Le Règlement général sur la protection des données, mieux connu sous le nom de RGPD, est entré en vigueur le 25 mai 2018 et les entreprises doivent obligatoirement depuis cette date respecter le nouveau cadre légal de gestion des données personnelles de leurs utilisateurs ou clients.
La loi nᵒ 2016/679 encadrant le RGPD est un règlement de l’Union européenne qui sert désormais de texte de référence en matière de protection des données à caractère personnel au sein des pays de l’UE.
Une formation RGPD est nécessaire pour appréhender la législation et se mettre aux normes. Pourtant, selon un sondage mené par Cordium, seulement 2 % des organisations financières estimaient qu’elles étaient prêtes à se conformer à la nouvelle réglementation sur la protection des renseignements personnels passé le délai de grâce de 2 ans prévu par le règlement.
Les besoins des organisations de se mettre en conformité et se former au RGPD sont donc énormes.
Qu’est-ce que le RGPD ? A quoi sert-il ?
Le RGPD unifie les différentes législations en matière de protection de la vie privée à l’échelle de l’Union européenne. Cette réglementation s’applique également à toute entreprise basée en dehors de l’UE qui traite les données personnelles des citoyens de l’UE.
Par conséquent, le champ d’application du RGPD est vaste et complexe. Il est presque impossible de charger un employé sans formation juridique formelle d’interpréter ces lois, bien qu’il soit essentiel que tous les employés qui traitent des données personnelles comprennent le RGPD et puissent l’intégrer dans leur routine quotidienne de travail. L’erreur humaine n’est pas une excuse acceptable en cas d’atteinte à la protection des données et la responsabilité de l’entreprise est engagée.
Les organisations impliquées dans le traitement des données ont obligation de veiller à ce que leur personnel dispose d’une formation adéquate au RGPD. Cependant, la législation elle-même donne peu d’informations sur la forme que devrait prendre cette formation.
Nous présentons ici quelques recommandations pour un cours de formation de base au RGPD, adapté à un large éventail d’organisations.
Que se passe-t-il si les employés ne sont pas formés au RGPD ?
Si les employés ne reçoivent pas une formation adéquate pour respecter le RGPD et qu’une atteinte à la protection des données s’ensuit, les conséquences peuvent être graves et engagent l’entreprise.
Non seulement la vie privée de la personne concernée a été violée, mais ses données pourraient ensuite être vendues sur le marché noir. Si la personne concernée subit de ce fait un préjudice matériel ou moral, elle peut demander réparation au responsable du traitement.
L’entreprise responsable du traitement des données peut être confrontée à d’autres conséquences : elle est passible d’amendes pouvant aller jusqu’à 20 millions d’euros, soit 2-4% du chiffre d’affaires financier du responsable du traitement. Il existe peu de lignes directrices concernant ces amendes ; à part la fixation de limites, le RGPD ne fournit pas aux autorités de contrôle d’indications sur les amendes à payer pour des violations spécifiques.
Si la violation est particulièrement grave, une action en justice peut être intentée contre le responsable du traitement des données (entité physique ou morale).
Quelle est la formation RGPD idéale ?
Les cours de RGPD varient en fonction des besoins de chaque employé et des services mis en place par l’organisation qui collecte les données. Cependant, il y a une base de connaissances essentielles en RGPD dont tous les employés doivent nécessairement être informés.
Dans l’idéal, la formation RGPD doit être régulière (continue) et nécessite un certain niveau d’évaluation pour s’assurer que les informations essentielles ont bien été assimilées et peuvent être appliquées. De même, les avancées technologiques et l’évolution des usages entrainent nécessairement une mise à jour régulière des savoirs en termes de RGPD suivant les activités de l’entreprise.
Les champs d’application du RGPD sont vastes mais pour résumer à l’essentiel, le contenu de toute formation RGPD exhaustive doit nécessairement aborder toutes les informations suivantes :
Les bases d’une formation RGPD
1 – Introduction au RGPD : champ d’application et territorialité géographique
Il est logique de commencer toute formation RGPD par un certain temps consacré à la présentation de la législation et de son champ d’application.
Il s’agit là d’une vue d’ensemble du RGPD, qui devrait constituer la base de tout cours, peu importe qui le suit.
Toutefois, le cours ne devrait pas se concentrer sur l’histoire du RGPD et de la protection des données dans l’UE. Présentez plutôt de l’information pertinente à l’actualité et aux activité de l’entreprise.
- Terminologie du RGPD: La terminologie du RGPD est une source courante de confusion. Après l’introduction de la législation, définissez quelques termes clés (par exemple « responsable du traitement », « sous-traitant », « personne concernée »).
- Où s’applique le RGPD ? : Bien qu’il soit une législation de l’UE, il s’applique partout où les données des citoyens de l’UE sont traitées. Ainsi, tout employé qui traite de telles données devrait être informé de la portée géographique du RGPD.
- Le besoin d’un RGPD: Bien que cela puisse sembler évident, beaucoup peuvent considérer le RGPD comme un obstacle « inutile » dans le traitement des données. Il est donc important de souligner pourquoi le RGPD est nécessaire et les conséquences pour la vie privée s’il est ignoré.
- Introduction à la protection des données: Il peut s’agir d’un bref aperçu des mécanismes de protection des données (par exemple, les garanties physiques et administratives), ainsi que des moyens d’intégrer la protection des données dans le flux de travail quotidien.
- Applicabilité du RGPD: Dans certaines situations, le RGPD ne s’applique pas (p. ex. en cas de menace à la sécurité nationale). Bien que rares, les employés doivent cependant être mis au courant de ces situations pour savoir comment y faire face lorsqu’elles surviennent.
2 – Principes de protection des données
La protection des données privées est le principe fondamental qui sous-tend l’ensemble du RGPD. Il est donc important que les employés acquièrent une compréhension approfondie de la nature des données privées et des moyens de les protéger par la formation.
Plusieurs principes de protection des données sont énoncés dans le RGPD, qui sont brièvement détaillés ci-dessous :
- Qu’est-ce qu’une donnée privée ?: Il existe de nombreuses catégories de données privées, allant des identificateurs typiques comme le nom et l’adresse aux « catégories spéciales » de données, comme la race ou le sexe. Ces classes de données sont traitées différemment et leur traitement propre doit être expliqué.
- Légalité, loyauté et transparence: Le premier principe de la protection des données est que les employés doivent s’assurer qu’il existe une base juridique pour le traitement de ces données et que ce traitement est effectué de manière équitable et transparente. Il s’agit également de fournir des informations adéquates à la personne concernée avant le début du traitement de ses données.
- Limitation de la finalité du traitement des données: Les données ne doivent être traitées que pour l’utilisation prédéfinie et convenue avec la personne concernée. Toutefois, il y a quelques exceptions à cette règle.
- Minimisation des données: Seules les données nécessaires à l’objectif préétabli par l’organisation doivent être collectées et pas plus.
- Exactitude: Toutes les données recueillies doivent être exactes et précises.
- Limitation de stockage: Les données ne peuvent pas être conservées indéfiniment. À moins qu’il ne s’agisse de données médicales, elles ne devraient pas être conservées plus longtemps que nécessaire pour assurer correctement leur traitement.
- Intégrité et confidentialité – Les données doivent être protégées contre tout accès non autorisé et ne doivent pas être partagées avec des tiers non impliqués dans leur traitement.
3 – Droits fondamentaux de la personne concernée
Le RGPD accorde à la personne dont les données sont collectées, « la personne concernée », un certain nombre de droits concernant l’exploitation et le traitement de celles-ci. Il est donc impératif que tous les employés qui traitent avec les personnes concernées en soient informés.
- Droit d’accès: Les personnes concernées doivent pouvoir accéder à toutes les données collectées ou obtenir copies des données auprès du responsable du traitement et/ou du sous-traitant.
- Droit de rectification: Si la personne concernée constate des inexactitudes dans les données, elle se réserve le droit de les corriger.
- Droit d’opposition: Après la collecte des données, les personnes concernées peuvent s’opposer à la manière dont leurs données sont traitées et interrompre toute action ultérieure.
- Droit de limiter le traitement: Les personnes concernées peuvent demander que leurs données ne soient pas traitées d’une certaine manière ou empêcher la poursuite de leur traitement.
- Droit d’effacement: Les personnes concernées peuvent demander que leurs données soient effacées par le sous-traitant dans les meilleurs délais.
- Droit à la transférabilité des données: Les personnes concernées ont le droit d’accéder à leurs données dans un format numérique compatible avec divers dispositifs.
- Droit de recours: S’ils ne sont pas satisfaits de la manière dont leurs données sont traitées ou s’ils estiment que leurs droits ne sont pas respectés, les personnes concernées ont le droit de se plaindre à une autorité de contrôle.
- Droit d’être représenté : Lors du dépôt d’une réclamation, la personne concernée a le droit d’être représentée par un organisme indépendant à but non lucratif.
4 – Responsabilités de contrôle des données
Le responsable du traitement des données, c.-à-d. l’organe qui supervise leur traitement, est engagé à un certain nombre de responsabilités dans le cadre du RGPD.
Il s’agit principalement de la conformité avec le RGPD et du maintien de l’intégrité des données privées, bien qu’elles concernent également la protection des droits des personnes concernées.
- Transparence: Le responsable du traitement doit être clair dès le début sur la façon dont les données seront traitées, comment elles seront stockées et pendant combien de temps elles seront conservées.
- Modalité des données: Les responsables du traitement doivent veiller à ce que les données qu’ils collectent puissent être facilement transférées à d’autres organisations si nécessaire.
- Responsabilisation: Le contrôleur doit être en mesure de fournir la preuve qu’il est en conformité avec le RGPD. Cela peut prendre la forme de dossiers, de contrats et de politiques spécifique qui ont été mis en place dans toute l’organisation.
- Respect des droits de la « personne concernée »: Le responsable du traitement doit veiller à ce que les personnes concernées soient en mesure de faire valoir l’un ou l’autre de leurs droits tels que définis par le RGPD. Par exemple, ils doivent fournir des informations claires aux personnes concernées concernant les procédures de réclamation.
5 – Collecte des données personnelles
Il est évident que les données personnelles des utilisateurs et clients doivent être recueillies conformément au RGPD, mais ce que cela implique peut prêter à confusion pour le personnel de l’organisation.
Ainsi, tout membre du personnel directement impliqué dans la conception des mesures de collecte de données, qui collecte directement les données, ou participe à leur traitement, devrait être formé à la collecte de données.
- Information de la « personne concernée » : Avant toute collecte de données, la personne concernée doit être dûment informée de ses droits, de la finalité du traitement des données et de la manière dont les données seront traitées après leur utilisation. En cas de collecte en personne, les employés doivent être prêts à répondre à toute question que la personne concernée pourrait avoir.
- Collecte automatisée ou manuelle: Il est de plus en plus fréquent que les personnes concernées soumettent des données à leur sujet via des formulaires en ligne ou assimilés. Cette collecte automatisée doit suivre les mêmes règles que la collecte manuelle, bien que la manière dont les personnes concernées sont informées de leurs droits soit différente.
- Exemptions à la règle: Il existe quelques exceptions aux règles normales de collecte des données, par exemple lorsqu’une personne concernée a déjà été informée. Toutefois, pour éviter la non-conformité au RGPD, les employés devraient être informés de la façon exacte de faire face à ces situations.
- Consentement: Il est impératif que toutes les personnes concernées donnent leur consentement éclairé lorsque leurs données sont recueillies. Pourtant, certains utilisateurs – à savoir les enfants – ne peuvent légalement donner un consentement éclairé. Ainsi, les employés devraient recevoir une formation sur les limites d’âge du consentement et lorsque le consentement d’un tuteur légal est un substitut adéquat.
6 – Stockage et traitement des données : Exigences relatives au mot de passe et mesures de protection du RGPD
Après la collecte, les données doivent être stockées d’une manière conforme au RGPD. Cela signifie que toutes les garanties nécessaires doivent être mises en place pour empêcher les personnes non autorisées d’y accéder, quelle que soit leur intention.
Bien entendu, lorsque le traitement des données a lieu, des mesures de protection similaires devraient être mises en place. Il est également important que les employés continuent de respecter les droits de la personne concernée à ce stade.
- Chiffrement des données: Le chiffrement est une protection technique clé lors du stockage des données. Elle garantit que, même si des personnes non autorisées accèdent aux données, elles ne peuvent pas être lues. Il est impératif que les personnes chargées du stockage des données personnelles utilisent un cryptage adéquat.
- Mots de passe: Les mots de passe sont un autre élément essentiel des mesures de protection techniques nécessaires pour protéger les données personnelles. Les exigences relatives aux mots de passe du RGPD sont vagues, bien qu’il soit impératif qu’un système de protection par mot de passe soit en place.
- Mesures de protection physiques : Même si beaucoup se concentrent sur les mesures de protection techniques des données, l’importance des mesures de protection physiques ne doit pas être sous-estimée. Celles-ci devraient être communiquées à tous les employés et implique la mise en place de politiques claires en matière d’accès aux bureaux et de verrouillage des armoires et matériels.
- Mesures de protection administratives: Les mesures de protection administratives peuvent comprendre l’établissement d’une chaîne de commandement claire lors de la communication des données et la mise en place de politiques appropriées pour prévenir les atteintes à la protection des données.
- Base juridique du traitement des données: Pour que le traitement soit conforme au RGPD, il doit reposer sur une base juridique solide et une activité justifiée. Il existe six motifs juridiques de traitement, dont les missions d’intérêt public et l’obtention d’un consentement préalable.
- Registre des données: Comme nous l’avons mentionné précédemment, les données doivent être chiffrées lorsqu’elles sont stockées. Les enregistrements devraient être facilement accessibles, précis et transférables à d’autres contrôleurs si nécessaire.
7 – Faire face à une atteinte à la protection des données
Quelle que soit la qualité des actions mises en place par l’entreprise, des atteintes à la protection des données peuvent parfois se produire. C’est particulièrement vrai si l’on considère l’augmentation récente des cyber-attaques.
Le personnel d’encadrement d’une organisation devrait nécessairement recevoir une formation sur le traitement de ces atteintes à la protection des données.
- Délais de déclaration: À partir du moment où une violation est découverte, le responsable du traitement et/ou le sous-traitant dispose d’un délai de 72 heures pour la signaler à une autorité de contrôle. Idéalement, l’autorité de contrôle recevra des informations sur la nature de l’infraction, le type de données concernées et le nombre de personnes concernées.
- Autorités de surveillance: le RGPD stipule que tous les États membres doivent désigner une ou plusieurs autorités de surveillance indépendantes pour superviser l’application du règlement et intervenir en cas d’atteinte à la protection des données, si elle survient. Ces autorités décident alors de la marche à suivre, ainsi que des sanctions qui pourraient être imposées au responsable du traitement.
- Information de la personne concernée: En cas d’atteinte à la protection des données, toutes les personnes concernées doivent être informées. Tout comme l’autorité de contrôle, la personne concernée devrait être informée de la nature de la violation, ainsi que des risques qu’elle présente pour sa vie privée.
8 – Analyse d’Impact relative à la Protection des Données (AIPD)
Une évaluation de l’impact sur la protection des données (en anglais DPIA, pour Data Protection Impact Assessments) doit être réalisée afin d’orienter les actions mises en place en matière de confidentialité des données.
Cette analyse d’impact sur la protection des données (AIPD) doit porter sur les traitements susceptibles de présenter un risque élevé pour les droits et libertés des personnes concernées.
Elle doit être menée en concertation avec le Délégué à la protection des données (voir ci-dessous) et être complète.
Les AIPD doivent être menées régulièrement afin de suivre l’évolution de l’activité de l’organisation et sa conformité avec le RGPD.
- Risques d’entrave à la vie privée: Pour protéger efficacement les données, les employés doivent être au courant des risques auxquels ils sont exposés. Ceux-ci doivent être identifiées par des audits réguliers du traitement des données au sein de l’organisation.
- Nouveaux types de traitement: L’AIPD doit être effectuée régulièrement pour tenir compte des progrès rapides de la technologie. Ces progrès peuvent inclure de nouveaux moyens de traitement des données. Chacune des nouvelles technologies mises en place doit être soigneusement évaluée avant d’être utilisée.
- Consultation préalable: Si l’AIPD indique qu’il peut y avoir un risque pour les données, le responsable du traitement doit consulter l’autorité de contrôle compétente. Ils recevront ensuite des conseils sur la façon de gérer la situation et d’y donner suite avant le début du traitement.
9 – Délégué à la protection des données
Chaque responsable du traitement devrait nommer un délégué à la protection des données (DPD), en anglais DPO pour Data Protection Officer, chargé de veiller au respect des règles du RGPD au sein de l’organisation.
Le délégué à la protection des données est le principal point de contact pour tout employé de l’entreprise qui n’est pas certain de la marche à suivre ou pour les personnes concernées souhaitant contacter le responsable du traitement au sujet de leurs données personnelles.
- Rôles d’un DPD: Un DPD a trois rôles principaux : éduquer, conseiller et superviser. Il doit être en mesure de communiquer efficacement les règles du RGPD aux employés à tous les niveaux de l’organisation, ainsi que donner des conseils sur la meilleure ligne de conduite à adopter face à différentes situations en matière de gestion et traitement des données. Par conséquent, il doit y avoir des canaux de communication clairs à travers l’organisation pour faciliter sa sollicitation.
- Contrôle de la conformité: Il est important de noter que le DPD doit contrôler les activités au sein de l’organisation pour s’assurer qu’il n’y a pas de violations – intentionnelles ou non – du RGPD. Le délégué à la protection des données doit pouvoir agir indépendamment du responsable du traitement afin d’accomplir cette tâche.
10 – Rôle des sous-traitants dans la gestion des données
Bien que le Responsable du traitement des données supervise leur traitement et utilise les résultats du processus de collecte, il fait souvent appel à une tierce partie pour effectuer la tâche proprement dite. Ces sous-traitants doivent être en conformité avec RGPD et faire tout ce qui est en leur pouvoir pour assurer la confidentialité des données.
- Sécurité des données: Tout comme les responsables du traitement, les sous-traitants doivent s’assurer que toutes les données sont protégées de manière adéquate par diverses mesures.
- Traitement des données: Les données doivent être traitées d’une manière conforme au RGPD. Les mêmes restrictions quant à l’utilisation des données s’appliquent au responsable du traitement et au sous-traitant.
- Obligations contractuelles: Toute activité de traitement doit être régie par un contrat entre le responsable du traitement et le sous-traitant qui établit tous les détails du traitement. Le contrat doit également garantir le maintien de la confidentialité des données, tout en fournissant les informations nécessaires au sous-traitant pour traiter les données.
11 – Sanctions pour non-conformité au RGPD
En l’absence de sanctions appropriées, on pourrait évidemment s’attendre à ce que le taux de conformité du RGPD soit très faible. Le cadre légal prévoit donc un certain nombre de pénalités pour encourager au respect des politiques de protection des données.
- Amendes administratives: De lourdes amendes sont prévues en cas de non-respect des règles du RGPD : des amendes de 10 à 20 millions d’euros peuvent être infligées à la partie négligente, soit 2 à 4 % de son chiffre d’affaires global. Le montant exact payé dans une situation donnée est déterminé par les autorités de surveillance.
- Indemnisation des personnes concernées: Comme indiqué précédemment, les personnes concernées ont le droit de demander réparation si elles subissent un préjudice en raison de la non-conformité d’un responsable du traitement avec le RGPD.
- Sanctions infligées par les États membres: Outre les amendes décrites ci-dessus, les États membres de l’UE ont également le droit de décider comment les amendes administratives seront appliquées dans leur pays. Ils peuvent également prévoir des sanctions supplémentaires en cas de non-respect.
- Sanctions légales: Dans certains cas, des recours judiciaires en cas d’infraction au RGPD peuvent être engagées. La procédure est engagée lorsque le responsable du traitement ou le sous-traitant a un établissement dans l’UE. Si cela n’est pas possible, la procédure se déroulera dans l’État membre où réside la personne concernée.
La formation, outil indispensable pour la conformité au RGPD
Le Règlement général sur la protection des données est un texte législatif complexe qui a des conséquences d’une grande portée pour les organisations qui collectent des données. Il est donc important que les employés reçoivent une formation adéquate sur les éléments pertinents du RGPD.
La formation devrait être brève mais mise en place sur une base régulière pour les salariés. Le contenu de tous les cours doit être actualisé régulièrement par rapport aux progrès récents dans le domaine et aux évolutions des activités de l’organisation.