Suite de notre épisode 1 où Elsie Fantino nous expliquait ce qu’est le RGPD.
Aujourd’hui, elle nous explique pourquoi on ne peut passer outre et quels sont les risques à le faire.

Pourquoi ne peut on faire abstraction du RGPD ?


Pourquoi la conformité est-elle importante ?
quels sont les avantages de passer par un pro ?

La conformité des organisations est OBLIGATOIRE depuis le 25 mai 2018. La CNIL a laissé un peu de temps aux entreprises pour s’adapter. Maintenant, plus de deux ans après, toutes les structures devraient être en conformité. 

Pour autant ce n’est pas le cas, et certains dirigeants minimisent le risque. Pourtant deux médecins libéraux ont été condamnés, fin 2021 à 15 000 Euros d’amende par la CNIL pour non-conformité. Et les contrôles s’intensifient avec les moyens supplémentaires octroyés à la CNIL. 

Le nombre de cyber-attaques, notamment la multiplication des attaques de rançongiciels en France, comme dans le monde, depuis plusieurs mois, est qualifiée d’« Explosion totale » par Guillaume Poupard, Directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

C’est dans ce contexte que la désignation d’un Délégué à la protection des données est devenue importante, car elle permet :

  • au responsable du traitement ou au sous-traitant ainsi que pour les employés qui procèdent au traitement d’être informés et conseillés sur les obligations qui leur incombent, notamment avec la mise en place d’ actions de formation.
  • d’obtenir un audit de départ sur données le fonctionnement de l’entreprise quant à la collecte et au traitement des données à caractère personnel. Il s’agit d’une photographie à l’instant T. 
  • d’obtenir un check-list des mesures d’ordre techniques et organisationnelle appropriée à mettre en place, notamment la mise en place d’une politique de gouvernance des données à caractère personnel, des divers registres obligatoires (dont le registre de traitements), d’un code de conduite qui devra être respecté par chaque personne traitant des à caractère personnel, etc., de manière à démontrer et à garantir que chaque traitement est effectué conformément au RGPD et en assurer leur sécurité.
  • d’être conseillé, sur demande, lors d’analyses d’impact, lorsque celles-ci sont nécessaires, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, lorsqu’il peut y avoir un risque élevé pour le droit et les libertés des personnes concernées. Dans un certain nombre de cas, elles sont obligatoires, notamment dans le cadre du commerce électronique. 
  • de s’assurer que l’organisation (et ses acteurs) respectent bien le règlement et que tout est mis en oeuvre pour garantir cette conformité, 
  • de connaître les risques en cas de violation, de faciliter la coopération avec l’autorité de contrôle, d’activer le plan de continuité ou de reprise d’activité, 
  • de mettre en place des procédures afin de réaliser régulièrement des tests pour vérifier et évaluer le niveau d’efficacité des mesures techniques et organisationnelles mises en places pour assurer la sécurité des traitements,  
  • vérifier que le responsable de traitement s’assure systématiquement de la conformité RGPD de ses partenaires, fournisseurs, sous-traitants… et établit des contrats contenant les clauses RGPD,
  • d’avoir un interlocuteur identifié auprès de l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations, le cas échéant, sur tout autre sujet. 
  • d’avoir un point de contact unique pour l’exercice des droits des personnes concernées.

L’engagement d’un délégué à la protection des données relève d’une stratégie à long terme, avec une mise en conformité, mais également un suivi régulier pour accompagner le responsable de traitement ou le sous-traitant dans le maintien de sa conformité au RGPD.

Y a t’il des cas où on peut faire sans ?
quels risques et quels  inconvénients ?

Par dérogation, les entreprises de moins de 250 salariés ne sont pas tenues de désigner un délégué à la protection des données, sauf lorsque:

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 (données sensibles ou interdites) et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Attention, par “suivi régulier et systématique à grande échelle des personnes concernées” il faut analyser cela en proportion du nombre total de personnes concernées par ce traitement. Même si cela ne concerne que 30 personnes par mois, à partir du moment où ces 30 personnes représentent la majorité des personnes concernées faisant l’objet de traitements de données à caractère personnel dans l’entreprise, la désignation d’un Délégué à la protection des données devient obligatoire. 

Le principal risque demeure dans la fiabilité de l’organisation et de la gestion au quotidien de son système d’information.

Ceci tant au niveau des compétences techniques ou administratives, que de la mise en place de la politique de sécurité, de la charte informatique, et des process de mise en oeuvre, de tests et de vérification des résultats, mais aussi de la sensibilisation et de la formation du responsable de traitement, ou du sous-traitant, et des employés qui procèdent au traitement, chaque élément pris individuellement pouvant mettre en péril toute volonté de conformité.

En effet, la plupart des risques se situent au niveau humain :

  • armoire contenant des documents comptables qui reste ouverte dans un bureau qui n’a pas de serrure => n’importe qui peut accéder aux données, donc violation potentielle.
  • carte de self ou de machine à café perdue => le numéro de la carte est rattaché à une personne physique : qui a accès à la base de données ? de quelle manière peut-on y accéder ? 
  • cartes de visites récupérées lors qu’un petit-déjeuner ou d’un afterwork par un membre de l’entreprise, enregistrées dans une base de données puis soit conservées soit jetées. => Qui a accès à la base de données ? Les personnes concernées ont-elles été avertie de ce traitement ? Quelle sera la durée de conservation ( 1 – Pour les cartes de visite ; 2 – Pour les données entrées dans la base de données) ? De quel fondement juridique le responsable de traitement peut-il se prévaloir ? Quelles seront les méthodes de conservation ? Que se passe-t-il à la fin du cycle ? Et comment ? 
  • envoi en réparation d’un ordinateur appartenant à l’entreprise sans vérification de la conformité RGPD du prestataire et sans signature préalable d’un contrat de sous-traitance des données à caractère personnel => pourtant, le professionnel a potentiellement accès à toutes les données de l’entreprise stockées dans la machine : que va-t-il faire de ces données ? S’il doit changer un disque dur défectueux, que fera-t-il du disque usagé ? Quelles seront les conséquences pour les données qui y sont contenues ?
  • la fraude au président : le fraudeur téléphone ou envoie un mail au comptable de l’entreprise en se faisant passer pour le PDG, lui-même en déplacement. Prétextant la signature urgente d’un contrat stratégique, le criminel demande d’effectuer rapidement un virement bancaire. L’attaque a lieu en général lorsque le responsable financier est en congé afin d’échanger avec l’adjoint, plus vulnérable. Cela peut être évité par une action continue de sensibilisation.
  • le phishing : technique de fraude dans laquelle les cybercriminels se font passer pour un tiers de confiance (banque, administration…) afin d’obtenir des renseignements sensibles tels que les noms d’utilisateurs, les mots passe ou les détails des cartes de crédit. La formation régulière aux bonnes pratiques permet aux personnes qui travaillent dans l’entreprise de repérer les mails malveillants et d’alerter immédiatement les bonnes personnes. 
  • le ransomware : un malware prend en otage des données personnelles et une rançon est demandée en échange de la clef de chiffrement des données cryptées. Sauf que, dans 80% à 90% des cas (en France) l’entreprise qui paie la rançon ne retrouvera pas ses données. Connaître les procédures à suivre en cas d’attaque permet de limiter les risques de perte de données. Le DPO peut vous les indiquer dans le cadre de sa mission.

La liste n’est pas exhaustive. En cas de violation, l’entreprise s’expose à des amendes administratives de la CNIL pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial, le montant le plus élevé étant retenu, le but des sanctions étant d’être dissuasives, sans préjudice de toute autre action des personnes concernées auprès d’autres juridictions (civiles ou pénales). 

D’où l’importance de réaliser un état des lieux exhaustif des données contenues dans l’entreprise, des traitements qui y sont appliqués, des personnes chargées de les mettre en place, de les réaliser et de les suivre, de la licéité de ces traitement et de leur fondements juridiques, des processus mis en place, des risques potentiels de violation, des conséquences potentielles pour les personnes concernées…

Une fois cette cartographie obtenue, il est nécessaire de mettre en place des processus d’amélioration permanente pouvant garantir la confidentialité, l’intégrité, la disponibilité et la résilience des données contenues dans le système d’information de l’organisation (institution, association ou entreprise), tant d’un point de vue technique qu’organisationnel. C’est le travail du DPO que de réaliser cette photographie à l’instant T et de vous aider à atteindre et à maintenir la conformité au RGPD. 

Gestion des données personnelles,

Vaut-il mieux faire appel à un freelance ou à une agence ? 

Dans l’activité de Délégué à la protection des données à caractère personnel il n’y a pas d’agence. Il existe quelques plateformes spécialisées qui mettent en relation les entreprises avec des DPO. Ensuite il y a des ESN spécialisées dans la cybersécurité et dans le RGPD. 

Il y a aussi des délégués internes (salariés), qui peuvent exécuter d’autres missions et tâches dans l’entreprise. Dans ce cas, le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n’entraînent pas de conflit d’intérêt. La plupart des délégués salariés sont soit des responsables de la sécurité des systèmes d’information (RSSI) ou des Directeurs des Systèmes d’Information (DSI) soit des juristes, voire des responsables qualité. Dans certaines institutions, et dans les grands groupes, nous rencontrons aussi des délégués mutualisés qui sont chargés de veiller à la conformité au sein de plusieurs entités. 

Les délégués externes sont des prestataires de services soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l’exercice de leurs missions. L’avantage c’est que le DPO externe voit différents cas, différentes problématiques, alors que le délégué interne ne voit que le cas de son entreprise. Le fait d’avoir une vue plus large permet de faire face plus rapidement à une situation parce qu’on a déjà rencontré une situation similaire par ailleurs. 

Après, tout dépend de vos besoins :

  • si vous avez un RSSI ou un DSI dans l’entreprise, votre besoin risque davantage d’être organisationnel et juridique,
  • si, au contraire, vous avez un juriste dans l’entreprise et que vous n’avez pas d’opérationnel pour réaliser la mise en conformité technique et organisationnelle, c’est sur ce point que vous devrez mettre l’accent,
  • si vous n’avez personne, vous risquez d’avoir besoin d’un DPO qui sache gérer l’ensemble de la démarche RGPD,
  • si vous avez déjà un juriste et un RSSI ou un DSI, vous n’aurez besoin que d’un “chef d’orchestre” qui va guider vos équipes dans leur démarche de manière cohérente dans un objectif commun qu’est la conformité.

Voir l’épisode 1 :

Qu’est ce que le RGPD

Retrouvez Elsie Fantino
Sur  LinkedIn : https://www.linkedin.com/in/elsiefantino/, où elle effectue régulièrement de la modération de contenus, ainsi que quelques articles.

Vous souhaitez un site beau et efficace ?
Je crée votre site web et vous offre une formation afin que vous puissiez vous-même le mettre à jour.

OUI ! Je veux un site beau et efficace !

Partager