Se conformer en 7 étapes

Guide de mise en conformité au règlement général sur la protection des données

Le règlement général sur la protection des données (« RGPD ») est applicable depuis le 25 mai 2018.

Ce nouveau cadre légal établit un régime unique de protection des données en Europe, remplaçant la directive de 1995, qui a été transposée en droit luxembourgeois par la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.

Le régime des formalités préalables, qui existaient précédemment sur base de cette loi (notifications préalables, autorisations préalables, engagements formels de conformité), n’a dès lors plus lieu d’être.

En contrepartie, chaque organisme (entreprise, administration, association, etc.) amené à traiter des données à caractère personnel est davantage responsabilisé. Il doit en effet assurer à chaque instant un respect des nouvelles règles en matière de protection des données et être en mesure de le démontrer en documentant sa conformité.

La CNPD propose une approche en 7 étapes afin de vous aider dans cette démarche de responsabilisation et de documentation de votre conformité.

1. S'informer sur les changements à venir

Il est important que les personnes clés et les décideurs de votre organisation soient au courant du règlement général sur la protection des données (RGPD). Ils doivent pouvoir évaluer les conséquences que le nouveau cadre légal aura sur leur organisation et identifier les domaines qui pourraient être problématiques.

Le RGPD peut avoir une influence considérable sur vos ressources humaines, surtout pour les entreprises ou structures de plus grande taille ou plus complexes. Utilisez donc la période de transition jusqu’au 25 mai 2018 pour sensibiliser vos collaborateurs aux changements à venir.

2. Identifier vos traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données sur votre activité, commencez à faire l’inventaire de tous les traitements de données personnelles que vous mettez en oeuvre. Notez quelle est la provenance de ces données et les personnes avec lesquelles vous les avez partagées. La tenue d'un registre des traitements vous permet de faire le point.

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

  • Les différents traitements de données personnelles ;
  • Les catégories de données personnelles traitées ;
  • Les objectifs poursuivis (finalités) par les opérations de traitements de données ;
  • Les acteurs (internes ou externes) qui traitent ces données. Vous devez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
  • Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

QUI ?

  • Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données (Article 30).
  • Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme.
  • Etablissez la liste des sous-traitants (Article 28).

QUOI ?

  • Identifiez les catégories de données traitées.
  • Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions).

POURQUOI ?

  • Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la relation commerciale, gestion RH…).

OÙ ?

  • Déterminez le lieu où les données sont hébergées.
  • Indiquez les destinataires et dans quels pays les données sont éventuellement transférées.

JUSQU’À QUAND ?

  • Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

COMMENT ?

  • Recensez les mesures de sécurité mises en œuvre pour minimiser les risques d’accès non autorisés aux données et donc d’impact sur la vie privée des personnes concernées.

Note: La CNPD aimerait rendre attentif au fait que le RGPD ne définit pas de référentiel unique par rapport aux « Catégories de données personnelles traitées », ni pour les « Objectifs poursuivis (finalités) par les opérations de traitements de données » qui devront figurer dans le registre des traitements. Alors que la CNPD estime que les référentiels publiés sur son site internet dans le cadre des procédures de notification au préalable peuvent constituer une bonne base de départ, respectivement une source d’inspiration aux responsables de traitement dans la réalisation de leurs registres, elle préconise que ce registre devra avant tout servir au responsable de traitement ou le sous-traitant au quotidien. De ce fait, il est possible, voir même probable qu’une classification qui tient compte du contexte spécifique et des  particularités en termes de gouvernance d’un responsable de traitement ou d’un sous-traitant donné permettent de rendre le registre plus efficace et pertinent.

3. Désigner un délégué à la protection des données (si applicable)

Désignez au besoin un délégué à la protection des données (DPD) ou une personne qui est responsable du respect des règles de protection des données. Cette personne exerce une mission d’information, de conseil et de contrôle en interne. 

Il est important, qu’une personne de votre organisation ou un conseiller externe, soit en charge des questions relatives à la protection des données et que cette personne dédiée ait les connaissances, les ressources et la compétence de le faire. 

La désignation d’un délégué à la protection des données est obligatoire si :

  • Vous êtes un organisme public. La notion d’autorité publique ou d’organisme public est déterminée par le droit national. Certaines missions de service public peuvent être réalisées par des organismes n’ayant pas un statut public. Il est recommandé que ces organismes désignent aussi un DPD.
  • Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Notion d’activités de base: L’obligation de désignation d’un DPD est analysée au regard des traitements de données « clés », effectués par le responsable du traitement ou le sous-traitant pour réaliser les objectifs de son activité principale.

Exemple: Les activités de base d’une banque impliquent des traitements de données financières. La banque doit aussi traiter des données RH de ses employés, mais c’est une activité accessoire.

La notion de suivi systématique et régulier n’est pas définie dans le règlement, mais inclut clairement toutes formes de surveillance, traçage et de profilage sur internet et n’est pas limitée à un environnement en ligne. Une collecte de données est systématique lorsqu’elle est méthodiquement organisée. Elle est régulière lorsqu’il y a une certaine périodicité/constance dans la mise en œuvre du traitement.

Exemple: Une banque qui doit régulièrement et systématiquement suivre l’évolution des comptes et des transactions de ses clients notamment dans le cas de ses obligations liées à la prévention de la fraude, du blanchiment d’argent ou du financement du terrorisme.

Notion de « grande échelle » : Cette notion n’est pas définie par le règlement. Il appartient au responsable du traitement/sous-traitant d’effectuer cette analyse sur base de critères tels que:

  • Le nombre de personnes concernées (nombre spécifique ou proportion d’une population);
  • Le volume des données traitées;
  • La durée ou permanence des traitements de données;
  • L’étendue géographique.

Exemples:

  • traitement des données des patients par un hôpital (contrairement au traitement de données des patients par un médecin individuel);
  • traitement de données par une assurance ou une banque;
  • traitement de données (contenu, trafic, localisation) par un fournisseur de services de communications électroniques.

Catégories particulières de données: il s’agit des

  • données qui révèlent l’origine raciale ou ethnique, les convictions religieuses ou philosophiques ou l’appartenance syndicale;
  • données concernant la santé ou la vie sexuelle ou l’orientation sexuelle;
  • données génétiques;
  • données biométriques;
  • données relatives aux condamnations pénales ou aux infractions.

Exemple: Un hôpital traitant des données de santé et génétiques

Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.

Le rôle du délégué à la protection des données

Le délégué à la protection des données est principalement chargé:

  • d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
  • de contrôler le respect du règlement et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’études d'impact sur la protection des données et d’en vérifier l’exécution ;
  • de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Pour vous accompagner dans la mise en place des nouvelles obligations imposées par le règlement européen, le délégué doit notamment:

  • s’informer sur le contenu des nouvelles obligations ;
  • sensibiliser les décideurs sur l’impact de ces nouvelles règles ;
  • réaliser l’inventaire des traitements de données de votre organisme ;
  • concevoir des actions de sensibilisation ;
  • piloter la conformité en continu.

La charge de travail d’un délégué à la protection des données peut varier en fonction de nombreux facteurs (taille de l’organisation, nombre de données traitées, type de données, etc.) Il ne s’agit donc pas forcément d’un poste à plein temps. Une personne peut dans certains cas aussi assurer cette fonction à côté de ses tâches principales.

Pour en savoir plus

4. Etablir un plan d’action

Sur base de votre registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre organisme, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.

Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées. Certaines tâches seront faciles à mettre en œuvre et vous permettront de progresser rapidement.

Points d’attention quels que soient vos traitements

  1. Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées (Article 5).
  2. Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale) (Article 6).
  3. Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (Articles 12, 13 et 14).
  4. Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées (Article 28).
  5. Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...) (Articles 15-23).
  6. Vérifiez les mesures de sécurité mises en place (Article 32).

Points d’attention nécessitant une vigilance particulière

VOUS TRAITEZ CERTAINS TYPES DE DONNÉES

  • des données qui révèlent l’origine prétendument raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale,
  • des données concernant la santé ou l’orientation sexuelle,
  • des données génétiques ou biométriques, 
  • des données d’infraction ou de condamnation pénale,
  • des données concernant des mineurs.

VOTRE TRAITEMENT A POUR OBJET OU POUR EFFET

  • la surveillance systématique à grande échelle d'une zone accessible au public ;
  • l'évaluation systématique et approfondie d'aspects personnels, y compris le profilage, sur la base de laquelle vous prenez des décisions produisant des effets juridiques à l'égard d'une personne physique ou l'affectant de manière significative.

VOUS TRANSFÉREZ DES DONNÉES HORS DE L'UNION EUROPÉENNE (Articles 44-49)

  • vérifiez que le pays vers lequel vous transférez les données est reconnu comme adéquat par la Commission européenne ;
  • dans le cas contraire, encadrez vos transferts.

Si vos traitements répondent à ces caractéristiques, des mesures particulières peuvent s’appliquer (exemple : analyse d'impact relative à la protection des données, information renforcée, recueil du consentement, autorisation préalable, clauses contractuelles, …). Une analyse approfondie de la loi sur la protection des données et du règlement est nécessaire pour déterminer les mesures à mettre en œuvre.

5. Identifier et gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener, pour chacun de ces traitements, une analyse d'impact relative à la protection des données (AIPD, en anglais, Data Protection Impact Assessment ou DPIA) (Articles 35+36).

L’analyse d’impact relative à la protection des données permet :

  • d'élaborer un traitement de données personnelles ou un produit respectueux de la vie privée,
  • d’apprécier les impacts sur la vie privée des personnes concernées,
  • de démontrer que les principes fondamentaux du règlement sont respectés.

L’enjeu est d’apprécier les risques sur la protection des données du point de vue des personnes concernées.

Quand mener une analyse d'impact relative à la protection des données ?

  • avant de collecter des données et de mettre en oeuvre le traitement,
  • sur tout traitement susceptible d'engendrer des risques élevés pour les droits et libertés des personnes physiques.

Dans quels cas est-il recommandé de mener une analyse d’impact relative à la protection des données?

Selon les lignes directrices du Groupe « Article 29 » (qui n'est pas encore finale), la mise en œuvre d’un analyse d’impact relative à la protection des données est nécessaire si plusieurs des critères suivants s’appliquent au traitement de données à caractère personnel :

  • Le traitement effectue une évaluation ou notation, y compris le profilage et la prédiction
  • Le traitement effectue des décisions automatiques résultant en des implications légales ou similaires pour les personnes concernées
  • Le traitement consiste en une surveillance systématique des personnes concernées (traitements utilisés pour observer, surveiller ou contrôler les personnes concernées, y compris les données collectées à partir d'une surveillance systématique des lieux accessibles au public)
  • Des données sensibles (suivant la définition de la règlementation) font l'objet du traitement
  • Le traitement est un traitement à grande échelle:
    • le nombre de personnes concernées est élevé ou proportionnellement élevé par rapport à une population ou
    • le volume de données traitées est important ou
    • la durée ou la permanence de l'activité de traitement est importante ou
    • l'étendue géographique du traitement est importante"
  • Des jeux de données à caractère personnel ont été combinés d'une manière qui pourrait dépasser les attentes raisonnables des personnes concernées
  • Les données traitées concernent des personnes vulnérables (ex: situation de déséquilibre des pouvoirs entre les personnes concernées et le responsable de traitement)
  • Le traitement se rapporte à l'usage ou l'application de solutions technologiques ou organisationnelles innovantes
  • Le traitement de données ne permet pas aux personnes concernées d'exercer leur droit ou les empêche d'accéder à un service ou un contrat (ex: une banque qui analyse le profil de ses clients pour décider de leur offrir un crédit ou pas)

Exemples :

Exemple de traitement

Critère « risque élevé ? »

AIPD nécessaire ?

Un hôpital traite les données de santé et les données génétiques de ces patients (système informatique de l’hôpital).

  • Données sensibles
  • Données concernent des personnes vulnérables
  • Traitement de données à grande échelle

Oui

L’utilisation de caméras pour surveiller le comportement de conduite sur les autoroutes. Le responsable du traitement envisage d’utiliser un système d’analyse vidéo intelligent pour reconnaître automatiquement les plaques d’immatriculation des voitures.

  • Surveillance systématique
  • solutions technologiques ou organisationnelles innovantes

Oui

Une société surveille l'usage de l'outil informatique: Internet, e-mails, ordinateurs, logiciels,...
  • Surveillance systématique
  • Données concernent des personnes vulnérables

Oui

Un magazine en ligne qui utilise une liste de diffusion pour envoyer un résumé quotidien des actualités à ses abonnés.

  • Aucun risque élevé

Non

Un site de commerce en ligne affiche des annonces pour des accessoires de voitures en utilisant du profilage limité sur les derniers achats.

  • Evaluation ou notation, mais pas systématique ou extensif

Non

Que contient une analyse d'impact sur la protection des données (AIPD) ?

  • une description du traitement et de ses finalités,
  • une évaluation de la nécessité et de la proportionnalité du traitement,
  • une appréciation des risques sur les droits et libertés des personnes concernées,
  • les mesures envisagées pour traiter ces risques et se conformer au règlement.
6. Organiser les processus internes

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement de données (ex : faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).

Organiser les processus implique notamment :

  • de prendre en compte la protection des données personnelles dès la conception (Article 25) d’une application ou d’un traitement (minimisation de la collecte de données au regard de la finalité, cookies, durée de conservation, mentions d’information, recueil du consentement, sécurité et confidentialité des données, s’assurer du rôle et de la responsabilité des acteurs impliqués dans la mise en œuvre de traitements de données, …). Pour cela, appuyez-vous sur les conseils du délégué à la protection des données ;
  • de sensibiliser et d'organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
  • de traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification, d’opposition, droit à la portabilité, retrait du consentement) en définissant les acteurs et les modalités (l'exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen) (Articles 15-23) ;
  • d'anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais (Articles 33+34).
7. Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Votre dossier devra notamment comporter les éléments suivants :

LA DOCUMENTATION SUR VOS TRAITEMENTS DE DONNÉES PERSONNELLES

  • Le registre des traitements (pour les responsables de traitements) ou des catégories d’activités de traitements (pour les sous-traitants) (Article 30)
  • Les analyses d’impact relatives à la protection des données pour les traitements susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes (Articles 35+36)
  • L'encadrement des transferts de données hors de l'Union européenne (notamment, les clauses contractuelles types, les BCR et certifications) (Articles 44-50)
  • Le registre qui documente toutes les violations de données. Celui-ci renseigne les effets de la violation de données et les mesures prises pour y remédier. (Articles 33+34)

L'INFORMATION DES PERSONNES (Articles 13+14)

  • Les mentions d’information
  • Les modèles de recueil du consentement des personnes concernées
  • Les procédures mises en place pour l'exercice des droits

LES CONTRATS QUI DÉFINISSENT LES RÔLES ET LES RESPONSABILITÉS DES ACTEURS

  • Les contrats avec les sous-traitants (Article 28)
  • Les procédures internes en cas de violations de données
  • Les preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base juridique.

Attention : cette liste n’est pas exhaustive et les besoins de documentation peuvent varier d’un organisme à l’autre.

Dernière mise à jour