RGPD Def - Définition du RGPD

Qu'est ce que le RGPD ?

Voté par le Parlement Européen en 2016, mis en application en 2018, contrôlé par la CNIL : le RGPD (Règlement Général sur la Protection des Données) a pour objectif de protéger les citoyens européens contre tout préjudice lié au vol de leurs données personnelles. Par données personnelles on entend : nom, prénom, numéro de sécurité sociale, numéro de téléphone, adresse électronique, adresse physique, plaque d'immatriculation, identifiant fiscal, identifiants informatiques, etc. Il s'agit donc de toutes les informations inscrites sur un support physique ou numérique qui permettent d'identifier un individu de manière directe ou indirecte.

Protection des données personnelles

Que peut faire un pirate avec des données personnelles ?

Avec un relevé d'identité bancaire, un avis d'imposition et une carte d'identité une personne malveillante peut souscrire un crédit en votre nom, encaisser l'argent et vous laisser la dette. Dans ce cas-là il s'agit d'une usurpation d'identité. Avec notre nom, votre numéro de sécurité sociale et votre adresse électronique une personne malveillante peut vous adresser un courriel semblable à ceux de l'assurance maladie vous demandant, par exemple, de rembourser un trop versé. Dans ce cas-là vous serez victime de phishing (hameçonnage en français). Avec votre plaque d'immatriculation et votre numéro de téléphone portable vous pouvez recevoir de faux SMS de l'Etat vous demandant de payer une infraction. Là encore c'est votre portefeuille qui est ciblé. En plus de vous soutirer de l'argent, les pirates peuvent également en profiter pour capter de nouvelles données comme votre numéro de carte de crédit. Afin que les fraudes soient efficaces les pirates ont besoin d'informations sur les individus, ce pourquoi il est important que vos données personnelles soient protégées.

Portée du RGPD

A qui s'applique le RGPD ?

Le RGPD s'applique à toutes les organisations professionnelles de l'Union Européenne et à toutes celles qui travaillent avec l'UE. Une organisation professionnelle est une entreprise, une administration, une association, etc. de très petite, de moyenne ou de grande taille. A titre d'exemples l'artisan travaillant seul est tout autant concerné que le club de foot local, que la marie de la commune ou que le centre commercial du quartier. Chacune de ces organisations professionnelles doit protéger les données de ses salariés, de ses clients, de ses fournisseurs de ses administrés ou de ses adhérents.

Qui est concerné par le RGPD ?

Tous les citoyens Européens sont concernés par le règlement général sur la protection des données. Commerçants, prestataires de services, artisans, sites de E-Commerce, organismes d'Etat, associations, etc. doivent être en mesure de fournir la preuve de leur mise en conformité. Le RGPD ouvre de nouveaux droits aux citoyens Européens comme par exemple le droit à l'oubli. Ainsi chaque citoyen peut demander à un organisme professionnel de supprimer toutes les informations dont il dispose sur sa personne, sous condition que cela ne vienne pas en contradiction avec d'autres obligations de l'organisme professionnel. Si vous exercez votre droit à l'oubli auprès de votre centre des impôts cela n'aboutira pas.

Confidentialité des données

Quelles sont les documents sensibles ?

Un simple contrat de travail contient une multitude d'informations personnelles. Un contrat de séjour d'une personne âgée dans un EHPAD contient là encore une multitude d'informations personnelles. CV, bulletins de salaire, contrats d'assurance, demandes d'urbanisme, avis d'imposition, courriers et courriels échangés avec des tiers, fiches clients, etc. sont des documents sensibles. Il est important de préciser que les courriels dont on peut identifier une personne par sa signature ou par la composition de son adresse doivent être considérés comme sensibles. Il faut également considérer que chaque organisation professionnelle dispose de documents sensibles dont le vol pourrait, d'une manière ou d'une autre, nuire aux individus.

Registres de traitement

En quoi consiste le traitement des données personnelles ?

Pour faire simple chaque organisation professionnelle doit identifier et répertorier tous les documents sensibles (ceux qui contiennent des informations personnelles). Elles doivent expliquer au travers de registres de traitement comment ces données sont protégées, quelles sont les personnes habilitées à y accéder et combien de temps elles seront conservées. Il y aura plusieurs registres de traitement, généralement un par activité interne. Les durées de conservation sont très importantes car conserver des données au-delà de ce qu'il est nécessaire représente un risque supplémentaire de se les faire voler. Enfin tous les accès aux documents doivent être consignés afin de conserver une traçabilité. Tous ces processus doivent être mis en oeuvre par un Délégué à la Protection des Données (DPD en Français ou DPO en anglais pour Data Protection Officer). Ce DPO (dénomination la plus souvent utilisée) peut être interne ou externe à l'organisation professionnelle.

Les registres de traitement suffisent-ils à mettre mon organisation professionnelle à l'abris ?

De nombreux consultants ou avocats proposent de rédiger vos registres de traitements, mais attention ! Il faut que la rédaction des registres de traitement soient accompagnés de procédures applicables sur le terrain et c'est souvent à ce niveau-là que ce type de prestation trouve ses limites. En cas de piratage il faudra prouver que vos procédures étaient appliquées sans quoi votre responsabilité sera engagée. L'informaticien est-il le bon interlocuteur ? Oui et Non ; Non car il ne peut être à la fois juge et partie et Oui car vous aurez besoin de ses compétences pour l'application des procédures. La seule rédaction de registres de traitement n'est pas suffisante, le seul renforcement du SI (système d'information) par rapport aux cyber-attaques n'est pas suffisant non plus. Etre conforme avec le RGPD consiste donc à appliquer ce qui a été rédigé dans les registres de traitement et à pouvoir le prouver.

Règlement général sur la protection des données

Contrainte ou opportunité pour les organisations professionnelles ?

Il y a deux façons d'envisager la mise en place du RGPD dans les organisations professionnelles : soit elle est considérée comme une contrainte, soit elle est considérée comme une opportunité. C'est une réalité de dire que la mise en conformité RGPD prend du temps, mais avec un peu de recul il est aisé de réaliser que mettre à l'abris nos salariés, clients et fournisseurs est important pour le bien de tous. Nous pourrions même dire qu'il s'agit d'un devoir que nous avons envers ceux avec qui nous travaillons. Au-delà même de ça, il est intéressant de profiter de ce travail pour identifier les données critiques de nos organisations et ainsi les protéger au même titre que les informations personnelles. C'est ainsi que nous parlons de données sensibles. Elles se composent des données "RGPD" mais également de données critiques telles que les contrats clients / fournisseurs, les brevets, les business plans, les secrets de fabrications, etc. Toutes les organisations professionnelles disposent de données qu'elles doivent garder secrètes et d'informations stratégiques qu'elles ne doivent pas perdre. Notre vision est donc de profiter de la mise en application du RGPD pour faire le grand recensement de toutes ces données sensibles et de définir ou redéfinir un plan de protection général.

Le rôle du service informatique ou des prestataires de services

Votre service informatique ou prestataire de services doit être en mesure de vous proposer des systèmes qui répondent aux exigences du RGPD. Les NAS (Network Attached Storage), serveurs de fichiers et outils tels que Sharepoint, OneDrive, Dropbox ne sont nativement pas orientés RGPD. Par exemple, avec ces outils de stockage, il sera très compliqué, voire impossible, de programmer des règles de conservation et d'assurer le suivi de ses dernières. De même, afficher le listing complet des documents qui contiennent des informations personnelles ne sera pas automatique et demandera beaucoup de temps à votre DPO. Suite à une demande de droit à l'oubli, rechercher les documents qui contiennent des informations personnelles sur la personne aillant formulée la demande ne sera pas chose aisée. Ces outils nécessiteront que vos collaborateurs et votre DPO effectuent un ensemble de traitements manuels en parallèle de leur utilisation ce qui engendrera une perte de temps mais également des erreurs. Si vous utilisez certain de ces outils nous vous recommandons de ne pas les utiliser pour stocker des données sensibles. Si vous utilisez les services d'un prestataire externe sa responsabilité en tant que professionnel pourra être engagée s'il ne vous conseille pas des systèmes compatibles avec le RGPD. Comme nous l'avons évoqué précédemment vous devez être en mesure d'appliquer ce qui est rédigé dans vos registres de traitement sans quoi, en cas de fuite de données, c'est votre responsabilité qui sera engagée.

Clarisse et le RGPD

Clarisse est-t-il un logiciel RGPD ?

Le logiciel Clarisse apporte de nombreuses facilités pour la mise en conformité avec le RGPD :

• protection des données par chiffrement
• gestion avancée des droits d'accès
• traçabilité des accès utilisateurs
• interface de gestion dédiée au délégué à la protection des données (DPO)
• élaboration automatique d'un registre listant tous les documents qui contiennent des données à caractère personnel
• gestion avancée des règles de conservation
• génération d'indicateurs de suivi
• connexion possible avec les plateformes de gouvernance RGPD telle que Privashield

Les données déposées dans le logiciel Clarisse sont intégralement chiffrées en AES128, AES192 ou AES256 bits. Chaque document dispose de sa propre clef de chiffrement ce qui fait que même en cas de piratage les données restent inexploitables par l'assaillant. Vous avez ainsi la garantie qu'il n'y aura aucune fuite d'information. La gestion des délais de conservation est automatiquement gérée par le logiciel Clarisse. Ainsi, par exemple, lorsque vous déposerez un CV dans le système, ce dernier sera automatiquement supprimé au bout d'un temps prédéfini. La traçabilité des accès est automatique et le système peut mettre à votre disposition un registre de toutes les opérations effectuées sur un document donné avec les noms des utilisateurs qui auront effectué ces dernières. Enfin le logiciel Clarisse, via ses API, sait communiquer avec d'autres systèmes et ainsi fournir des informations à des plateformes de gouvernance RGPD telle que Privashield.

Cybersécurité

Le logiciel Clarisse contribue-t-il à la protection des données ?

Parler de RGPD nous amène inévitablement à parler de sécurité informatique. La cybersécurité ne consiste pas seulement à s'équiper d'un firewall (pare-feu en français) ou d'un anti-virus. La cybersécurité implique la mise en œuvre de plusieurs systèmes matériels et logiciels ainsi que de plusieurs pratiques ayant pour but de compliquer le travail des pirates. Effectuer régulièrement les mises à jour de son système, changer plusieurs fois par an ses mots de passe, utiliser des mots de passe complexes, etc. contribuent à la protection du SI (Système d'Information). Parce que les données sont chiffrées et parce qu'elles ne sont pas directement accessibles comme elles peuvent l'être au travers d'un partage réseau, l'utilisation d'un logiciel tel que Clarisse contribue efficacement à votre cybersécurité. Le logiciel Clarisse est à la fois une GED (Gestion Electronique des Documents), un logiciel RGPD ainsi qu'un logiciel de cybersécurité dédié à votre organisation professionnelle.