RGPD

Avocat spécialiste du RGPD : intervention de Jérôme DEROULEZ à l'école de formation des avocats de Montpellier le 9 novembre 2018

Avocat spécialiste RGPD, Jérôme DEROULEZ est intervenu sur les principes généraux du RGPD. Cette formation était organisée à l'école de formation des avocats centre-sud de Montpellier le 9 novembre 2018.

Elle avait pour public les avocats et élèves avocats.

Jérôme DEROULEZ a notamment rappelé l'architecture du règlement européen et les principaux changements apportés.

Cette formation avait enfin lieu dans le cadre du séminaire européen de formation TRADATA.

Les clés pour réussir son audit RGPD par DEROULEZ AVOCATS

Les clés pour réussir son audit RGPD

AUDIT

AUDIT

L’audit RGPD est une étape clé de la mise en conformité pour les entreprises et toutes les organisations privées ou publiques. La CNIL a d’ailleurs indiqué que la cartographie de l’ensemble des traitements constituait l’une des étapes indispensables d’un plan d’action réussi, au même titre que la désignation d’un pilote ou la gestion des risques.

Nous proposons ici quelques conseils et retours d’expérience au sujet des audits RGPD pour faire de cette étape obligée un outil efficace de mise en conformité et une nouvelle étape dans la valorisation et l’utilisation de données personnelles.

Pourquoi faire un audit RGPD ?

Réaliser un audit RGPD de l’ensemble des traitements de données personnelles peut apparaître comme une étape contraignante mais un tel exercice constitue en réalité l’étape préalable à toute mise en conformité. En effet, c’est cet audit RGPD qui permettra de dresser un état des lieux du niveau de conformité en matière de protection des données. Ce n’est pas une fin en soi non plus mais le début du processus de mise en œuvre du RGPD avec pour objectif de disposer d’un aperçu global et exhaustif des différents traitements de données.

Une vision à 360 degrés

L’audit RGPD ne doit pas seulement lister l’ensemble des données personnelles traitées et les traitements. Au contraire. Il s’agit :

  • d’évaluer la pertinence des données traitées de leur collecte à leur conservation ;

  • de suivre les différents traitements de données et leur historique ;

  • de questionner les prestataires et sous-traitants sur leur politique protection des données ;

  • d’attester des outils mis en place pour permettre l’exercice des droits des personnes concernées (droit d’accès, droit à l’oubli ou à la portabilité) et garantir la transparence ;

  • de vérifier le niveau de sécurité des données et les mesures mises en place (chiffrement, pare-feu, anti-virus etc…).

Un audit spécifique RGPD ?

Cette analyse permet d’avoir une vision objective et exhaustive permettant ensuite de prendre des mesures concrètes et les plus adaptées aux besoins de chaque structure. Cette tâche d’analyse des process et de la documentation peut sembler fastidieuse mais elle doit être considérée avec intérêt car elle constitue la première étape de votre mise en conformité.

Cet exercice fait aussi appel à des notions juridiques, complexes et techniques et il est nécessaire de bien comprendre les contours et les enjeux des notions qui sont mobilisées. Une mauvaise compréhension de ces différents éléments (par exemple des mesures à mettre en place obligatoirement ou non) induira nécessairement une mauvaise réalisation de votre audit et du plan de conformité qui en découle.

Pourquoi désigner un pilote de la conformité ?

C’est la personne en charge de la mise en conformité RGPD, le pilote de la conformité qui devra prendre en charge la réalisation de l’audit. Son rôle est central pour permettre de disposer de toutes les informations nécessaires, depuis la documentation contractuelle, l’historique Informatique et libertés ou les projets impliquant de nouveaux traitements de données.

Le pilote devra aussi mobiliser tous les salariés et personnels concernés ainsi que les équipes techniques et informatiques pour vérifier qu’aucun aspect n’a été oublié. Il ne s’agit pas seulement d’établir un audit exhaustif mais aussi de poser les bases de la documentation RGPD.

Audit RGPD : Quelle approche ?

La réalisation d’un outil RGPD doit mobiliser des outils interactifs et dynamiques ainsi que des normes et des méthodes rigoureuses. En effet, si ce type d’audit diffère d’autres types d’audits (audit produit, audit processus et audit systèmes), l’objectif reste le même : une vérification exhaustive des processus en regard des exigences identifiées, une étude de l’ensemble des processus et du rôle de chaque acteur.

La qualité de cet audit doit faire l’objet d’une réflexion en amont. La CNIL[1] comme d’autres autorités de contrôles (l’ICO[2] britannique notamment) ont ainsi eu l’occasion de préciser leurs exigences et de mettre en place leurs référentiels et labels. Elles ont également proposé des bonnes pratiques qui constituent autant d’outils disponibles pour accompagner au mieux les structures auditées.

Les audits doivent ainsi intégrer des exigences fortes en termes de connaissances utilisées, d’identification des structures auditées, d’identification des traitements et de leur licéité ou d’étude de la sécurité.

Ils doivent aussi prendre en compte les autres démarches initiées ou existantes au sein des entreprises ou des structures concernées (au titre de la démarche qualité, de la RSE ou des normes ISO/IEC 27001 ou ISO/IEC 27552, bonnes pratiques génériques de protection de la vie privée de l’AFNOR ISO/IEC 29151 par exemple).

Choisir un cabinet d’avocat pour réaliser un audit RGPD présente le double avantage de bénéficier de compétences fortes en droit de la protection des données personnelles et d’être conseillé juridiquement tout au long de ce processus.

Réaliser un audit peut enfin être une opportunité pour associer différents partenaires et rassembler des compétences diversifiées, sous réserve des rôles et responsabilités de chacun des acteurs impliqués (cabinets d’avocats, sociétés de conseil, prestataires informatiques et experts en sécurité informatique).

Méthode : comment commencer ?

Un audit RGPD doit être exhaustif et efficace. A ce titre, il importe de pouvoir rapidement disposer d’une grille de lecture d’ensemble. Pour cette raison il est important de privilégier les points suivants :

  • une session de formation et d’information destinée à mobilier autour de ce projet ;

  • la mise en place d’un questionnaire qui permettra de sérier l’ensemble des questions à se poser et de constituer une trame pour l’audit ;

  • le recueil d’information sur la structure à auditer et ses enjeux de développement ;

  • le suivi de l’actualité juridique dans le domaine d’activité audité et les questions spécifiques et ;

  • la compilation des mesures prises avant l’entrée en application du RGPD (déclarations ou autorisations à la CNIL, nomination d’un CIL etc…).

Cartographier

L’audit a pour objectif d’aboutir à une cartographie synthétique de l’ensemble des traitements de données personnelles, depuis leur collecte jusqu’à leur effacement ou leur destruction. Ce travail de cartographie ne doit pas oublier non plus les données conservées en format papier (archives, listings etc…), bien au contraire.

Cet exercice de cartographie suppose de suivre la démarche suivante :

  • Identifier les données personnelles (par exemple les adresses IP, adresses MAC ou les données relatives aux habitudes de vie) ;

  • Classer les données personnelles par catégories et identifier les données sensibles (données d’état-civil, données de santé, données bancaires etc…) ;

  • Evaluer la pertinence des données collectées, dans une visée de minimisation et de proportionnalité ;

  • Recenser les différents traitements effectués sur les données personnelles (pour mémoire la notion de traitement de données englobe toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, verrouillage, effacement ou destruction, ...).

Il convient aussi de prendre en compte les éléments suivants :

  • Identifier les différents acteurs et leurs responsabilités (responsable de traitement, sous-traitant, sous-traitant ultérieur etc…), condition indispensable de la définition d’un cadre clair et de la révision de la documentation contractuelle ;

  • Noter les procédures mises en place ou non pour assurer les droits des personnes et le respect des règles en matière de consentement ;

  • Tracer les éventuels transferts internationaux de données (notamment dans le cadre du recours à des sous-traitants et prestataires hors UE ou de recours au cloud) afin de leur apporter les garanties nécessaires ;

  • Revue des mesures de sécurité des données permettant de garantir un niveau de sécurité adapté au risque ;

Audit RGPD : Et après ?

Une fois avoir répondu à toutes ces questions et dressé un panorama exhaustif des traitements de données, un rapport d’audit sera rédigé qui prendra en compte l’ensemble des éléments recueillis.

Ce rapport d’audit donnera lieu à un plan d’action RGPD adapté à votre structure et qui fera apparaître les différentes missions par liste de priorités. Enfin, la mise en place de solutions adaptées à vos besoins vous sera proposée au titre de votre mise en conformité.

Cet audit pourra enfin constituer une base à la documentation devant être constituée au titre de l’accountability.

L’audit RGPD permettra aussi d’interroger l’ensemble des traitements effectués sur la base des principes du RGPD et de la législation Informatique et libertés (proportionalité, minimisation etc…).

A cet égard, la réalisation d’un audit doit également permettre de promouvoir une réflexion interne sur la gouvernance de la donnée et les usages. De plus, la mise en place d’outils privacy-by-design suppose souvent une approche globale technique et juridique qui doit être pensée en amont, afin de pouvoir développer des applications et des solutions plus respectueuses de la vie privée. Dans le cas des environnements les plus complexes

Le cabinet DEROULEZ AVOCAT vous accompagne dans la réalisation de votre audit RGPD et reste à votre disposition pour toutes vos questions.

[1]https://www.cnil.fr/fr/les-labels-cnil

[2]https://ico.org.uk/media/for-organisations/documents/1533/auditing_data_protection.pdf

HOTELS ET RGPD: Quelle sécurité des données personnelles ?

Hôtels et RGPD: Cet article constitue la seconde partie de notre étude relative à la conformité RGPD des hôtels. Il abordera la problématique de la sécurité des données personnelles.

A quelques jours des départs pour les vacances d’été, de nombreuses personnes vont séjourner dans des hôtels ou y utiliser des services en ligne. Les vacanciers sont de plus en plus connectés et élèvent désormais en critère de choix la mise à disposition d’un réseau WIFI dans les chambres d'hôtels. Ce critère était même le plus important selon une enquête réalisée par Hotels.com[1]. Ces « vacances connectées » ne sont cependant pas sans risques comme le rappelle la CNIL dans son article « utiliser un WIFI public ? Voici 5 précautions à prendre... »[2].

données

données

Les hôtels connectés : quels enjeux au regard du RGPD?

RGPD: Les hôtels, en plus de fournir une connexion WIFI, mettent également en place d’autres mesures qui peuvent présenter des risques pour la sécurité des données personnelles de leurs clients et leur bon fonctionnement : mesures de sécurité par des badges, cartes, à l’aide parfois de procédés biométriques, caméra de vidéosurveillance... Or des dispositifs de sécurité adaptés sont nécessaires afin de garantir que les données de leurs clients, simples vacanciers ou même professionnels, dans le cadre de voyages d’affaires soient protégées efficacement.

En effet, le secteur de l’hôtellerie est particulièrement impacté par les nouvelles dispositions du RGPD et devra ainsi en respecter les obligations (mise en place de registre des activités de traitement, réalisation d’études d’impact, désignation d’un DPO). L'obligation de sécurité des données figure également expressément dans le règlement (article 32), à la charge des responsables de traitement et de leurs sous-traitants. Des mesures de sécurité adaptées sont donc nécessaires, avec pour objectif d’éviter des difficultés de type scandale « Dark Hôtel » (quand des hackers avaient exploité des réseaux WIFI d’hôtels de luxe) ou encore de type ransomware[3] (avec en l'espèce une paralysie des systèmes d’ouverture des chambres d’hôtels).

Les enjeux liés à la sécurité des hôtels débordent aussi largement du seul droit à la protection des données personnelles et s'étendent au secret professionnel, au secret des affaires, à la propriété intellectuelle, à la concurrence entre entreprises ou encore à l’e-réputation des établissements en cas de violation de données personnelles. Comme indiqué dans notre précédent article, les données collectées sont aussi potentiellement très sensibles (convictions religieuses, opinion politiques, données relatives à la santé, préférence et style de vie...) et doivent à ce titre faire l’objet d’une protection particulière.

I/ Quelles obligations ?

Responsables de traitement, les hôtels devront respecter les principes fondamentaux de la protection des données et se conformer aux nouvelles obligations RGPD. 

Les responsables de traitement devront dans un premier temps faire une cartographie détaillée des données collectées dans le but d’établir un registre des activités de traitement. Chaque traitement de données devra faire l’objet d’une fiche à part entière, comme par exemple une fiche pour le traitement des données RH, une fiche pour le traitement des données clients, une fiche pour le traitement de données par l’intermédiaire de vidéosurveillance ou par le formulaire de collecte du site...

Les responsables de traitement devront prendre en compte des mesures de sécurité adaptées, et ce de manière encore plus importante quand l’hôtel sera connecté.

Caméra de vidéosurveillance, badge contrôlant l’accès aux locaux ou aux chambres, sécurité des sites internet, sécurité des bases de données, conformité des différents sous-traitants et prestataires, sécurité de la mise à disposition du réseau WIFI pour les clients... En cas de mise à disposition d’ordinateurs, TV connectés ou autres objets connectés, il sera également conseillé d’encadrer leur usage par l’intermédiaire d’une charte d’utilisation des ressources informatiques. Cette charte pourra être signée lors de la réservation de la chambre d’hôtel.

Les responsables de traitement devront aussi veiller aux durées de conversation et à leur conformité aux recommandations de la CNIL. A ce titre, ils pourront se référer au référentiel de durées de conservation[4].

Par exemple, en cas de :

  • Données de vidéo surveillance : des caméras de vidéosurveillance peuvent être installées dans les parties communes d’un hôtel à des fins de sécurité par exemple. Les données ne peuvent être conservées que pour une durée de 30 jours (article L.251-1 du code de la sécurité intérieure).

  • Données de trafic (lors de l'utilisation du réseau WIFI d'un hôtel: adresses IP, date, heure, durée de chaque connexion, informations permettant d’identifier le destinataire d’une communication). Si ces données doivent être conservées, ce n'est pas le cas du contenu des communications qui ne doit pas être conservé (par exemple l’objet ou le corps d’un courrier électronique). Ces données peuvent être conservées 1 an à compter de leur enregistrement (article L.34-1 du code des codes et des communications électroniques).

Les responsables de traitement devront également informer les personnes concernées des différents traitements de données les concernant. Il conviendra d’assurer une information des personnes concernées, que ce soit par le moyen d’un panneau d’affichage dans les locaux de l'hôtel ou lors de la réservation de la chambre. Cette information devra être mise à disposition dans des termes simples, de façon claire, non ambiguë et accessible. Ainsi, cette information ne devra pas être communiquée dans le cadre de conditions générales de vente par exemple mais de manière distincte et visible.

Enfin, les responsables de traitement devront mettre en œuvre des mécanismes destinés à assurer une effectivité des droits (droit d’accès, droit à la rectification, droit d’opposition et droit à l’effacement des données personnelles). Une adresse mail contact pourra être mise à disposition des personnes concernées afin de les informer de leurs droits.

II/ Quelle politique de sécurité des données personnelles?

La sécurité n’est pas absolue et les failles de sécurité demeurent possibles. A ce titre, il importe de souligner la nécessité d’une vigilance au quotidien et de l’adoption de bonnes pratiques quant à l’utilisation des outils informatiques.

Des conseils pourront notamment être apportés à la clientèle et par exemple :

  • Ne pas utiliser le WIFI pour communiquer des données sensibles (santé, données bancaires) et privilégier sa propre connexion 3 ou 4G. Désormais avec la fin des frais de d’itinérance à l’intérieur de l’Union européenne, les opérateurs ne facturent plus de supplément au sein de l’UE et cette option est donc à privilégier.

  • Minimiser les informations qui circulent et les connexions à ses comptes personnels

  • Se déconnecter systématiquement après chaque session et ne pas laisser ses affaires personnelles à libre disposition

  • S’assurer de se connecter au bon réseau WIFI et non pas à des WIFI qui porteraient le nom de l’établissement afin de détourner des connexions

  • Ne pas de connecter à des réseaux WIFI non sécurisés

Les hôtels, dans le cadre de la fourniture d’une connexion WIFI devront également penser à :

  • Suivre les recommandations de sécurité relatives aux réseaux WIFI de l’ANSSI[5]

  • Evaluer la sécurité de leurs systèmes informatiques et évaluer le niveau de garantie que présentent leurs sous-traitants et prestataires

  • En cas de traitement de données sensibles, particulières et à grande échelle, procéder à une étude d’impact aux risques de manière à identifier le risque pour ensuite adapter les mesures de sécurité à mettre en place

La sécurité des données personnelles est une obligation à part entière au titre du RGPD. En cas de faille de sécurité, les conséquences sont potentiellement importantes, qu'il s'agisse des risques de sanctions ou des enjeux sur la réputation des hôtels concernés. Alors que l'hôtellerie évolue rapidement pour prendre en compte les besoins d'une clientèle connectée et mobile, ces enjeux ne doivent pas être négligés.

Références : 

[1]https://www.lexpress.fr/tendances/voyage/le-wifi-gratuit-premier-critere-de-choix-d-un-hotel_1230486.html

[2]https://www.cnil.fr/fr/utiliser-un-wifi-public-voici-5-precautions-prendre

[3]http://www.lefigaro.fr/secteur/high-tech/2017/01/30/32001-20170130ARTFIG00169-un-virus-informatique-paralyse-un-hotel-de-luxe-en-autriche.php

[4]https://www.cnil.fr/fr/limiter-la-conservation-des-donnees

[5]https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-aux-reseaux-wifi/

Quelle application du RGPD au secteur de l'hôtellerie?

RGPD: Quelle application au secteur de l'hôtellerie?

RGPD""

RGPD""

RGPD: Le secteur de l’hôtellerie collecte aujourd’hui de plus en plus de données personnelles, qu’il s’agisse de données nominatives, des données relatives à la réservation d’une chambre ou de celles liées aux préférences, goûts et habitudes de vie, ou de la santé des clients.

Ces données personnelles sont destinées à satisfaire la clientèle des hôtels et offrir des services de plus en plus personnalisés. Ces données peuvent être ensuite réutilisées et transférées à différents partenaires dans un but de fidélisation ou d’amélioration des prestations.

Cet article constitue un premier volet sur le thème de la conformité RGPD dans le secteur de l’hôtellerie et a pour but de recenser les différentes données collectées par l’hôtellerie et d’aborder les premières questions relatives à leur mise en conformité.

I/ Quelle collecte des données personnelles dans le secteur de l’hôtellerie ?

Différents types de données personnelles de clients sont collectées lors d’une réservation de chambre d’hôtel :

- Des données personnelles peu sensibles, relatives à l’identité (nom, prénom, âge, date de naissance, numéro de téléphone, adresse e-mail etc.) ou à la vie familiale (nombre d’enfants, mariés, célibataires etc.)

- Des données personnelles particulières ou sensibles liées à des allergies ou intolérances alimentaires, à la nécessité d’une chambre aménagée pour des personnes handicapées, ou encore des données issues de moyens biométriques lors de contrôle d’accès.

- Des données relatives aux convictions religieuses ou philosophiques du fait d’un régime alimentaire spécifique en raison de convictions religieuses ou d’une réservation liée à un événement particulier (réunion politique ou syndicale).

Certains hôtels sont également amenés à collecter davantage de données dans le but d’offrir des prestations et une expérience client très qualitative, notamment dans le secteur du luxe.

II/ La collecte de ces données est soumise au RGPD

Toutes ces données peuvent être qualifiées de données personnelles au sens du RGPD, voire de données sensibles : leur recueil devra être encadré et leur collecte respecter les critères de licéité de l’article 5 du RGPD.

Cela signifie que les données collectées doivent être :

  • Traitées de manière licite, loyale, transparente au regard de la personne concernée

  • Collectées pour des finalités déterminées, explicites et légitimes

  • Adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Exactes et, si nécessaires, tenues à jour

  • Conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées

  • Traitées de façon à garantir une sécurité appropriée des données à caractère personnel

III/ Quelles obligations au titre du RGPD ?

Des mentions d’informations:

Le traitement et l’utilisation de ces données impliquent de nombreuses obligations, de la mise à disposition d’une information transparente, au recueil du consentement :

- Les gérants d’un hôtel devront mettre à disposition de manière claire, facile et intelligible, les différentes données qu’ils collectent dans le cadre de la relation contractuelle avec leurs clients et prospects.

- Les mentions d’informations devront être adaptées en fonction du mode de recueil : site internet, téléphone, salon du voyage...

- La personne concernée doit être informée des mentions des articles 12 et 13 du RGPD de manière « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples » et notamment:

  • de l’identité et des coordonnées du responsable du traitement

  • le cas échéant des coordonnées du DPO

  • des finalités du traitement et la base juridique du traitement

  • les destinataires ou les catégories de destinataires des données à caractère personnel

  • les transferts de données en dehors de l’Union européenne

L’intensité de l’obligation d’information pourra également varier en fonction de la nature de la donnée collectée, par exemple dans le cadre d’une utilisation de la biométrie: 

- Les sites Internet devront enfin être mis à jour (mentions légales, mentions obligatoires RGPD et clause données personnelles dans les CGV). Une adresse de contact devra être mise à disposition des personnes concernées de manière à recevoir les questions, les demandes de suppression, de rectification ou d’information sur leurs données.

Registre de traitement

L’article 30 du RGPD impose la tenue d’un registre des activités de traitement afin de recenser l’intégralité des traitements réalisés au sein de l’organisme. Ce registre doit être mis à jour régulièrement, être clair, facilement accessible et compréhensible en cas de procédure de contrôle de la CNIL.

Dans le cas d’un hôtel « connecté » (wifi, caméra de surveillance, sécurité et biométrie), les dispositifs devront aussi être encadrés et documentés afin d’attester de leur conformité.

A suivre dans un prochain article, les enjeux liés à la sécurité des données dans les hôtels.

RGPD : Jérôme DEROULEZ a publié un article sur les responsabilités des maires dans la Gazette des communes d'avril 2018

Interview de Jérome Deroulez dans la Gazette des Communes

«Données personnelles : quelles responsabilités pour les maires ?»

 

Jérôme Deroulez est revenu sur les obligations qui pèseront sur le maire en matière de protection des données personnelles à compter du 25 mai prochain, date d'entrée en application du RGPD.

 

« Alors que le Règlement général sur la protection des données personnelles (RGPD) entre en application le 25 mai prochain, le sujet de la préparation des collectivités locales et des communes à ce nouveau dispositif a agité le Sénat lors des débats sur l’adaptation de la loi Informatique et Libertés la semaine dernière.

La rapporteure du texte, Sophie Joissains, a ainsi souligné que seule une minorité de collectivités territoriales était en conformité et signalé la difficulté au vu des enjeux suscités par le RGPD au niveau local.»

 

Retrouvez l'intégralité de cet article sur le site de la Gazette des communes.

Petites et moyennes entreprises – avez-vous une charte Informatique et Libertés ?

Disposez-vous d’une charte Informatique et Libertés ? Quelles décisions avez-vous prises pour assurer la sécurité des données que vous collectez ou que vous stockez ? La question est d’actualité alors que la vie des entreprises a été marquée en 2017 par plusieurs failles de sécurité et cyber-attaques (Wannacry [1], NotPetya) qui témoignent de la nécessité de former ses équipes et ses salariés à la sécurité des systèmes d’information.

Pourquoi une charte Informatique et Libertés ?

Cette question est cruciale à la veille de l’entrée en application du Règlement général sur la protection des données personnelles qui a fait de la sécurité des systèmes d’information et des données des priorités, le RGPD renforçant par ailleurs les niveaux de sanction applicables.

A ce titre, l’article 32 du RGPD prévoit notamment que le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, et suggère entre autres de recourir à la pseudonymisation et au chiffrement des données à caractère personnel, aux moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement; aux moyens permettant de rétablir la disponibilité des données à caractère personnel ou encore à une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

Accountability et sécurité des données

Avec la consécration du principe d’accountability, responsables de traitement et sous-traitants devront aussi être en mesure de démontrer qu’ils ont mis en œuvre les mesures nécessaires destinées à assurer la sécurité des traitements. Au-delà des outils énumérés par le RGPD, les chartes Informatique et Libertés sont également un moyen efficace pour les entreprises de démontrer leur conformité tout en favorisant en interne la diffusion de la culture de la sécurité informatique.

Pourtant, de nombreuses entreprises n’ont pas encore ou peu cette culture de la sécurité de leurs données comme en atteste ce très récent passage diffusé sur le 19h45 de M6 à une heure de grande audience où apparaissaient, visibles en clair à l’écran, différents mots de passe affichés sur le poste du travail d’un salarié d’ENGIE relevé par un compte Twitter.

Charte informatique et libertes

Charte informatique et libertes

Était ainsi pointée l’absence de prise de conscience de la protection des mots de passe par un mécanisme adéquat.

Le présent article sera donc l’occasion de rappeler la nécessité et l’intérêt pour les entreprises de disposer d’une charte Informatique et Libertés.

Cette charte devra être annexée au règlement intérieur de l’entreprise afin de la rendre opposable aux salariés et collaborateurs.

Qui met en place la charte Informatique et Libertés ?

C’est l’employeur dans le cadre de son pouvoir de direction et de contrôle qui peut (et le plus souvent qui doit) encadrer l’activité informatique et l’accès à Internet de ses salariés et collaborateurs, dans le respect du droit à la vie privée du salarié[2].

En effet, une telle charte est souvent indispensable et notamment pour encadrer les utilisations à des fins privées de certains sites et éviter de futurs contentieux. Peuvent être ainsi traitées par la charte les questions de la consultations de sites qui seraient expressément interdits par la charte informatique [3],l’installation de logiciels non autorisés[4]la divulgation non autorisée d’informations confidentielles [5]les mesures de sécurité qui doivent être mise en œuvre (chiffrement, sécurisation des mots de passe) etc… Avec en conséquence la nécessité d’énoncer clairement ces bonnes pratiques de sécurité au sein de la charte.

La mise en place de la charte a de multiples intérêts : elle constitue un outil pédagogique utile pour les salariés et collaborateurs, notamment lors de nouvelles embauches. Elle permet aussi de valoriser et de protéger les process mis en œuvre au sein des entreprises en matière de sécurité des données personnelles.

Comment rédiger sa charte informatique et libertés? Nos conseils

Introduction de la charte (Préambule) :

  • Indiquez en introduction les objectifs de la Charte.

  • Exposez l’objectif et la portée de la Charte.

  • Expliciter les attentes de votre entreprise pour faire de la charte un outil de sensibilisation en interne sur les questions de sécurité.

  • Indiquez des éléments de protection des données personnelles et mentionnez la désignation d’un DPO ou les personnes « contact » utiles

Opposabilité de la charte :

  • Veillez à énumérer de façon exhaustive tous les personnels et collaborateurs concernés par la charte.

  • Explicitez les modalités d’information sur la charte (lieux d’affichage, documentation, modalités de prise de connaissance par les salariés et les collaborateurs et de signature etc…)

Définitions :

  • Les termes utilisés doivent être clairs et précis.

  • Une attention particulière sera portée à la rédaction de la charte pour en assurer la neutralité technologique à terme afin d’englober de futures innovations technologiques (par exemple la Blockchain ou le recours à l’AI).

Quelles règles d’utilisation du système d’information – usages :

  • Recensez d’abord l’ensemble des besoins auxquels le système d’information doit répondre.

  • Répertoriez tous les outils numériques mis à disposition des salariés et collaborateurs.

  • Définissez une politique de confidentialité des accès et des mots de passe et développez des bonnes pratiques.

  • Définissez et explicitez les pratiques autorisées (gestion des habilitations, usages et renouvellement des mots de passe, procédures à respecter.

  • Définissez quelles sont les mesures de sécurité prises afin de sécuriser l’accès aux différents postes dans votre entreprise.

Quelles obligations pour les utilisateurs ?

  • Rappelez aux utilisateurs qu’ils sont responsables des ressources informatiques qu’ils utilisent.

  • Rappelez aussi des règles de bon sens (ne pas insérer des clefs UBS étrangères à l’entreprise, pas de communication excessive des données et notamment à des personnes non autorisées...).

  • Posez des règles claires quant à l’utilisation d’Internet et des outils informatiques de votre entreprise à des fins personnelles.

  • Définissez des conditions d’utilisation des espaces de stockage ou pour l’installation de logiciels.

  • Rappelez les conditions d’utilisation de la messagerie électronique de l’entreprise et soulignez la présomption de professionnalité des messages transmis.

Outils de contrôle du poste informatique / surveillance du salarié :

  • Indiquez quels outils de filtrage sont mis en place.

  • Explicitez les systèmes de contrôle du salarié et les différentes informations pouvant être enregistrées.

  • Notez que ces outils de contrôles et de surveillance des salariés devront être proportionnés à l’objectif poursuivi.

Travail à distance et mobilité des salariés :

  • Prenez en compte la virtualisation ou non des postes de travail avec leurs conséquences (règles d’attribution et d’usages des matériels, tablettes, téléphones et ordinateurs portables).

  • Posez des règles claires dans les cas de mobilité des salariés et exposez les différentes situations envisageables.

Sanctions :

  • La charte doit indiquer quelles sont les sanctions prévues.

  • Elle doit également préciser les conditions d’engagement de la responsabilité civile et pénale des salariés et des collaborateurs ou de procédures disciplinaires.

Entrée en vigueur de la charte :

  • Précisez la date d’entrée en vigueur de la charte et d’entrée en application.

  • Mettre les annexes en lien ou notes de bas de page

Annexe - Dispositions légales applicables:

- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

- Loi informatique et libertés

- Code pénal : article 226-16 à 226-24 et R.625-10 à R.625-13

- Loi Godfrain : article 323-1 et 323-3 code pénal

Références:

[1]https://www.lesechos.fr/idees-debats/cercle/cercle-170062-wannacry-la-cyber-securite-le-talon-dachille-de-lentreprise-2087140.php

[2]« Le salarié a droit, même au temps et au lieu du travail, au respect de l'intimité de sa vie privée ». Cour de cassation,Chambre sociale, 2 octobre 2001, n° 99-42.942. Voir arrêts récent sur la labellisation des fichiers indiqués comme privés et le durcissement de la position de la Cour de cassation après le célèbre arrêt Nikon. CEDH, 22 janvier 2018 ; n° 588/13 mettre l’intégralité du Disc dur comme privé « la dénomination donnée au disque dur lui-même ne peut conférer un caractère personnel à l’intégralité des données qu’il contient ; que la cour d’appel, qui a retenu que la dénomination « D:/données personnelles » du disque dur de l’ordinateur du salarié ne pouvait lui permettre d’utiliser celui-ci à des fins purement privées et en interdire ainsi l’accès à l’employeur, en a légitimement déduit que les fichiers litigieux, qui n’étaient pas identifiés comme étant « privés » selon les préconisations de la charte informatique, pouvaient être régulièrement ouverts par l’employeur ; »

[3]CA Grenoble, ch. soc., 16 janv. 2008, n° 07/01119 : la consultation par un salarié de sites pornographiques, expressément interdit par la Charte informatique, le licenciement pour faute grave du salarié est justifié. Voir aussi Cass. soc., 15 déc. 2010, nº 09-42.691.

[4]CA Paris, pôle 6, ch. 5, 19 janv. 2012, no 10/04071, M. Rudy c/ Sté Zétès, en l’espèce un technicien de maintenance avait installé sur son poste de travail des logiciels qui n’étaient pas autorisés par la Charte informatique.

[5]Cass. soc., 5 juill. 2011, n° 10-14.685 la salariée a été licenciée pour faute grave : la salariée avait permis à un autre salarié qui n’y était pas habilité d’utiliser son code d’accès pour télécharger des informations confidentielles.

Sources complémentaires :

https://www.ssi.gouv.fr/uploads/2017/06/guide-charte-utilisation-moyens-informatiques-outils-numeriques_anssi.pdf

https://www.cnil.fr/sites/default/files/typo/document/20100730-MOD-CHARTE_INFORMATIQUE_CIL-VD.pdf

PROTECTION DES DONNEES: Quelle adaptation en droit français du RGPD?

Le projet de loi relatif à l'adaptation en droit français du règlement général sur la protection des données (RGPD) a été présenté le 13 décembre en Conseil des ministres. Il a pour objectif d'adapter et de transposer le nouveau cadre juridique européen qui entrera en vigueur en mai 2018 et de décliner l'ensemble de ses dispositions. Une telle adaptation est nécessaire parce que le règlement renvoie sur de nombreux points aux droits nationaux. Une première liste de ces renvois a été établie par l'Assemblée nationale dans son rapport d'information de février dernier et 56 points ont ainsi été recensés (par exemple en matière de données sensibles, de consentement des enfants ou d'autorisation du profilage), au-delà des éléments déjà intégrés dans la loi Lemaire pour une République numérique. Le gouvernement a par ailleurs indiqué dans l'exposé des motifs du projet de loi que l'architecture de la loi Informatique et Libertés sera conservée en signalant qu'il s'agissait d'un choix symbolique.  

Ce projet de loi se décompose en cinq titres: dispositions communes au règlement UE 2016/679 et à la directive UE 2016/680, marges de manoeuvre permises par le règlement, dispositions portant transposition de de la directive UE 2016/680, habilitation à améliorer l'intelligibilité de la législation applicable à la protection des données et enfin, dispositions diverses et finales. Nous intéressent plus particulièrement les deux premiers titres ainsi que l'habilitation. Le premier titre traite des dispositions relatives à la CNIL et des dispositions relatives à certaines catégories de données (données sensibles notamment). Le second titre reprend les différentes adaptations proposés s'agissant du champ d'application territorial du règlement, des dispositions relatives à la simplification des formalités préalables aux traitements, des obligations incombant aux responsables de traitements et sous-traitants, des catégories particulières de traitement (plus spécifiquement les données de santé) et enfin des droits des personnes concernés.

 

Cette adaptation du RGPD en droit français constitue un exercice délicat à plusieurs titres, au vu de l'ampleur des travaux à mener:

 

 

CALENDRIER

 

Le calendrier de ces travaux sera très contraint et pourrait générer des difficultés. En effet, le RGPD entrera en application le 25 mai 2018, à la suite d'une période de transition de deux ans, ce qui implique un calendrier législatif très bref puisque ce projet de loi relatif à la protection des données personnelles ne sera discuté qu'à partir de janvier 2018. La CNIL a, dans sa délibérationhttps://www.cnil.fr/fr/la-cnil-publie-son-avis-sur-le-projet-de-loi-relatif-la-protection-des-donnees-personnelles  du 30 novembre dernier, regretté un tel agenda et souligné le risque réel de non-respect des délais de mise en oeuvre du RGPD. Elle a aussi rappelé que l'application effective de ce texte européen nécessitait, au-delà de la future loi, de disposer des décrets d'application et de pouvoir modifier son propre règlement intérieur. A défaut, la mise en oeuvre des mécanismes de coordination et de contrôle ne pourra avoir lieu dans les délais prévus.

 

Un tel calendrier pourrait aussi être interprété comme un mauvais signal politique pour le droit des données personnelles. C'est l'interprétation de la CNIL qui a estimé à juste titre que ce projet de loi ne permettait pas procéder à ce stade à un réexamen global du droit de la protection des données en France. Si le choix du législateur européen de disposer d'un règlement et d'une directive a crée un premier niveau de complexité, la future loi ne devrait pas permettre de fournir une information claire et précise sur la portée des droits et des obligations. Une telle ré-écriture aura lieu avec la future ordonnance prévue au titre IV du projet de loi qui aura pour objet de reprendre l'ensemble de la loi 78-17 du 6 janvier 1978 et de mettre en cohérence la législation applicable à la protection des données. Cette ordonnance sera prise dans un délai de 6 mois à compter de la promulgation de ce projet de loi, ce qui permettra dès lors de satisfaire aux voeux d'une plus grande intelligibilité émis par la CNIL ou le Conseil d'Etat. De tels travaux n'auraient-ils pas dus être menés dans le cadre du présent projet de loi? La question doit être posée, d'autant que le choix de recourir à une future ordonnance peut apparaître comme une remise en cause des choix qui seront faits par le législateur.

 

QUELLE ADAPTATION?

 

Si les règlements européens n'ont pas à être transposés en droit interne du fait de leur portée générale et leur applicabilité directe, le RGPD constitue une exception. Cette adaptation -nécessaire du fait de l'état de la répartition des compétences entre Union européenne et Etats membres- traduit aussi l'état des lieux hérité de l'application de la directive 95/46. La variété - et la complexité- des dispositions appelant des adaptations doit cependant être notée. Le Conseil d'Etat a souligné avec insistance cette difficulté dans son avis du 7 décembre et noté que la nouvelle architecture de conformité mise en place par le RGPD était sans précédent.

 

Cet exercice interpelle également quant aux choix politiques et éthiques à l'oeuvre ou à faire, du fait des évolutions numériques notamment. Le Conseil d'Etat a rappelé la nécessité de disposer de normes robustes face aux évolutions techniques et suggéré une nouvelle fois un code du numérique et des libertés. A défaut d'un tel code, une vision précise reste toujours indispensable pour appréhender tous les enjeux brassés par le sujet de la protection des données personnelles (concurrence économique, traitements massifs de données, place de l'intelligence artificielle etc...), difficile à effectuer dans le cadre de ce projet de loi. D'autant que les 56 points recensés devant faire l'objet d'une adaptation méritent un examen approfondi.

 

Par exemple sur les conditions et des pouvoirs de contrôles de la CNIL, le délégué à la protection des données, la simplification des formalités et le maintien de régimes d'autorisation spécifiques,  le traitement des données sensibles et de santé ou les algorithmes. A ce titre, la question du contrôle des algorithmes est particulièrement intéressante notamment dans le cas des décisions administratives individuelles et annonce une évolution vers un régime plus complet. La CNIL s'est montrée critique sur ce point en notant que la cohérence entre le RGPD et la loi française n'était pas assurée par ce projet alors que cette disposition aura une portée considérable. Parmi ses nombreuses observations, la CNIL a aussi noté qu'un chapitre spécifique aux données de santé était nécessaire tout en s'interrogeant sur certains dispositifs (demandes d'autorisations pour les traitements à des fins de recherche ou information individuelle atténuée).

 

Par ailleurs, si le périmètre de cette adaptation a déjà suscité certaines remarques de la part du Conseil d'Etat et de la CNIL, celle-ci devra intervenir dans les limites d'une interprétation loyale et cohérente du RGPD, à l'image du processus de transposition, ce qui contraindra doublement les futurs travaux parlementaires tenus par un calendrier européen strict. ²

 

Ces débats devront être suivis attentivement. Car des hypothèques demeurent toujours, au-delà des points mentionnés ci-dessus. En effet, comme l'a signalé le Conseil d'Etat, l'étude d'impact du projet de loi n'analyse pas le coût économique de sa mise en oeuvre, en dépit de conséquences significatives pour les entreprises. Un point qui aurait pourtant été nécessaire, en complément de l'étude d'impact effectué lors de la présentation du RGPD. Le Conseil a relevé à ce titre les charges significatives pesant désormais sur les responsables de traitement et qui nécessitent de mettre en place une législation claire et prévisible, prévisibilité qui sera sans doute difficile à assurer au vu du calendrier et de la difficulté de l'exercice.

 

 

RGPD : Publication par Jérôme Deroulez dans le Village de la Justice au sujet de la protection des données personnelles

RGPD et protection des données personnelles: vers de nouvelles règles européennes ( https://www.village-justice.com/articles/protection-des-donnees,21234.html )  

Le « paquet protection des données » doit être formellement adopté au printemps 2016, suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, pour une entrée en application dans un délai de deux ans.

 

Bref rappel chronologique sur le RGPD  :

 

Ce « paquet protection des données » (règlement et directive) avait été proposé par la Commission européenne le 25 janvier 2012, afin de remplacer et de moderniser la directive 95/46 et la décision-cadre de 2008, sur la protection des données personnelles.

Le processus de négociation du RGPD depuis 2012 a été particulièrement complexe du fait des mutations intervenues depuis 1995 dans le domaine numérique et de leurs conséquences pratiques sur la protection des données (essor des usages liées à Internet, respect de la vie privée, propriété des données...).

Le nombre des acteurs potentiellement concernés par cette modernisation législative a également connu une croissance exponentielle, alors que la protection des données personnelles est devenu un enjeu de société très largement médiatisé (droit à l’oubli, surveillance de masse, big data, utilisation du cloud etc).

Du fait de ces éléments, le processus législatif de co-décision [1] entre Conseil, Parlement et Commission européenne a été le théâtre de divergences d’appréciation fortes entre institutions, voire en leur sein (entre Etats membres ou entre groupes politiques européens).

Le remplacement de la directive 95/46 par un règlement a aussi constitué un véritable enjeu puisque le futur texte sera un acte normatif à portée générale et contraignant pour les institutions, les Etats membres et les particuliers, sans transposition nationale.

En tout état de cause, l’accord intervenu entre le Parlement européen et le Conseil, marque une étape supplémentaire dans la construction du droit effectif à la protection des données personnelles au sein de l’Union européenne :

  • Il intervient en effet après deux arrêts marquants de la Cour de Justice de l’Union européenne en 2014 et 2015 [2] qui ont consacré ce droit et rappelé au législateur européen la nécessité de prévoir des garanties effectives et concrètes ;

  • Ce paquet législatif apporte aussi une nouvelle traduction du droit à la protection des données personnelles prévu par le traité sur le fonctionnement de l’Union européenne (article 16 TFUE) [3], droit fondamental garanti par la Charte des droits fondamentaux [4].

Quelles premières conclusions retirer du règlement (RGPD) ?

La portée du règlement doit s’apprécier au regard des objectifs initiaux de la Commission européenne (1/ renforcement du niveau de protection des données personnelles, 2/ facilitation des flux de données au sein du marché intérieur et 3/ réduction des charges administratives).

Après 10 trilogues, le futur règlement apparaît évidemment comme un texte capital (plus de 200 pages, 91 articles, au moins une centaine de considérants) qui imposera une remise à niveau importante, tant pour les opérateurs privés que les autorités publiques.

Le G29 [5] qui regroupe les autorités de contrôle nationales comme la CNIL a déjà fait part de sa disponibilité quant aux travaux à conduire pour mener à bien ce processus.

 

1/ S’agissant du renforcement du niveau de protection des données personnelles, le RGPD affirme ses ambitions avec entre autres :

 

  • Un champ d’application matériel et géographique du règlement ambitieux qui opère une refonte des articles 3 et 4 de la directive 95/46 (et revoit notamment des règles de détermination du droit applicable) ;

  • Le renforcement des conditions du consentement (article 7) et en particulier du consentement parental ;

  • La consécration du droit à l’oubli (article 17), mesure phare pour la Commission lorsqu’elle avait décliné sa proposition et du droit à la portabilité des données (article 18) ;

  • L’encadrement du profilage (article 20) ;

  • La mise en œuvre d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).

Ces dispositions sont-elles à la hauteur des ambitions ?

Elles marquent la volonté du Conseil comme du Parlement de créer des marqueurs tangibles et des nouveaux droits mais elles pourraient au final aboutir à une réalité plus contrastée au vu des nombreuses exceptions crées par le règlement ou reprises de la directive 95/46.

 

2/ Le règlement a aussi pour finalité de faciliter les flux de données au sein du marché intérieur :

 

La dimension « marché intérieur » de ce règlement a été régulièrement soulignée par la Commission, avec en filigrane la nécessité de créer un environnement législatif favorable aux futurs champions européens du numérique.

Plusieurs dispositions constituent des avancées :

  • Le remplacement de la directive 95/46 par un règlement devrait de façon générale favoriser la mise en œuvre de normes européennes uniformes, en l’absence de transpositions nationales (en dépit de certains renvois spécifiques aux Etats membres) ;

  • Le chapitre V - transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue une part essentielle de cet instrument et renforce les mécanismes existants et pour certains critiqués (décision d’adéquation, binding corporate rules) ;

  • Le nouveau « mécanisme de cohérence » (article 57) et les dispositions sur les autorités de contrôle (chapitre VI et VII) doivent structurer la coopération entre ces dernières et faciliter les flux de données au sein du marché intérieur ;

  • Le niveau des sanctions prévu aux articles 78 et suivants (jusque 4% du chiffre d’affaires annuel total mondial) est aussi de nature à renforcer la portée des nouvelles règles européennes et leur efficacité. Ces mécanismes de sanctions faisaient partie des éléments clés de la proposition de la Commission et constituent une véritable innovation. Ils rapprochent aussi cette matière du droit de la concurrence.

Ces règles du RGPD constituent pour certaines de véritables nouveautés, c’est le cas du très controversé mécanisme de cohérence, adopté dans une version dégradée par rapport à la proposition de la Commission. Son succès devra être analysé dans le temps, en fonction des objectifs affichés : il signe néanmoins une préférence pour ce type de mécanisme européen préféré à d’autres méthodes de rapprochement des législations jugées moins efficaces.

 

3/ Le RGPD doit aussi participer à la réduction des charges administratives.

 

Plusieurs mécanismes participent de cet objectif :

  • Renforcement des mécanismes de coopération entre autorités de contrôle et traitement des plaintes ;

  • Simplification générale des obligations pesant sur les entreprises ;

  • Dispenses spécifiques pour les PME de nombreuses tâches (notification préalable, établissement de certaines bases de données etc).

Il faut s’interroger cependant sur l’économie générale du règlement.

Le règlement crée en effet des obligations supplémentaires qui pourront s’apprécier comme des charges nouvelles dans le cadre d’une sorte de «  supervision permanente » (mise en œuvre des nouveaux droits dont le droit à l’oubli, études d’impact, documentation, nouvelles obligations mises à la charge des sous-traitants), qu’ils s’agissent des PME ou non. A noter par exemple, dans le cas du traitement de données sensibles, certaines exemptions prévues pour les PME ne trouveront pas à s’appliquer, faisant ainsi basculer l’opérateur concerné dans le régime général.

 

Ces remarques restent préliminaires et devront être complétées par une analyse exhaustive du RGPD, une fois sa version définitive consolidée, traduite dans les langues officielles de l’Union européenne et publiée au Journal Officiel de l’Union Européenne.

[1] Procédure de co-décision : Cette procédure prévue par l’article 294 TFUE consacre le Parlement européen et le Conseil de l’Union européenne comme co-législateurs et leur permet d’arrêter des actes conjointement avec le Conseil de l’Union européenne, sauf dans les cas prévus par les traités. C’est la procédure législative ordinaire prévue par le Traité de Lisbonne.

[2] Arrêt de la CJUE du 8 avril 2014, invalidant la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a et arrêt de la CJUE du 6 octobre 2015, invalidant la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[3] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne.

[4] Article 8 de la charte des droits fondamentaux de l’Union européenne – protection des données à caractère personnel : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. […]