
Le nouveau Règlement Général sur la Protection des Données Personnelles va renforcer les pratiques des organismes en général et des acteurs du numérique en particulier, en matière de gestion des données personnelles, dans la continuité de la Loi Informatique et Libertés.
Ayant initié, dès la publication du texte, un programme de mise en conformité pour ses propres solutions et processus internes de gestion de données, Le Cow met son expertise à la disposition de ses clients. Dans ce dossier, nous vous proposons de faire le point sur le contenu et les enjeux du RGPD / GDPR, un focus sur la fonction de Délégué à la Protection des Données (DPO = Data Protection Officer) et une synthèse de notre expertise en la matière.
Présentation et enjeux
À partir du 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) ou General Data Protection Regulation (GDPR) promulgué par la Commission Européenne va devenir le texte européen de référence en matière de protection des données personnelles. Ses dispositions seront applicables dans les 28 pays de l'Union Européenne par l’ensemble des organismes dans le monde qui fournissent des biens à des citoyens européens, ainsi que celles qui enregistrent, hébergent et manipulent des données personnelles de résidents européens.
Ce règlement remplace la directive sur la protection des données personnelles adoptée en 1995, tout en s’inspirant largement de la Loi Informatique et Libertés qui existe depuis 1978 (et vient la renforcer).
La montée en puissance du numérique dans la vie quotidienne des individus facilite notamment l’exploitation de données personnelles par les organismes. Dans un objectif de profilage, de personnalisation et de monétisation, ces pratiques devaient être adaptées, à la fois pour améliorer la protection des données personnelles des individus et aider les organismes à mettre en place une gouvernance de données standardisée, et transparente, facilitant la mise en œuvre de programmes analytiques à forte valeur ajoutée (connaissance client et personnalisation, gestion des risques & fraude, etc.).
L’objectif du RGPD / GDPR est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des organismes ». Ces dispositions vont modifier en profondeur la manière de collecter, gérer, stocker et protéger les données personnelles, dans le cas d’organismes n’ayant pas encore mis en place les dispositifs prônés par la directive de 1995.
Qu’est-ce qu’une donnée personnelle ?
Selon la loi Informatique et libertés : " Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. "
Le contenu du RGPD / GDPR
Le RGPD / GDPR instaure dans toute l’Europe un cadre réglementaire harmonisé directement applicable dans chacun de 28 Etats-Membres. Ce langage commun relatif à la protection des données personnelles s'appliquera également aux organismes évoluant hors de l'Union européenne qui exploitent les données concernant les activités des organisations et des résidents de l'UE.
Alors que la Loi Informatique & Libertés française reconnaissait déjà des droits aux individus (opposition au traitement sous réserve d’un motif légitime, droit d’accès aux données, droit de rectification/suppression), ce sont désormais sept droits qui sont mis en avant ou renforcés par le RGPD / GDPR :
-
Transparence des informations et des communications
-
Droit d'accès à la donnée de la personne concernée
-
Droit de rectification
-
Droit à l’oubli
-
Droit à la limitation du traitement
-
Droit à la portabilité des données
-
Droit d’opposition
Dans le même esprit, le RGPD / GDPR formalise un certain nombre d’obligations pour les organismes :
-
Principe d’auto-responsabilité (Accountability) : l’organisme doit être en mesure de démontrer sa conformité.
-
Principe d’information : les individus doivent être informés de leurs droits et accepter explicitement la collecte et le traitement de leurs données personnelles.
-
Principe de licéité : les données personnelles ne peuvent être collectées et exploitées que pour un usage donné et légitime, correspondant aux missions du responsable de traitement.
-
Principe de minimisation : les entreprises ne peuvent conserver que les données strictement nécessaires à l’exercice de leurs activités. Il est complété par le principe de conservation limitée : la durée de conservation des données est limitée à l’exécution du contrat (ou aux obligations légales de conservation).
-
Privacy by Design & Privacy by default : la sécurité et la gouvernance des données doivent être prises en compte en amont de la conception de produits/services. En outre, la sécurité n’est plus optionnelle, mais activée par défaut : l’utilisateur ne doit plus cocher une case pour protéger ses données.
-
Nomination d’un DPO (Data Protection Officer) : dès lors que l’organisme exploite des données à caractère personnel à grande échelle. Ceci est par ailleurs obligatoire pour le secteur public.
Le délégué à la Protection des données (DPO) : le gardien de la conformité
Les enjeux pour les organismes, sont par conséquent, d’offrir plus de contrôle aux individus sur leurs données personnelles, en respectant l’intégralité de ces obligations sous peine de sanctions.
Mesure phase du nouveau règlement européen, la Commission Européenne a durci fortement les pénalités auxquelles s’exposent les organismes dont les pratiques ne seraient pas en conformité. Celles-ci risquent une amende pouvant aller jusqu’à 2 % de leur chiffre d’affaires ou 10 M€ (le montant le plus important étant retenu) pour une organisation non conforme et 4% du CA ou 20 M€ pour le non-respect des droits des internautes, sans compter les dommages éventuels sur la réputation de l’entreprise.
Répondre à l’enjeu de conformité au RGPD / GDPR implique pour les organismes la mise en place d’une véritable gouvernance de la donnée. Ils doivent s’assurer que l’ensemble des processus et traitements impliquant des données à caractère personnel respectent les règles décrites ci-dessus. Pour cela, elles doivent notamment procéder à un audit exhaustif de tous les logiciels et fonctions informatiques ou traitements non informatiques qu’elles utilisent. Afin de les aider dans cet effort, Le Cow a devancé l’appel en lançant un programme visant à s’assurer que ses solutions SaaS répondent intégralement aux exigences de la réglementation, et éviter aux organismes qui les utilisent d’avoir à assurer eux-mêmes cette conformité. Pour Le Cow, RGPD Ready est donc synonyme de tranquillité d’esprit de ses clients.
Le cyber-risque un enjeu pour mon entreprise ?
​
Un audit de sécurité et une cellule de veille permanente
Le Cow a tout d’abord lancé un audit de sécurité de ses applications et des fonctions fournies par ses partenaires. Parallèlement, la société a créé une cellule dédiée à la veille permanente des nouvelles solutions de sécurité et a modifié ses processus de développement afin d’intégrer la sécurité dès les premières étapes de la conception de ses solutions ( Privacy by design ).
79%
des entreprises de plus de 1 000 salariés considèrent être bien préparées face aux risques des cyberattaques*
Une infrastructure technique agile et sécurisée
Les exigences en matière de sécurité de Le Cow vis à vis de ses clients sont exprimées à travers la mise en place d’un SMSI (Système de Management de la Sécurité de l'Information). L’objectif est de protéger les fonctions et les informations de toute perte, vol ou altération et de prémunir les systèmes informatiques de toute intrusion ou sinistre. De par les bonnes pratiques appliquées et le processus d’amélioration continue engendré, le SMSI de Cegid est certifié ISO 27001 (N° de certificat IS 666376 délivré par la société BSI) sur le périmètre suivant : délivrance d’un service permettant l’hébergement d’applications contenant des données fournies par des clients dans un environnement cloud.
Ce périmètre certifie donc le processus de délivrance du service, de la commande à la mise en production, comme son système de management de la sécurité de l'information pour l'hébergement des applications SaaS et des données clients. Surveillée 24 h sur 24 et 7 jours sur 7, cette infrastructure offre les niveaux de résilience nécessaires pour relever les défis auxquels sont confrontées les entreprises modernes : disponibilité permanente des données, personnalisation de la relation client, intégration des partenaires, etc. L’ensemble des communications depuis ou vers cette infrastructure a été sécurisée pour s’affranchir des principaux risques mis en relief par le RGPD / GDPR.
55%
des entreprises déclarent
avoir subi une cyberattaque en 2016*
Sécurité liée aux ressources humaines
Le volet « humain » est également une composante importante de ce projet de conformité. Ainsi une séparation claire des rôles et responsabilités a été mise au point, entre le chef de projet, les experts (IT et métiers), les juristes et les équipes commerciales. L'ensemble du personnel de la Production SaaS est sensibilisé et formé à la sécurité.
Une clause de confidentialité a été signée par le personnel travaillant sur les solutions SaaS. Un parcours d’intégration avec sensibilisation à la sécurité et au RGPD / GDPR a été défini pour le personnel. Consultez notre charte d'engagement RGPD / GDPR
56%
des entreprises admettent avoir subi
un préjudice financier ou en termes d'image de marque*
Cybersécurité : aucune entreprise n’est à l’abri d’une attaque
-
Si 73 % des entreprises de 250 à 1 000 salariés considèrent être bien préparées face aux risques de cyberattaques, ce n’est pas le cas des PME : seulement 37 % pensent avoir fait le nécessaire.
-
Des données sensibles ont été touchées dans 33 % des entreprises piratées (+ 8 % par rapport à 2015)*.
-
Parmi les principales conséquences redoutées : l’infection par un logiciel malveillant engendrant des fuites de données, la destruction ou l’altération de données et l’espionnage industriel.
Confrontées au poids grandissant des contraintes réglementaires, les entreprises cherchent non seulement des solutions intégrant en natif le respect des réglementations, mais également une expertise et des conseils pour mettre en place et améliorer continuellement une véritable gouvernance des données. Le Cow a mis en place une approche mûrement réfléchie pour répondre à cette double nécessité.
Obligation de transparence et de traçabilité
Le contrat passé entre Le Cow et ses clients décrit les obligations des deux parties. Conformément au RGPD / GDPR, le client est informé en cas d’attaque, de rupture de la confidentialité des données, voire de fuite ou de vols de données ; et l’ensemble des instructions fournies par le client, ainsi que tous les éléments servant à prouver la conformité de l’infrastructure technique de Le Cow sont consignés dans un registre des traitements.
Principe de protection des données dès la conception et par défaut : « Privacy by design » et « Privacy by default »
Le Cow s’engage à intégrer le respect de la vie privée dès les phases de conception de ses solutions et à offrir aux utilisateurs le plus haut niveau possible de protection des données. La sécurité n’est plus une option, il ne revient plus au client de cocher une case pour activer sa protection, celle-ci l’est par défaut. Cette évolution a été mise en œuvre dans les solutions de Le Cow grâce à une vaste campagne de sensibilisation et de formation des ressources concernées, notamment les développeurs et les responsables produits.
Obligation de garantir la sécurité des données traitées
La confidentialité des données est désormais une fonction par défaut des offres de Le Cow, qui propose en outre un niveau de sécurité adapté aux risques auxquels sont confrontées les entreprises. Enfin, la société s’engage à supprimer ou à restituer les données en sa possession.
Obligation d’assistance, d’alerte et de conseil
Si les instructions données par le client ne sont pas conformes aux réglementations en vigueur,Le Cow s’est fixé comme obligation de l’en informer immédiatement. La société s’engage en outre à conseiller ses clients pour toute question relative à la sécurité et la confidentialité de ses données, par exemple en leur expliquant la différence entre les traitements légitimes qui ne nécessitent pas de consentement de l’utilisateur final et les traitements non légitimes qui réclament un consentement explicite (« opt-in »).
Mes données sont-elles vraiment en sécurité dans le cloud ?
L'ensemble des offres Saas de Le Cow a été mise à jour pour tenir compte du nouveau règlement européen. Des fonctionnalités de minimisation ou de suppression de données ont été intégrées, ainsi que des fonctionnalités permettant de gérer le consentement des utilisateurs ou la conservation, dans le temps, des données à caractère personnel.
Des accompagnements et des formations vont permettre d’aider nos clients dans leur propre mise en conformité.