Le RGPD impose un nouvel outil de conformité : l’analyse d’impact, et ce afin d’évaluer le risque que peuvent comporter une ou plusieurs opérations de traitement de données à caractère personnel.

A compter du 25 mai 2018, la réalisation d’une analyse d’impact sera obligatoire pour tout traitement susceptible d’engendrer un risque pour les droits des personnes concernées et qui répondra à au moins 2 des 9 critères suivants :

• Évaluation des personnes concernées (analyse approfondie du comportement ou des caractéristiques des personnes concernées) ;
• Prise de décision automatique avec effet légal ou similaire ;
• Surveillance systématique des personnes concernées (exemple : la géolocalisation);
• Collecte de données sensibles ou à caractère hautement personnel ;
• Collecte de données à grande échelle ;
• Croisement de données ;
• Traitements de donnée à caractère personnel concernant des personnes vulnérables (enfants, patients...) ;
• Usage innovant (utilisation d’une nouvelle technologie) ;
• Exclusion d’une personne du bénéfice d’un droit ou d’un contrat.

Lorsqu’elle est obligatoire, l’analyse d’impact doit être réalisée en amont de tout traitement de données à caractère personnel et constitue la contrepartie de la suppression de certaines formalités auprès de la CNIL.

La réalisation d’une analyse d’impact aboutira à un rapport qui permettra au responsable de traitement d’évaluer le degré de conformité des opérations de traitement envisagées. Deux options s’offrent à lui. Soit le responsable de traitement prend les mesures nécessaires pour limiter et encadrer ce risque avant de mettre le traitement en œuvre, soit il consulte la CNIL afin qu’elle le conseille sur les mesures adéquates de protection des personnes relativement au traitement envisagé.

Outil d’évaluation des risques liés à la mise en œuvre de traitements de données à caractère personnel afin d’analyser la conformité de ces traitements au RGPD et d’y appliquer les mesures nécessaires à la protection des droits et libertés des personnes.

Tout manquement à l’obligation de réaliser une analyse d’impact pourra être sanctionné d’une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires de l’entreprise défaillante.

A compter du 25 mai 20178, le RGPD impose à tout responsable de traitement de données à caractère personnel de notifier à la CNIL toute violation de données - telle qu’une intrusion dans le système informatisé d’une entreprise, le piratage ou le vol de données - dans les 72 heures après en avoir eu connaissance. Cette obligation n’existait jusqu’ici que pour les opérateurs de communications électroniques, tels que Yahoo, GMail, etc.

La notification des violations de données à caractère personnel devra comporter les détails de la violation (catégories et volume de personnes concernées, types de données concernées, etc.), décrire les conséquences probables (par exemple risque d’utilisation frauduleuse de données bancaires pour un vol de données de paiement) et les mesures prises pour y remédier et/ou atténuer la violation.

Le responsable de traitement devra donc répercuter cette obligation sur ses sous-traitants. Il est donc recommandé aux entreprises de réviser leurs contrats de sous-traitance afin d’obliger leurs prestataires ⚠️ à leur notifier toute faille de sécurité dans un délai réduit, et ⚠️ à prendre toutes les mesures nécessaires pour résoudre rapidement cette faille.

A la suite des récents scandales relatifs aux failles de sécurité et aux différentes fuites de données à caractère personnel (Uber, Equifax, l’Agence de Transport de Suède, etc.), les entreprises ont tout intérêt à définir une véritable politique de gestion du risque quant à la sécurité des données qu’elles traitent dans le cadre de leur activité.

Violation des mesures de sécurité appliquées aux données entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation ou l'accès non autorisés de données à caractère personnel traitées ou stockées (par exemple : le hacking, les intrusions dans les systèmes d’information…)

Le RGPD vient accroître les obligations et la responsabilité des sous-traitants, à compter 25 mai 2018. Ils sont désormais tenus de respecter des nouvelles obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ils doivent prendre en compte la protection des données dès la conception des traitements qu’ils mettent en œuvre et mettre en place, par défaut, toute mesure permettant de garantir une protection optimale des données.

Les sous-traitants ont notamment une obligation de conseil auprès de leurs clients (responsables de traitement) pour le compte desquels ils traitent des données et doivent les assister dans la mise en œuvre de certaines obligations du règlement (analyse d’impact, notification de violation de données, contribution aux audits etc.)

Les sous-traitants devront également tenir un registre des activités de traitement qu’ils effectuent pour le compte de leurs clients.

Concrètement, le RGPD met à leur charge :

• Une obligation de transparence et de traçabilité : ils n’agissent que sur instruction et doivent notifier toute violation de données à caractère personnelle à leurs clients ;
• Une obligation de garantir la sécurité des données traitées : mise en place des mesures techniques et organisationnelles de sécurité, dans certains cas, les sous-traitants devront désigner un Délégué à la Protection des Données (DPO) dans les mêmes conditions qu’un responsable de traitement;
• Une obligation d’assistance, d’alerte et de conseil auprès de leurs clients.

En pratique, pensez à insérer une clause d’audit dans les contrats avec vos prestataires/sous-traitants afin de pouvoir vous assurer de leur conformité.

Entité qui traite des données à caractère personnel pour le compte du responsable du traitement (par exemple : prestataire de Cloud, d’emailing, externalisation de la paie…)

Pour être GDPR compliant, Jacob Avocats vous accompagne dans la rédaction et la mise en place de vos process, vos contrats et vos nouveaux axes de prospection commerciale.

Se désinscrire de la newsletter