FAQ
Vous avez besoin de plus d’information sur le RGPD et ses enjeux ? Vous êtes au bon endroit !
- Qu’est-ce que le RGPD ?
- Quelles organisations doivent désigner un DPO ?
- J’ai nommé un DPO interne, mais il n’a pas le temps ou la formation nécessaire
- Quels organismes sont concernés par les contrôles de la CNIL ?
- Comment éviter les sanctions de la CNIL ?
- Comment rendre son site web conforme au RGPD ?
- Pourquoi former ses équipes au RGPD ?
- Peut-on être labellisé ou certifié conforme au RGPD ?
Qu’est-ce que le RGPD ?
Le Règlement Général sur la Protection des Données (RGPD) est le texte européen de référence en matière de protection des données personnelles, en application depuis le 25 mai 2018 (voir sa version complète).
Le RGPD prévoit un cadre juridique unique pour tous les professionnels, publics et privés, sur le territoire européen. Dans la lignée de la loi informatique et libertés de 1978, il renforce les droits de toutes les personnes physiques sur leurs données personnelles, le contrôle des organismes qui utilisent ces données, en lien avec chaque autorité nationale (la Commission Nationale de l’Informatique et des Libertés, la CNIL, en France).
Le RGPD est complété au niveau européen par les lignes directrices du Comité Européen à la Protection des Données (CEPD) et au niveau national par les lignes directrices et recommandations de la CNIL.
Quelles organisations doivent désigner un DPO ?
La fonction de Délégué à la Protection des Données (DPD ou DPO pour Data Protection Officer) a été créée par le RGPD, dans la continuité des anciens Correspondants Informatique et Libertés (CIL). Son rôle est de piloter la démarche de mise en conformité au RGPD de l’organisation qui l’a désigné, notamment à travers des missions de conseil, de contrôle, de communication et de documentation.
Choisir un DPO est obligatoire pour les organismes publics (collectivités, établissements publics, syndicats, etc.). C’est également le cas pour les entreprises qui traitent d’importantes masses de données sensibles (données de santé, biométriques, convictions religieuses, opinions politiques, etc.) ou qui réalisent un suivi “régulier et systématique de personnes”, par exemple par des activités de marketing fondées sur des données personnelles, par la mise en œuvre de programmes de fidélité ou de géolocalisation sur applications mobiles.
La désignation d’un DPO n’est pas obligatoire pour les autres organisations, mais est tout de même vivement conseillée par la CNIL notamment si l’organisme “rencontre des problématiques relatives à la protection des données personnelles” (voir son guide pratique sur les délégués à la protection des données).
J’ai nommé un DPO interne, mais il n’a pas le temps ou la formation nécessaire
Lorsque l’obligation de désigner un DPO est arrivée en 2018, les organismes concernés ont souvent dû nommer une personne en urgence. Dans de nombreuses structures, notamment publiques, le délégué n’exerce cette mission qu’en complément d’un métier déjà très prenant, et n’a parfois pas la formation nécessaire pour accomplir ses missions de DPO.
Attention : au-delà de sa désignation, le RGPD impose aux organismes de fournir au DPO les ressources dont il a besoin. La CNIL précise les ressources concernées dans son guide sur les DPO : “temps nécessaire, accès à des ressources financières, collaborateurs s’il en a le besoin (…) et en lui permettant d’entretenir ses connaissances spécialisées”.
Si vous identifiez des manques en interne, Empreinte Digitale peut proposer un accompagnement sur-mesure de votre DPO, en fonction de ses besoins spécifiques (formation, veille, assistance, réalisation d’audits…).
Quels organismes sont concernés par les contrôles de la CNIL ?
Théoriquement, n’importe quel organisme public ou privé peut être contrôlé, et cela se vérifie d’ailleurs en pratique. Si les sanctions envers les GAFAM sont les plus médiatisées, de très nombreux acteurs de taille et activités diverses ont déjà été contrôlés et sanctionnés, du cabinet médical ou de la TPE aux grands groupes, en passant par les structures publiques et les ministères. Vous pouvez facilement vous rendre compte des secteurs et organismes concernés sur le site de la CNIL, où sont publiées toutes les sanctions qu’elle prononce (parfois sous forme anonymisée).
Tous les organismes n’ont toutefois pas les mêmes chances d’être contrôlés. Comme l’indique la CNIL dans son rapport d’activité 2021, les 384 contrôles réalisés pour l’année ont été orientés “en fonction des grandes problématiques identifiées, des thèmes d’actualité et des plaintes dont la CNIL est saisie”. Ainsi, un organisme aura plus de chances d’être contrôlé s’il a fait l’objet de plaintes auprès de la commission ou si son activité rentre dans les thématiques prioritaires de contrôle déterminées chaque année par l’autorité. Pour 2022, l’utilisation du Cloud, la prospection commerciale et la surveillance dans le cadre du télétravail ont par exemple été choisies par la CNIL.
Comment éviter les sanctions de la CNIL ?
Pour éviter les sanctions de la CNIL, une seule solution : se mettre en conformité vis-à-vis de la réglementation sur les données personnelles, et le rester dans la durée. Pour cela, commencez par structurer votre projet en désignant votre DPO (ou un pilote de la conformité) et en réalisant un état des lieux de votre conformité au RGPD. Vous identifierez rapidement les non-conformités majeures à corriger rapidement pour éviter d’être sanctionné en cas de contrôle.
Ces dernières années, la CNIL réalise également de très nombreux contrôles en ligne (173 sur les 384 contrôles de 2021) pour de nombreuses mises en demeure et sanctions, comme Infogreffe condamné à une amende de 250.000 € en septembre 2022 pour plusieurs non-conformités sur son site web. Il est donc urgent d’auditer et de mettre en conformité son site web, en fonction des dernières évolutions réglementaires.
Comment rendre son site web conforme au RGPD ?
Un site web implique systématiquement l’utilisation de données personnelles, même si tous les traitements de données ne sont pas visibles. Pour autant, chacune de ces utilisation est encadrée par des règles spécifiques :
- Lignes directrices et recommandations de la CNIL sur les cookies et autres traceurs,
- Recommandations de la CNIL sur les mesures de journalisation,
- Conseils de la CNIL dans le cadre de la communication en ligne…
Ces règles sont également complétées par la doctrine en matière de sécurité numérique de la CNIL et de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) (mots de passe, utilisation de TLS…).
A moins de disposer des compétences en interne, faire vérifier la conformité de son site par un audit externe apparaît pertinent, particulièrement dans le contexte du web où la réglementation et les standards évoluent rapidement. Au-delà d’éviter les sanctions, cet audit et les correctifs qui s’ensuivent vous permettront d’augmenter la confiance des utilisateurs, clients ou usagers, dans le cadre d’une démarche de numérique responsable.
Pourquoi former ses équipes au RGPD ?
En premier lieu parce que c’est obligatoire ! Sans bénéficier d’un article propre dans le RGPD, cette obligation ressort de l’article 39 sur les missions du DPO, lequel contrôle “la sensibilisation et la formation du personnel participant aux opérations de traitement”. Cette obligation ressort également de la doctrine et de la jurisprudence de la CNIL. Ainsi, dans son Guide de la sécurité des données personnelles, la commission consacre sa première fiche à la “sensibilisation des utilisateurs travaillant avec des données personnelles”.
En second lieu, la sensibilisation des équipes à la protection des données permettra de diminuer fortement les risques de violations de données et de pratiques contraires à la réglementation. La formation et la sensibilisation des salariés ou des agents devrait être au cœur de votre projet, puisque vous aurez en outre besoin de l’implication de chacun, selon ses responsabilités, dans le cadre de votre conformité au RGPD.
Empreinte Digitale propose dans ce cadre des sensibilisations et formations à destination de vos équipes. La CNIL propose également un MOOC pour connaître les bases de la réglementation.
Peut-on être labellisé ou certifié conforme au RGPD ?
Un mécanisme de certification sur la conformité au RGPD présenterait un intérêt fort pour les organismes en valorisant leur travail de mise en conformité. Il serait également utile à tous les clients/usagers en leur permettant « d’évaluer rapidement le niveau de protection des données offert par les produits et services » (considérant 100 du RGPD).
Ce type de mécanisme a donc été envisagé par le RGPD qui évoque plus d’une cinquantaine de fois les « certifications » et « labels » comme exemples de mesures organisationnelles pertinentes. Pour autant, peu de mécanismes certifiants sont actuellement en place. Depuis 2018 seuls deux ont été mis en place en France par la CNIL :
- La certification des compétences du DPO, qui permet d’identifier les compétences et savoir-faire du DPO,
- La certification des prestataires de formation à la protection des données.
Le RGPD évoque, en complément des certifications, des mécanismes « de labels et de marques » (article 42). Les anciens labels de la CNIL sont devenus caduques avec l’entrée en application du RGPD, mais les initiatives individuelles sont encouragées sur le sujet, comme c’est déjà le cas de la part de certains cabinets privés. On peut également penser à l’initiative de l’agence RSE Lucie, dont le label numérique responsable intègre notamment la protection des données personnelles.
En l’absence d’un système de labellisation reconnu sur le RGPD, Empreinte Digitale a souhaité mettre en place un système déclaratif, sur le modèle des déclarations d’accessibilité. Concrètement nous pouvons vous fournir une déclaration de conformité à intégrer à votre politique de confidentialité, selon le résultat de l’audit de votre site.
