Mai 03

Gestion des interventions : Le RGPD pour les nuls

Posté par : Xavier Biseul / Etiquettes : , ,

Gestion des interventions : Le RGPD pour les nuls

En vigueur le 25 mai prochain, le règlement européen sur la protection des données personnelles renforce les exigences en matière de sécurité et de traçabilité. L’éditeur de logiciel de gestion des interventions doit également, en tant que sous-traitant, s’engager sur la voie de la conformité.
 
RGPD, quatre lettres qui font trembler bien des entreprises à quelques semaines de l’échéance. En application le 25 mai prochain, le Règlement Général sur la Protection des Données (RGPD) fait l’objet d’une médiatisation rare pour un chantier réglementaire. De fait, le nouveau cadre législatif crée une vraie rupture par rapport à l’approche traditionnelle en matière de protection des données personnelles.
 
Au regard du montant des sanctions envisagées, la privacy devient tout d’abord un enjeu d’entreprise. En cas de manquement, les amendes pourront atteindre jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial, le régulateur prenant en compte le montant le plus élevé des deux. On est bien loin des 150 000 euros, condamnation record infligée par la Cnil à Google en 2014.
 
Le RGPD change aussi l’approche qui prévalait jusqu’alors avec la loi Informatique & Libertés de 1978, révisée par la directive européenne de 1995. Fini les déclarations obligatoires à la Cnil, le règlement instaure un régime de responsabilisation (« accountability ») et d’auto-contrôle. L’entreprise devra démontrer à tout moment qu’elle est en conformité en tenant à jour un registre exhaustif de ses traitements de données personnelles.

Le respect de la vie privée prise en compte par défaut

Le RGPD introduit aussi de nouveaux principes. Avec la notion de « privacy by design », le respect de la vie privée doit être pris en compte dès la conception d’un nouveau service ou d’une application. Le responsable du traitement ne collecte que les informations dont il a besoin, dans la seule finalité qu’il a indiquée et pour une durée de conservation déterminée.
 
Avec le « privacy by default », il garantit que, non seulement il a mis en place les dispositifs – chiffrement, anonymisation, pseudonymisation… – nécessaires à la sécurisation des données personnelles, mais qu’ils sont activés par défaut.
 

Un consentement de l’utilisateur sans équivoque

A partir de là, l’entreprise recueillera le consentement clair et explicite (opt-in) des personnes fichées, tout en leur précisant les différents droits dont elles disposent, comme le droit d’accès et de rectification, le droit à l’effacement (droit à l’oubli) ou le droit à la portabilité (transmission des données à des tiers). Cela suppose de refondre la politique de confidentialité et de s’organiser en interne pour assurer l’exercice de ces droits.

Des risques évalués et cartographiés

L’entreprise doit également prévoir quelles procédures suivre en cas de fuite de données (data breach). Le responsable du traitement est tenu d’avertir l’autorité de contrôle dans les 72 heures après en avoir pris connaissance. Les personnes concernées par le piratage doivent, elles, être notifiées dans « les meilleurs délais ».
 
Pour évaluer et cartographier les risques, le RGPD demande aux organisations de mener des analyses d’impacts préalables (privacy impact assessment, PIA).
Pour mettre toutes ces nouvelles pratiques en œuvre, les organismes publics, ainsi que les entreprises privées menant des traitements de données sensibles et/ou à grande échelle, doivent nommer un Data protection officer ou, en français, Délégué à la protection des données.
 
Ce DPO/DPD remplace le Correspondant Informatique & Libertés (CIL) avec des missions et des prérogatives élargies. Non seulement il émettra des recommandations mais il mènera derrière des audits réguliers pour s’assurer qu’elles ont été suivies d’effets et que son entreprise garantie la bonne conformité des traitements.

Le sous-traitant pleinement impliqué dans la protection des données

Autre changement d’importance, le RGPD introduit en quelque sorte une notion de co-responsabilité pour le sous-traitant. Ainsi, tout prestataire qui manipule et gère des données personnelles est tenu, lui aussi, de mettre en place les dispositifs organisationnels et techniques pour assurer leur protection.
 
Editeurs en mode SaaS, hébergeurs, providers… l’ensemble des acteurs de la chaîne de traitement est concerné. Le RGPD les désigne, en anglais, sous le terme de « processor », plus parlant que la traduction française de sous-traitant.
 
Pour s’assurer de la conformité des sous-traitants, il est conseillé au donneur d’ordre de passer en revue l’ensemble de ses contrats afin d’insérer des clauses précisant leurs nouvelles obligations et responsabilités de chaque partie. Ce formalisme a son importance. Le RGPD indique que le prestataire doit recevoir des instructions par écrit ou par contrat de son donneur d’ordre. A défaut de relation de subordination, le sous-traitant court le risque d’être considéré comme responsable de traitement à part entière.
 

Des obligations renforcées

L’article 28 et les suivants du RGPD listent l’ensemble des obligations qui relèvent du sous-traitant. Le règlement encadre notamment la sous-traitance en cascade, un fournisseur ne pouvant pas recruter un autre prestataire sans l’autorisation préalable du responsable du traitement. Il supprime les données personnelles selon les consignes passées par le donneur d’ordre.
 
Par ailleurs, le prestataire a une obligation d’assistance, d’alerte et de conseil. Il met à la disposition du responsable du traitement toutes les informations nécessaires pour permettre à ce dernier, ou à un auditeur qu’il a mandaté, de réaliser des audits, y compris des inspections. En cas de fuite de données, il notifie le responsable de traitement dans les meilleurs délais après en avoir pris connaissance.
 
Dans son guide du sous-traitant, réactualisé en septembre dernier, la Cnil reprend les obligations qui incomberont au sous-traitant, mais aussi les évolutions de son rôle à partir du 25 mai 2018. En annexe, le guide propose un exemple de clauses contractuelles types. Le CISPE (Cloud Infrastructure Service Providers in Europe), association d’hébergeurs a établi, de son côté, un code de conduite pour anticiper les dispositions du RGPD.

Les prestataires s’engagent dans la voie du RGPD

Ces changements s’appliquent également aux prestataires établis hors Union Européenne mais amenés à traiter de données de citoyens européens. Amazon Web Services, Microsoft Azure et Google Cloud Platform se sont, par exemple, engagés à se mettre en conformité dans les temps.
 
Au-delà du « tampon » RGPD, un fournisseur peut mettre en avant le respect de normes qualité internationales telles qu’ISO/IEC 27001 (sécurité des systèmes d’information) et ISO/IEC 27018 :2014 (protection des données personnelles).
 

Praxedo prêt pour l’échéance

Praxedo n’a pas attendu le RGPD pour mettre en œuvre toutes les mesures nécessaires pour sécuriser les données de ses clients. Son application est hébergée sur des infrastructures dédiées chez OVH, premier hébergeur européen qui s’engage sur la voie de la conformité au RGPD.
 
Les données sont systématiquement sauvegardées sur plusieurs serveurs sur des sites distants, et le taux de disponibilité constaté de l’application est supérieur à 99,8%. L’accès à l’application est réalisé en HTTPS, soit le même niveau de sécurité que celui exigé pour le paiement en ligne.
 
Pour éviter les failles de sécurité, Praxedo fait appel à des entreprises spécialisées dont le métier est de réaliser des tests d’intrusion externes, permettant ainsi de corriger au plus vite les éventuels problèmes de sécurité remontés.
 
 

Articles similaires :

A propos de l’auteur

Xavier Biseul est journaliste indépendant. Spécialiste des sujets liés aux nouvelles technologies et à la transformation digitale des entreprises, il collabore avec de nombreux titres de la presse print et web

Essayez le leader Praxedo

Pas d'engagement, pas de carte bleue demandée
une bonne idée, faites un essai gratuit
Essai gratuit

En poursuivant votre navigation, vous acceptez l’utilisation de cookies pour personnaliser votre visite et vous assurer une meilleure expérience sur notre site. Pour en savoir plus, cliquez ici.