Règlement Général sur la Protection des Données.

Le RGPD rentre en vigueur dès aujourd’hui (25 mai 2018). Envie d’en savoir plus sur ce règlement européen ou de connaître les actions mises en place chez Webqam afin d’être en conformité avec ce règlement ? Alors vous êtes au bon endroit !

RGPD définition & objectifs

Le Règlement Général sur la Protection des Données, également appelé RGPD, encadre le traitement des données personnelles sur le territoire de l’Union européenne. Dans les faits, celui-ci s’inscrit dans la continuité de la Loi française « Informatique et Libertés » de 1978.

Ainsi ce règlement européen a pour objectif principal l’amélioration de la protection et la confidentialité des données mais il a aussi pour but :

– d’uniformiser la réglementation au niveau européen,

– de renforcer le droit des personnes en redonnant aux citoyens le contrôle de leurs données personnelles (protection de la vie privée, droit à l’oubli, …),

– de responsabiliser davantage les entreprises à devenir responsables et garantes du respect de la vie privée en développant notamment l’autocontrôle,

– de pousser au respect des règles en augmentant les sanctions,

–  d’harmoniser la réglementation européenne et rendre plus cohérente l’action des autorités de contrôle.

Concrètement, le RGPD réaffirme les droits pour les personnes concernées de maîtriser leurs données en leur conférant des droits : droits d’accès, de rectification, d’effacement, d’opposition, etc.  Ainsi une personne pourra facilement & rapidement contacter une entreprise possédant ses données personnelles afin de lui demander une rectification ou un effacement des données.

Quelles données sont considérées comme personnelles et donc directement concernées par ce règlement ?

Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée ou identifiable ». En soit, une personne peut être identifiée directement avec par exemple son nom et/ou son prénom. Mais aussi indirectement, avec par exemple, un identifiant (n° client), un numéro (de téléphone), une donnée biométrique, plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale, mais aussi la voix ou l’image. Il faut donc noter que de nombreuses données sont concernées par ce règlement.

Suis-je concerné par cette mesure ? La réponse est oui !

En effet, tout organisme (public ou privé) qui traite, échange, manipule des données de personnes situées dans l’Union Européenne est concerné ! Et ceci quel que soit, sa taille, son pays d’implantation & son activité (site e-commerce, site vitrine avec formulaire de contact, réseaux sociaux, CRM).

Que se passe-t-il si vous ne mettez pas en oeuvre ce nouveau règlement ?

Vous risquez potentiellement de (lourdes) sanctions. Effectivement les sanctions peuvent aller jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, en matière de PIA.

Il est également prévu de monter jusqu’à des sanctions atteignant 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffres d’affaires annuel mondial pour manquement notamment aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

Au final le RGPD n’apporte que des contraintes et des inconvénients… Faux !

Contrairement à ce que l’on pourrait croire le RGPD n’apporte pas que des inconvénients et contraintes !

Tout d’abord car ce nouveau règlement va permettre de renforcer la confiance & la transparence entre les différentes parties prenantes.  Effectivement, toute personne qui vous confie ses données personnelles établit avec vous une relation de confiance et souhaite le respect de ses droits et de sa vie privée. Grâce au RGPD les droits des personnes concernées sont réaffirmées puisque celles-ci peuvent plus facilement maîtriser leurs données en leur conférant des droits : droits d’accès, de rectification, d’effacement, d’opposition, etc.

Deuxièmement, le RGPD permet d’améliorer les process en interne puisque avec le RGPD on entre dans un principe de « minimisation » des données et l’obligation de tenir à jour la liste de vos fichiers vous permettant ainsi de faire le point sur les données que vous collectez et d’identifier vos besoins réels.

Également le RGPD permet de travailler davantage sur les notions de sécurité dans les développements et en interne puisqu’il est indispensable de protéger son patrimoine informationnel et protéger les personnes concernées.

Les actions mises en place chez Webqam dans le cadre du RGPD

Webqam travaille sur le sujet depuis début 2018, afin d’être prêt & conforme pour le RGPD.

1) Webqam a désigné son pilote

Webqam a délégué le rôle de DPO (Data Protection Officer) à Sébastien NOIRIE, actuellement Directeur Technique chez Webqam.

Le rôle du DPO est d’être le référent de l’entreprise sur les sujets de sécurisation des données. Celui-ci doit ainsi se former et sensibiliser l’ensemble de l’équipe sur ces sujets. Le DPO est également là pour établir un inventaire des traitements de données personnelles, contrôler le bon respect du règlement au quotidien, améliorer nos outils pour prendre en compte le RGPD, coopérer avec l’autorité de contrôle et s’informer sur le contenu des nouvelles obligations.

Ainsi l’ensemble de l’équipe Webqam a d’ailleurs reçu une demi-journée de formation sur le RGPD.

2) Webqam a cartographié l’ensemble des données sensibles traitées

La deuxième action menée à été la création d’un registre de l’ensemble des traitements de données personnelles que nous réalisons.  Ainsi pour chaque données que nous récupérons pour nous ou pour nos clients nous devons savoir précisément :

– la finalité,

– les données personnelles catégorisées,

– les acteurs (internes, externes, sous-traitants),

– les flux,

– le lieu où elles sont stockées,

– leur durée de conservation,

– les mesures de sécurité.

Pour cela nous avons ajouté des nouvelles fonctionnalités sur notre outil de suivi et de ticketing Redmine. Grâce à celui-ci nous pouvons savoir, entre autres, rapidement & facilement si un de nos client est conforme ou non au  RGPD et ainsi l’alerter si cela n’est pas le cas et être force de conseil sur le sujet

Nous avons également identifié tous les traitements se faisant en dehors de l’UE afin de nous assurer que tous ces traitements se font dans les règles définies par la RGPD. Par exemple pour les sociétés américaines, s’assurer que celles-ci figurent dans la Privacy Shield .

3) Webqam gère les risques

Webqam réalise une analyse d’impact sur la protection des données (PIA) sur des projets pouvant engendrer des risques élevés pour les droits et libertés des personnes concernées.

4) Webqam a revu ses process en interne

Afin d’accompagner et conseiller ses clients, Webqam prend en compte le RGPD en amont de la conception des sites. En amont d’un projet, Webqam sensibilise ses clients & partenaires sur les réflexes à adopter lors de la conception d’un site notamment dans le traitement des modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…)

5) Webqam a documenté sa conformité

Afin de prouver notre conformité RGPD et les actions mises en places, nous avons mis en place :

– le registre des traitements,

– les PIA des sujets à risques élevés.

– écrit les procédures pour l’exercice des droits,

– mis à jour les contrats avec nos sous-traitants,

– écrit les procédures internes en cas de violations de données,

– les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.

Maintenant à vous de jouer !

Maintenant comme vous l’aurez compris c’est à vous de jouer ;). Pas encore conforme RGPD ? Alors n’hésitez pas, nous sommes là pour vous accompagner, conseiller et être force de propositions afin de respecter ces nouvelles obligations. N’hésitez pas à nous contacter si vous avez d’autres questions, remarques ou interrogations sur le sujet.