page :