Printemps des DPO 2024

La Médiathèque

Nos Articles Retrouvez les articles rédigés par nos partenaires

Le Micro-Learning : La Clé de la Conformité RGPD par la Sensibilisation des Collaborateurs

Cliquez ici

L'Essentiel du RGPD et la Solution Smart Compliance Booster pour les DPO

Cliquez ici

La conformité RGPD de l’IA dans le processus de recrutement

Cliquez ici

Informer les internautes sur le RGPD grâce au Legal design

Cliquez ici

Le Sous-traitant (acteur) de la limitation des risques sur la vie privée : le prisme de l’AIVP.  

Cliquez ici

Le rôle des KPI dans votre mise en conformité RGPD

Cliquez ici

Conformité des demandes d'exercice de droits : les DPO en première ligne pour 2023

Cliquez ici

Protection des données : les visions anglo-saxonne et européenne vont-elles enfin converger ? 

Cliquez ici

Réseaux sociaux et interfaces trompeuses : Les recommandations du CEPD

Cliquez ici

5 ans d'application du RGPD :  L'essentiel à retenir

Cliquez ici

Comment instaurer une culture de la compliance dans son organisation ?

Cliquez Ici 

Droit à l’oubli, droits des personnes : que dit le RGPD ? 

Cliquez Ici

Quand la conformité RGPD et le Numérique Responsable se rencontrent 

Cliquez Ici

DPO : 5 ans après le RGPD, comment collaborer avec le RSSI ? 

Cliquez ici

La protection de la vie privée à la une des nouvelles technologies

Cliquez ici

  Comment permettre une utilisation responsable de la DATA grâce à la plateforme Trust Intelligence ? 

Cliquez ici

Sensibiliser vos collaborateurs à la protection des données personnelles : Mission (Im)possible ?

Cliquez ici

Retrouvez les articles recommandés par le Printemps des DPO 2023

#REGLEMENTATION

Environnement, sanctions, vie privée… Le laboratoire de la Cnil présente son programme de travail

En 2022 et 2023, le laboratoire d'innovation numérique de la Cnil va travailler sur l'impact environnemental du numérique, les incitations économiques à la conformité, les moyens mis à la disposition des citoyens pour faire respecter leur vie privée, et les nouvelles formes de captation de données. 
> Lire l'article

#SECURITE

[Le plein de cyber] En matière de sécurité informatique, les jeunes salariés plus imprudents que leurs aînés

Une étude du cabinet de conseil EY révèle que les salariés issus de la génération Z et les millennials sont plus enclins que leurs aînés à réutiliser leurs mots de passe et à ignorer les mises à jour informatiques. Biberonnés au numérique, les plus jeunes auraient tendance à surestimer leurs réflexes cyber, jusqu'à ce qu'ils soient confrontés à une véritable menace.
> Lire l'article

#SOUVERAINETE

Bruxelles enclenche le processus d’adoption du futur accord de transfert de données UE-US

La Commission européenne a publié mardi 13 décembre son projet de décision concernant le régime de transfert de données entre les États-Unis et l’Union européenne, ouvrant la voie à son adoption prochaine. Ses détracteurs, quant à eux, se tiennent déjà prêts à le contester devant la justice.
> Lire l'article

#PRIVACY

Les pratiques de conservation des données personnelles par Europol inquiètent le Contrôleur européen

Le Contrôleur européen de la protection des données s'inquiète de voir Europol autoriser à nouveau de conserver des données personnelles d'individus n'ayant aucun lien avec une activité criminelle. Il lui avait intimé de mettre fin à ses pratiques en janvier dernier. Le législateur européen en a décidé autrement et a réintégré cette faculté dans le règlement d'Europol. 
> Lire l'article

#PRIVACY

Les entreprises françaises accueillent à bras ouvert la fin des cookies tiers

Une nouvelle étude met en lumière l’optimisme des entreprises françaises face à la fin des cookies tiers, annoncée pour 2024, et leur capacité d’adaptation face aux changements que cela devrait provoquer dans le monde de l’adtech. 
> Lire l'article

#SECURITE

[Le plein de cyber] De la clé USB à la gestion des vulnérabilités, les mauvaises pratiques cyber des industriels

Les industriels n’ont pas la réputation d’être les plus matures en matière de cybersécurité. Parmi leurs mauvaises pratiques : ne pas bien se sécuriser les connexions de clés USB utilisées par des acteurs extérieurs au site, et délaisser la gestion des vulnérabilités, révèle un benchmark de Wavestone.
> Lire l'article

#SOUVERAINETE

Que retenir des annonces gouvernementales sur le cloud souverain ?

Le ministre de l'économie Bruno Le Maire et le ministre délégué au numérique Jean-Noël Barrot ont complété la doctrine "cloud au centre" à l'occasion de l'inauguration du nouveau data center d'OVHcloud à Strasbourg. Ils ont notamment annoncé la création d'un comité stratégique de filière "numérique de confiance" dirigé par Michel Paulin et la mise en place d'un dispositif d'accompagnement des PME et start-up pour l'obtention du label "SecNumCloud". En revanche, très peu de précisions ont été apportées sur la place des entreprises américaines de cloud qui aujourd'hui monopolisent le marché. 
> Lire l'article

#REGLEMENTATION

La Cnil appelle les législateurs à mettre de l’ordre dans les règles encadrant les données de santé

La Cnil estime qu’il est “indispensable de revoir le cadre juridique” relatif à la transmission des données de santé aux mutuelles et à la bonne application du secret médical, pointant du doigt quelques lacunes législatives. 
> Lire l'article

#SECURITE

RGPD : Les Cnils européennes ont récolté plus de 830 millions d’euros en 2022

La Cnil et ses équivalents européens n'ont pas chômé cette année. En tout, les agences ont prononcé 438 amendes pour violation du RGPD pour un montant total de plus de 830 millions d'euros.
> Lire l'article

#CONFORMITE

Leto lève 1,2 million d'euros pour automatiser la mise en conformité avec le RGPD

La start-up Leto, spécialiste de l’automatisation de la mise en conformité de la RGPD, lève 1,2 million d’euros pour développer sa solution en y intégrant de l’intelligence artificielle et accroitre le nombre de clients pour devenir le leader européen sur le sujet.
> Lire l'article

#CONFIANCE

Numérique de confiance : les premiers pas du nouveau comité stratégique de filière

Le directeur général d’OVHcloud, Michel Paulin, a lancé mardi 22 septembre une consultation dans le cadre du tout nouveau comité stratégique de filière “numérique de confiance” qui devrait permettre de faire un état des lieux des enjeux et aboutir à un plan d’action pour la réussite de l’écosystème.
> Lire l'article

#GOUVERNANCE

Le Conseil d'Etat propose de faire de la Cnil le régulateur de l'intelligence artificielle

Dans une étude commandée par le gouvernement, les Sages estiment qu'il serait naturel de désigner la Cnil comme autorité nationale de contrôle des systèmes d'intelligence artificielle, en charge de l'application du règlement européen sur l'IA.
> Lire l'article

#HARMONISATION

RGPD : les Cnil européennes appellent à harmoniser les règles en matière de coopération

Dans une lettre adressée à la Commission européenne, le Comité européen de la protection des données dresse la liste des procédures à harmoniser pour améliorer la coopération transfrontalière, regrettant que “le potentiel du RGPD ne soit pas encore pleinement exploité”. 
> Lire l'article

#SECURITE

Les cyberattaques, ça n’arrive pas qu’aux autres ! TPE, PME et ETI : organisez votre défense informatique/numérique

Le coût des cyberattaques ne cesse de croître d’année en année : les dommages causés par la cybercriminalité ont coûté 6 000 milliards de dollars en 2021, soit plus de 6% du PIB mondial. La même année, et selon le rapport du Sénat, 56% des PME ont connu au moins un incident de cybersécurité et le nombre d’attaques par rançongiciel a augmenté de 255%.
> Lire l'article

#DONNEES

Infogreffe épinglé par la Cnil pour avoir conservé trop longtemps des données personnelles

La Cnil a condamné Infogreffe une amende de 250 000 euros pour avoir insuffisamment protégé les données personnelles de ses membres et abonnés. Depuis les procédures, des mesures ont été prises.
> Lire l'article

#PRIVACY

A son tour, l'Italie déclare illégale l'utilisation de Google Analytics

L'autorité italienne de la protection des données a jugé que le recours à Google Analytics était illégal à cause des risques de transferts de données personnelles vers les Etats-Unis. Elle prend ainsi le même chemin que ses homologues autrichienne et française.
> Lire l'article

#ETHIQUE

NOYB porte plainte devant la Cnil contre les mails publicitaires de Google

L'association fondée par le militant autrichien Max Schrems accuse Google de spammer les internautes dans Gmail, contrevenant à la directive européenne ePrivacy.
> Lire l'article

#CONTROLE

La Cnil davantage crainte que la FTC, d'après l'ancien responsable de la sécurité de Twitter

Peiter Zatko, ancien chef de sécurité de Twitter, a été auditionné devant le Sénat américain sur ses accusations portant sur le manque de sécurité informatique du réseau social. Il réitère ses propos : Twitter est incapable de traiter correctement les données personnelles de ses 80 millions d'abonnés. La Cnil fait figure d'exemple dans la régulation de ces grandes entreprises technologiques, a déclaré l'hacker éthique de renom. L'autorité française ferait davantage peur que la FTC. 
> Lire l'article

#CONVERGENCE

La stratégie européenne sur les données ne doit pas porter atteinte au RGPD, alertent les Cnil

Le Data Governance Act et le Data Act, dont l'objectif est de déployer un marché unique des données au sein de l'UE, doivent respecter les principes fixés par le RGPD, préviennent les autorités de protection dans un avis. Des précisions sont également réclamées sur les organes chargés de superviser l'application de ces textes.
> Lire l'article

#REGLEMENTATION

Attention aux nouvelles modifications apportées à la procédure de sanctions de la Cnil

Un nouveau décret a assoupli la procédure de sanction de la CNIL, renforçant considérablement sa capacité en la matière. Les entreprises, et notamment les TPE et PME, doivent être vigilantes car elles sont beaucoup plus exposées qu'auparavant. Décryptage d'Isabelle Cantero, avocat associé du cabinet Caprioli & Associés.
> Lire l'article

5 ans d'application du RGPD :
 L'essentiel à retenir

Article offert par nos partenaires
Adequacy et Deroulez avocats
Le RGPD, un nouveau standard international


Le Micro-Learning : La Clé de la Conformité RGPD par la Sensibilisation des Collaborateurs

Article offert par notre partenaire
Leto Légal
Bonjour ! 
 Vous êtes en charge de la conformité de votre organisme et vous n’avez qu’une peur : que vos efforts soit anéantis par des comportements pas très RGPD Friendly de la part de vos équipes ? 

 La sensibilisation des collaborateurs demeure un maillon clé de cette chaîne de protection des données. Mais comment s’y prendre efficacement ? 

 La solution ? Le micro-learning.

Les moyens traditionnels comme les e-learnings sont insuffisants. Ils ne permettent pas un réel changement des mentalités et des pratiques. 

Le micro-learning consiste à délivrer des informations par petites unités, sous forme de quiz rapides et ludiques.

Contrairement aux longues formations théoriques, le micro-learning mise sur des sessions courtes et régulières. 

 Résultat ? Une assimilation facilitée des règles RGPD et le développement de bons réflexes dans la durée. 

 Voici comment mettre en place une stratégie gagnante de micro-learning RGPD :

1️⃣ Ciblez les problématiques de chaque équipe. Pour que la formation soit utile, elle doit correspondre aux cas concrets rencontrés par vos collaborateurs. Un commercial n'a pas les mêmes besoins qu'un data scientist. Analysez les spécificités de chaque poste pour créer des modules personnalisés par métier : marketing, tech, RH, etc. 

2️⃣ Posez des questions basées sur des mises en situation réelles. Evitez le cours théorique sur la définition des données personnelles. Préférez des questions pratiques du type : On lance un nouveau site, et il nous faut un outil d’analyses statistiques. L’équipe choisit le leader et en plus, il est gratuit : Google Analytics. Qu’en penses-tu ? 

3️⃣ Adoptez un format ludique et engageant (quiz, vidéos, etc.). Pour favoriser la mémorisation, optez pour des quiz, des jeux de rôle ou du storytelling. L'idée est de rendre la formation ludique tout en transmettant un message fort. 

4️⃣ Diffusez les modules via les outils digitaux internes. Partagez chaque micro-module directement sur les messageries des équipes : email, Slack, Teams, etc. Cela fluidifie le déploiement et évite aux collaborateurs de se connecter sur une nouvelle plateforme. 

5️⃣ Répétez les envois dans le temps pour ancrer les connaissances. L'esprit a besoin de révisions pour ancrer durablement les connaissances. Répétez l'envoi des modules tous les mois en faisant varier les questions.

Les avantages ? Une sensibilisation continue, des contenus sur-mesure, et une meilleure rétention des informations et la possibilité d’embarquer chaque nouveau collaborateur. 

Pour aller plus loin dans vos objectifs, télécharger pour votre organisme notre Livre Blanc Sensibilisation des personnes à la protection des données personnelles.    


L'Essentiel du RGPD et la Solution Smart Compliance Booster pour les DPO

Article offert par notre partenaire
Smart Global Governance
L'Essentiel du RGPD et la Solution Smart Compliance Booster pour les DPO

La protection des données est devenue une préoccupation majeure pour les entreprises du monde entier. Avec l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) en 2018, les entreprises traitant des données des résidents de l'UE doivent se conformer à des normes strictes. Dans cet article, nous explorerons les aspects clés du RGPD et comment la solution Smart Compliance Booster, Smart Data Discovery et Smart Anonymiser peuvent aider de façon complémentaire les Délégués à la Protection des Données (DPO) à naviguer dans ce paysage complexe. 

 Qu'est-ce que le RGPD ? 

Le RGPD est une réglementation de l'Union Européenne qui vise à renforcer et à unifier la protection des données pour tous les individus au sein de l'UE. Entré en vigueur le 25 mai 2018, il s'applique à toutes les entreprises qui traitent des données des résidents de l'UE, quelle que soit leur localisation. 

 Les Obligations Selon le RGPD 

 Le RGPD impose d’Identifier et Déclarer les Traitements de Données et notamment : 
 Les Catégories de Données : Il est essentiel de comprendre les différentes catégories de données traitées, qu'il s'agisse de données personnelles ou sensibles. 
 Les Finalités : Les entreprises doivent déclarer la raison pour laquelle elles traitent des données.
 Les Durées de Rétention : Il est crucial de définir combien de temps les données seront conservées 

 Smart Compliance Booster pour Gérer le RGPD

Face à ces exigences, la solution Smart Compliance Booster est une solution complète pour la gestion du RGPD. Elle vise à optimiser la conformité et à minimiser les risques associés au traitement des données. 
De plus, avec une interface intuitive et des fonctionnalités avancées, Smart Compliance Booster facilite la tâche des DPO en automatisant de nombreux processus liés au RGPD. Que ce soit pour la cartographie des données, la gestion des consentements ou la réalisation d'audits, cette solution est conçue pour offrir une expérience utilisateur optimale tout en garantissant une conformité rigoureuse. 

 Smart Data Discovery

L'une des fonctionnalités complémentaires à Smart Compliance Booster s’appelle Smart Data Discovery. Smart Data Discovery permet de contrôler la conformité RGPD en temps réel et compare les catégories de données et les durées de rétention déclarées dans le registre de traitements avec la réalité opérationnelle. Est-ce que les opérationnels ont bien déclaré toutes les catégories de données ? Sur les postes de travail, les serveurs locaux et distants ? Et est-ce que les données personnelles sont bien supprimées à temps ?

Grâce à des algorithmes avancés et à une technologie de pointe, Smart Data Discovery offre une vision granulaire des données, identifiant les éventuels écarts de conformité traitement par traitement, source de données par source de données. Cette approche proactive non seulement renforce la confiance des parties prenantes dans la politique RGPD de l’entreprise, mais permet également aux entreprises d'anticiper et de résoudre les problèmes avant qu'ils ne deviennent critiques. Vous pouvez simplement identifier toutes les données à minimiser. 

 De nombreux autres cas d’usage pour la Data Discovery

La Data Discovery, bien plus qu'un simple outil de gestion des données, est devenue une nécessité stratégique pour les entreprises modernes. Elle offre une vision claire et précise des données, permettant ainsi une meilleure prise de décision et une conformité renforcée. Voici un approfondissement de certains de ses cas d'utilisation essentiels :

1.   Vérifier les transferts de données à l’international entre le réel et le déclaré et minimiser 
Dans un monde globalisé, les données circulent constamment à travers les frontières. Cependant, chaque transfert de données à l'international doit être conforme à une série de réglementations, dont le RGPD. La Data Discovery joue un rôle crucial en permettant aux entreprises de comparer les transferts de données réels avec ce qui a été officiellement déclaré.

2.  Vérifier l’ampleur d’un incident en cas de data breach et minimiser. 
Les violations de données sont l'un des plus grands cauchemars pour toute entreprise. Lorsqu'un tel incident se produit, il est impératif de déterminer rapidement son ampleur pour prendre des mesures appropriées. Grâce à la Data Discovery, les entreprises peuvent évaluer l'étendue exacte d'une violation, identifiant les données potentiellement compromises.

3.  Vérifier qu’une demande d’exercices de droits des personnes est bien menée jusqu’au bout et minimiser. 

Le RGPD et d'autres réglementations similaires accordent aux individus un ensemble de droits concernant leurs données personnelles, tels que le droit d'accès, de rectification ou de suppression. Lorsqu'une telle demande est faite, il est vital pour les entreprises de s'assurer qu'elle est traitée de manière exhaustive.

La Data Discovery permet de suivre le processus de ces demandes, de leur réception à leur résolution complète. En garantissant que chaque demande est traitée correctement et dans les délais impartis, les entreprises minimisent les risques de non-conformité et renforcent leur réputation en tant qu'entités responsables et dignes de confiance. 

 Minimiser les données avec l'Anonymisation 

L'anonymisation, en transformant les données personnelles de manière à ce qu'un individu ne puisse plus être identifié directement ou indirectement, est devenue une pierre angulaire de la conformité au RGPD. La solution Smart Anonymiser va au-delà des méthodes traditionnelles en proposant des procédures outillées pour l'anonymisation des non conformes. Ces outils garantissent non seulement que les données sont traitées de manière sécurisée, mais aussi leur utilité pour les analyses et les opérations sans compromettre la vie privée des individus. De plus, dans un paysage numérique où les cyberattaques sont courantes, l'anonymisation sert de bouclier supplémentaire, réduisant les risques associés aux violations de données. En intégrant des solutions comme Smart Anonymiser, les entreprises peuvent naviguer avec confiance dans le monde complexe de la protection des données. 

 Et obligations internationales ? 

Face à la complexité des réglementations mondiales, Smart Global Governance offre une solution en couvrant plus de 60 réglementations internationales. Cette plateforme aide les entreprises à naviguer facilement à travers ces normes, assurant la conformité tant au niveau local qu'international. 

 À propos de Smart Global Governance :  

Smart Global Governance est une entreprise française spécialisée dans les solutions de gestion des risques et de conformité. Notre plateforme offre un ensemble complet de fonctionnalités pour aider les entreprises à gérer leurs activités de traitement des données, les demandes d’accès des personnes concernées, les évaluations d’impact sur la vie privée et la conformité aux réglementations sur la protection des données.

Vous souhaitez en savoir plus ? Contactez-nous pour une démonstration gratuite. 


La conformité RGPD de l’IA dans le processus de recrutement

Article offert par notre partenaire
DPO Consulting
Le traitement des données personnelles issues du domaine des  ressources humaines  est un sujet de préoccupation important face aux exigences du Règlement général sur la protection des données (RGPD), les organisations collectent et stockent des données toujours plus intrusives chez leurs employés mais aussi sur les candidats des processus de recrutement. Face aux risques importants sur la vie privée et sur les droits des personnes concernées se placent des organismes où l’efficience est souveraine, peu importe les méthodes employées. Le RGPD impose depuis 2018 des obligations pour tenter de mettre en place un cadre d’utilisation des données respectueux pour toutes les parties mais, même cinq ans après son entrée en application, certains organismes peinent à s’y conformer.

L’évolution des pratiques de recrutement va de pair avec l’évolution des outils informatiques, le développement de l’intelligence artificielle rend progressivement son utilisation de plus en plus attrayante dans tous les secteurs et le recrutement ne fait pas exception à cette tendance.

Un algorithme qui choisit automatiquement le candidat idéal pour un poste parmi des milliers de candidatures se présente comme un gain de temps et d’argent pour les recruteurs mais en pratique l’enjeux de la protection des données des candidats doit être mis au premier plan. L’utilisation de l’IA présente aujourd’hui un nombre important de risques dont les candidats et recruteurs n’ont parfois pas idée : biais algorithmiques et discriminations involontaires peuvent entraver les droits et libertés des candidats. Si l’intelligence artificielle peut éliminer certains préjugés humains et faire preuve d’un pragmatisme exacerbé elle peut aussi être altérée par un entrainement basé sur des données biaisées.  
Comment les organismes peuvent-ils aujourd’hui utiliser l’intelligence artificielle dans le processus de recrutement tout en respectant le RGPD ?
Dans le cadre du recrutement, les logiciels peuvent analyser les éléments qui sont intégrées dans un CV, les compétences techniques appelées « Hard Skills » tels que les diplômes, les expériences professionnelles ou les formations qui peuvent facilement être entrecoupées avec les besoins pour le poste vacant. 

Les possibilités actuelles de l’intelligence artificielle permettent cependant des analyses plus intrusives lors de l’analyse des « Soft Skills » ou « Compétences douces » qui représentent les capacités d’adaptation, de communication, de créativité ou de réaction au stress du candidat. 

L’analyse des compétences douces peut ainsi passer par des procédés d’analyse de l’expression faciale du candidat pendant un entretien en visioconférence, de la diversité de son champs lexical ou de son intonation en temps réel. L’analyse automatique de ces caractéristiques renforce le risque en matière de discrimination, de biais algorithmiques et d’atteinte à la vie privée dans son ensemble lorsque parfois ni le recruteur ni le candidat n’a conscience du fonctionnement du logiciel.

Aujourd’hui, il existe une variété d’outils permettant de simplifier toutes les étapes du processus de recrutement. 
Dès la pré-sélection des candidats l’intelligence artificielle est capable d’analyser des CV, d’interagir au moyen de chatbots qui envoient des messages par mail, sms ou via les réseaux sociaux afin de déterminer si les compétences de base de l’interlocuteur correspondent aux besoins du poste. Cette présélection automatique est un gain de temps colossal pour les recruteurs étant donné que ces agents automatisés effectuent des interactions en simultanée avec des centaines de candidats et sont disponibles en permanence. Lors de la pré-sélection, il existe aussi des outils pour mettre les candidats dans une simulation de situation rencontrées par l’entreprise, ces jeux interactifs permettent de collecter des informations sur les « soft skills » du candidat, voir comment celui-ci réagit en situation de crise et sa capacité à prendre des décisions, tout autant de traitements qui doivent être en conformité avec les exigences du RGPD. 

La phase d’entretien avec le candidat peut aussi être assistée par l’intelligence artificielle, l’utilisation du logiciel américain HireVue se répand progressivement dans les entreprises de grande taille, l’outil est capable d’analyser le choix des mots du candidat, les gestes, la posture, les micro-expressions pour parfois aller jusqu’à détecter s’il ment. Cette analyse peut être réalisée pendant un entretien en visioconférence avec le recruteur ou à la suite de l’enregistrement d’une vidéo par le candidat qui est traitée à posteriori.

Il existe des méthodes qui sont encore plus floues pour les candidats, où le  droit à l’information  n’est que très rarement respecté, c’est par exemple le cas du web scrapping autrement dit la collecte de données personnelles via les réseaux sociaux du candidat. Cette méthode assez courante permet à un algorithme d’étudier l’activité en ligne des candidats pour extraire les données qui paraissent importantes pour le poste vacant. Cette méthodologie représente évidemment un modèle bien trop invasif étant donné qu’il peut s’appuyer sur les activités personnelles et sur des données qui peuvent être mal interprétées. Ce traitement est très rarement précédé de l’information ce qui constitue une atteinte aux principes du RGPD. 
Il est donc nécessaire de distinguer les méthodes qui sont respectueuses de la vie privée des candidats et d’identifier les engagements à privilégier. 

Quel est le cadre légal de l’utilisation d’un algorithme dans le processus de recrutement ? 

Il faut tout d’abord comprendre que ces intelligences artificielles fonctionnent grâce au profilage des candidats. Le profilage est un traitement qui vise à utiliser les données personnelles d’une personne pour prédire ses comportements et dans le cadre du recrutement à prédire sa capacité à performer dans le poste en question. 

Le profilage est tout autant encadré par le RGPD que la prise de décision automatisée ce qui explique les difficultés pour permettre un tel traitement tout en respectant les droits et libertés des personnes concernées. 

Une prise de décision entièrement automatisée est décrite par le RGPD comme une décision prise à l’égard d’une personne à la suite d’un traitement algorithmique au cours duquel aucun humain n’est intervenu. Le Règlement général sur la protection des données accorde une attention particulière à cette pratique puisqu’elle très encadrée lorsqu’elle « produit des effets juridiques » sur la personne concernée ou « l’affecte de manière significative ». 

 Le processus de recrutement rentre dans cette éventualité étant donné l’impact que peut avoir l’évincement d’un candidat, l’utilisation de ces algorithmes n’est pour autant pas strictement interdite. 

Il faut donc commencer par distinguer les intelligences artificielles qui sont une aide de prise à la décision du recruteur et celles qui prennent automatiquement une décision sans intervention humaine.

En effet, une intelligence artificielle est aujourd’hui capable de choisir seule un candidat qui serait selon elle le plus adapté pour un poste. Cependant en agissant sans intervention humaine il existe des risques d’analyse et de prédiction inexacte susceptibles d’évincer certains candidats de la sélection en raison de stéréotypes dus à la conception même de l’IA. Il pèse sur les concepteurs de ces outils informatiques de lourdes responsabilités en termes de qualité des données utilisées pour alimenter leurs créations, si celles-ci sont biaisées ou ne respectent pas certaines exigences éthiques elles pourront créer un disfonctionnement au sein du logiciel entrainant des discriminations.

Il est possible de citer l’exemple de l’intelligence artificielle utilisée pour le recrutement chez Amazon qui discriminait les femmes en raison d’un entrainement basé sur une population composée majoritairement d’hommes. 

La seule base légale ayant la possibilité de justifier le recours à une décision entièrement automatisée dans le cadre du recrutement est la conclusion d’un contrat de travail, une analyse doit nécessairement être effectuée au cas par cas. Cette exception doit être appréciée de manière très stricte, dans le cadre du recrutement seul un nombre de candidatures exceptionnellement élevé pourra être considéré comme un cadre d’utilisation valable de ce type d’algorithme. Il est ainsi nécessaire pour le recruteur de documenter ce choix et de le justifier sans quoi le traitement de données sera illégal. 

La CNIL recommande dans tous les cas de ne pas utiliser ces outils mais peut apprécier la nécessité de cette méthode lorsque des centaines de candidatures sont adressées à un recruteur. Pèse malgré tout sur celui-ci un devoir d’information renforcé à l’égard des personnes concernées en ce qui concerne le fonctionnement de l’algorithme. Cela induit donc que le recruteur doit connaitre et comprendre le fonctionnement de l’outil qu’il utilise, il lui revient de documenter son choix de logiciel ainsi que d’effectuer une analyse d’impact sur la protection des données (AIPD) qui permettra d’évaluer les risques du traitement et les mesures de sécurité à mettre en place.

Les personnes doivent évidemment être informées en amont que leurs données seront traitées de manière automatis��e et informées de leurs droits issus du Règlement général sur la protection des données. 

Aux droits habituellement accordés lors d’un traitement de données doit être ajouté le droit à l’intervention humaine, tout candidat a droit au réexamen de son dossier par un opérateur humain s’il en fait la demande afin d’obtenir une explication sur la décision prise par l’algorithme. Ce droit doit pouvoir être exercé auprès de l’organisme recruteur, en contactant son DPO par exemple, avant la fin du processus de recrutement afin que le candidat ne soit pas privé d’une opportunité. Cela implique un devoir d’information important par le recruteur sur les processus mis en place et les dates auxquelles les candidats pourront être considérés comme écartés de la phase de recrutement.

L’encadrement progressif de l’intelligence artificielle face aux dangers de son utilisation  
L’arrivée prochaine du Règlement européen sur l’intelligence artificielle (AI Act), l’un des prochains règlements européens qui viendront épauler le RGPD, vise à réguler son utilisation et à évaluer ses différents niveaux de risque. Celui-ci va permettre une délimitation plus précise des usages effectués dans le processus de recrutement. Dans cette proposition de règlement, qui pourrait être voté au cours de l’année 2023 par le Conseil de l’Union européenne, l’intelligence artificielle est divisée en quatre catégories : les systèmes interdits, les systèmes à haut risque, les systèmes à risque limité et les systèmes non dangereux. L’utilisation de l’IA dans le processus de recrutement est considérée par le Règlement comme un système à haut risque, cela signifie que des exigences de sécurité importantes devront être mises en place par les organismes qui souhaitent les utiliser.

 Le Règlement impose également pour ce niveau de risque des évaluations de conformité récurrentes et le maintien de registres d’utilisations des systèmes d’IA. La transparence et la responsabilité des entreprises qui utilisent l’IA dans le processus de recrutement sera mise au premier plan, l’obligation de fournir des informations claires et compréhensibles sur le fonctionnement de ces outils et sur les données personnelles traitées sera primordiale. Ce sont ici les principes mêmes du RGPD qui sont transposés dans le AI Act.

La Commission a souhaité aller encore plus loin en interdisant certains types d’intelligence artificielle au sein du processus de recrutement, à l’image de ceux qui utilisent des technologies de reconnaissance faciale des candidats. Cette technologie est en effet parfois sujette à des biais algorithmiques qui résultent à la discrimination de candidats en raison de leur apparence physique. 

 Le AI Act ne vise pas à interdire l’utilisation de l’intelligence artificielle mais à concilier son utilisation et le respect des droits et libertés des personnes. L’utilisation de cette technologie au cours du processus de recrutement doit être effectuée de manière responsable par les organismes de sorte à assurer la protection des données personnelles des personnes concernées.   
Lou GOMEZ-REY 


Informer les internautes sur le RGPD grâce au Legal design

Article offert par notre partenaire
Admeet
Legal Design et RGPD : appliquez le Legal Design à vos documents légaux pour les rendre clairs, accessibles et attrayants à tous les utilisateurs.

Sommaire
1. Qu’est-ce que le Legal Design ?
2. Comment appliquer le Legal Design à vos documents légaux RGPD et Eprivacy
2.1. Le problème juridique : comprendre les enjeux et respecter les principes fondamentaux du RGPD
2.1.1 Rappel : le RGPD ?
2.1.2 Votre enjeu spécifique par rapport au RGPD et votre site web : rédiger une politique de confidentialité qui sera lue par votre visiteur
2.1.3 Le problème du visiteur de votre site web : Comprendre votre politique de confidentialité afin de pouvoir décider s’il vous fait confiance
2.2. Comprendre vos utilisateurs et leurs besoins
2.3. Simplifier le langage technique et juridique
2.4. Structurer vos documents légaux avec le Legal Design
2.5. Rendre vos documents légaux plus attrayants grâce au Legal Design
3. Le Legal Design au service de vos documents RGPD avec Admeet

Connaissez-vous le Legal Design ? le Legal Design remet l’humain au centre de la réflexion juridique. 
Cette technique est aujourd’hui indispensable pour communiquer sur vos obligations légales envers vos clients, travailleurs ou encore visiteurs de votre site web, par exemple par rapport à votre conformité au Règlement Général sur la Protection des données (RGPD).

En effet, le Legal Design vous permet de rédiger des documents légaux où l’information sera plus aisément accessible, intelligible, formulée en des termes clairs et surtout adaptée à votre audience cible, comme l’exige le RGPD. 

De nos jours, les documents légaux que l’on voit en ligne sont souvent trop longs, complexes, voire impossibles à comprendre pour une personne sans connaissance juridique. Dans cet article, nous vous partageons les étapes fondamentales pour appliquer le Legal Design à vos documents légaux RGPD.  

1. Qu’est-ce que le Legal Design ?

Cette technique est une application au monde juridique de la méthode du Design thinking, une méthode de création innovante.

Elle consiste à mettre l’humain/ «��l’utilisateur » (votre client, visiteur, travailleur, etc.) au centre de votre approche de résolution de problème, en suivant les étapes suivantes :
1. Comprendre qui est votre utilisateur, en utilisant l’empathie : son contexte, ses circonstances, son profil...
2. Définir son problème (parfois, l’utilisateur ne le connaît pas lui-même), pour déterminer l’objectif de la solution à créer.
3. Générer plusieurs idées de solutions, des prototypes, en s'ouvrant à des solutions innovantes.
4. Tester ces idées auprès de l’utilisateur, (qu'est-ce qui fonctionne, qu'est-ce qui ne fonctionne pas)...
5. ...jusqu’à arriver à une solution qui soit la plus adaptée à sa problématique.

Cette approche innovante du droit appliquée à votre problématique de communiquer sur vos obligations légales permettra d’améliorer la clarté de vos documents pour votre public cible, tout en respectant la liste des informations qui doivent y être mentionnées.

En parallèle de cette méthodologie de création de solution, le Legal Design prône l’utilisation du langage clair et d’éléments visuels pour une mise en page beaucoup plus digeste et dynamique.

2. Comment appliquer le Legal Design à vos documents légaux RGPD et Eprivacy
2.1. Le problème juridique : Comprendre les enjeux et respecter les principes fondamentaux du RGPD

2.1.1 Rappel : Le RGPD ?

Avant de commencer à rédiger vos documents, il est absolument essentiel de comprendre les principes du RGPD et de cartographier l'ensemble des traitements de données de votre organisation. Cela implique de mettre en place un registre de traitement des données personnelles traitées par votre organisation par chaque type de personnes concernées (p. ex. prospects, clients, visiteurs de votre site internet etc….). Pour cela vous devez entre autres :

- Connaître toutes les données personnelles que vous collectez et que vous générez et pourquoi vous le faites (finalité) ;
- Identifier la base légale utilisée pour chaque finalité de traitement de données personnelles ;
- Identifier la durée ou les critères de durée de conservation des données personnelles pour chaque finalité de traitement ;
- Identifier l’ensemble des destinataires des données (p. ex. fournisseurs, sous-traitant etc) et vérifier que votre organisation a mis en place des conventions de traitement de données avec tous vos sous-traitants ;
- Identifier les transferts de données hors de l’Espace Economique Européen et les mesures prises ;
- Mettre en place des procédures et politiques internes afin de garantir le bon exercice des droits des personnes et la sécurité des données ; 

Si vous n’êtes pas familier avec le RGPD, n'hésitez pas à faire appel à un DPO ou à un avocat. Une bonne compréhension des principes du RGPD assurera les bases d'une politique solide et adaptée à votre activité. Si vous êtes une agence web en charge de la rédaction des documents légaux pour les sites web de vos clients, il est obligatoire de personnaliser les documents en fonction des spécificités des activités de traitement de données de vos clients uniques à leur organisation et de ne pas utiliser de templates.

2.1.2 Votre enjeu spécifique par rapport au RGPD et votre site web : rédiger une politique de confidentialité qui sera lue par votre visiteur

Le RGPD impose que vous informiez les visiteurs de votre site web sur la manière dont vous allez collecter et utiliser leurs données personnelles collectées (entre autres) via votre site web. 

Pour cela, vous devrez mettre en place une politique de confidentialité, véritable notice d’information à destination de toute personne dont vous utilisez les données personnelles. 

L’objectif sera donc de faire en sorte que le lecteur du document trouve l’information dont il a besoin facilement, puisse la comprendre à son niveau d’expertise et sache comment l’appliquer. Les politiques de confidentialité que vous pouvez trouver en ligne sont souvent de véritables murs de mots, incompréhensibles et visuellement oppressantes, ne répondant certainement pas à l’objectif d’informer le visiteur de votre site web.

2.1.3 Le problème du visiteur de votre site web : Comprendre votre politique de confidentialité afin de pouvoir décider s’il vous fait confiance

Pourquoi est-ce important pour lui de comprendre ce que vous faites de ses données ? Cela lui permet de pouvoir anticiper s’il est aligné avec votre utilisation annoncée de ses données personnelles et de pouvoir choisir en toute transparence de vous les confier ou non. 

C’est un problème dont le visiteur n’est peut-être pas conscient de base. Le fait de pouvoir facilement accéder à l’information quand il en ressent le besoin contribue également à créer de la confiance sur le long terme. 

2.2. Comprendre vos utilisateurs et leurs besoins 

Pour appliquer le Legal Design, il est donc important de comprendre votre public cible et ses besoins : identifiez vos persona, leurs caractéristiques démographiques, leurs potentielles connaissances juridiques, mais aussi leurs préférences en termes de communication. Une approche empathique envers vos utilisateurs permettra de rédiger des politiques de confidentialité adaptées à leurs attentes et rédigées dans un langage clair ce qui facilitera leur compréhension.

Par exemple, si vous avez un site e-commerce et vendez des articles pour bébés, vos clients seront essentiellement de jeunes parents, avec divers niveaux de familiarité sur les aspects juridiques.
N’hésitez pas à tester le document auprès de représentants de votre public cible (ou auprès de personnes qui partagent les mêmes caractéristiques que ce public). Si un même document vise plusieurs publics, pensez à vous aligner sur celui qui a le moins de connaissance sur la protection des données.

2.3. Simplifier le langage technique et juridique

Un des outils du Legal Design est l’utilisation d’un langage clair, simple, accessible et compréhensible. Imaginez que vous expliquez la manière dont vous traitez les données personnelles à un ami : évitez tous les termes techniques et juridiques inutiles et fournissez des exemples concrets pour illustrer les éléments clés de votre propos. Cela rendra vos documents légaux RGPD plus agréables à lire et moins sujets à interprétation. 

Par exemple, indiquez plutôt "Nous collectons et utilisons vos données personnelles pour enregistrer et traiter votre commande" au lieu de "Le traitement de vos données à caractère personnel est nécessaire à l'exécution du contrat auquel vous êtes partie”. Pour faire le tri dans les informations à indiquer dans le document, posez-vous des questions : qu’est-ce que votre public a besoin de savoir pour effectuer ce que vous attendez de lui ?

Dans le cas de votre politique de confidentialité, le contenu qui doit être repris dans le document est listé par le RGPD. 

2.4. Structurer vos documents légaux avec le Legal Design

L'organisation de vos documents légaux est primordiale. Utilisez le Legal Design pour structurer clairement vos différentes sections en ajoutant des titres et des sous-titres. Par exemple, vous pouvez diviser votre politique de confidentialité par thématique :

- Qui sommes-nous et comment nous contacter ?
- Quelles données collectons nous et pourquoi ?
- Pourquoi avons nous besoin de vos données ?
- Que faisons nous de vos données ?
- Quels sont vos droits ?

Aussi, privilégiez les listes avec des bullet points plutôt que des phrases ou des paragraphes à rallonge. Enfin, optez pour une taille de police agréable à lire et évitez les notes de bas de page qui complexifient la compréhension des documents légaux.

2.5. Rendre vos documents légaux plus attrayants grâce au Legal Design

Optez pour une présentation par niveau afin de faciliter l’accès à l’information. La présentation par niveaux de vos documents légaux en ligne est une bonne pratique car elle facilite grandement la lisibilité des politiques de confidentialité et des politiques de cookies obligatoires de vos sites web.
Il est très important que le lecteur trouve facilement l’information recherchée en 1 ou 2 clics maximum sans avoir à dérouler un long document sur son écran. 

Le Legal Design encourage aussi l'utilisation d'illustrations pertinentes pour rendre vos documents légaux plus visuels et attrayants. Les illustrations et les schémas permettent de faciliter la compréhension des informations juridiques complexes. Les icônes ou les emojis sont aussi très efficaces pour identifier rapidement les points importants.

IMAGE

Par exemple, utilisez une icône comme la “Balance de la Justice” pour symboliser la section relative aux droits des personnes :
“ ⚖️ Quels sont vos droits ? ”

Chez Admeet, nous appliquons ces principes de Legal Design aux politiques de confidentialité et de cookies générées grâce à notre application
N’hésitez pas à consulter la politique de confidentialité Admeet et la politique de cookies Admeet pour avoir un exemple de présentation par niveaux et d’illustration par icônes sur le principe du Legal Design. 

3. Le Legal Design au service de vos documents RGPD avec Admeet

Vous l’avez compris, le Legal Design offre aujourd’hui une approche innovante et incontournable. Cette approche vous permet de rendre vos documents légaux RGPD attractifs et compréhensibles pour vos utilisateurs, mais aussi pour vous démarquer de la concurrence.

Chez Admeet, nous pensons que transparence et simplicité sont les clés pour construire une relation de confiance durable avec vos utilisateurs.

Vous n'avez pas besoin de formation Legal Design pour simplifier votre conformité RGPD et montrez à vos utilisateurs que la protection de leurs données et de leur vie privée est une priorité pour vous. Grâce à l'application des principes du Legal Design, l’outil Admeet vous permet de générer des politiques de confidentialité et de cookies sur mesure, intelligibles, accessibles et conformes aux exigences du RGPD. 

Découvrez tous nos outils RGPD

Le rôle des KPI dans votre mise en conformité RGPD

Article offert par notre partenaire
DPOption
Pour les DPO de formation juridique, il peut être difficile pour eux de mettre en lumière leurs activités et projets tant il n’est pas dans l’ADN d’un juriste d’agir comme un chef de projet. Pourtant, dans d’autres métiers, il est naturel de définir des outils de mesures pour évaluer l’efficacité ou la performance de leurs activités et ainsi vérifier le degré d’atteinte des objectifs. Ce que l’on appelle plus communément des KPI (« Key Project Indicator »).

Cependant, bien que la définition soit commune, l’utilisation qui est faite des KPI peut varier en fonction des métiers. En effet, on peut l’utiliser pour du reporting au top management, pour du prospectif (notamment pour anticiper les montées en charge) mais aussi pour assurer un suivi des objectifs. Il est courant de rencontrer des DPO qui témoignent de leur difficulté à générer de l’engagement auprès du top management, à obtenir des ressources humaines supplémentaires ou justifier une hausse de son budget. Dès lors, il semble primordial pour les DPO d’avoir des KPI clairs afin d’exposer synthétiquement leurs actions.

1. Les KPI à des fins de reporting

Pour effectuer un reporting au top Management afin de démontrer les tâches effectuées, il peut être intéressant de mettre en place un KPI de suivi de projets où il serait montré le nombre de projets managés ou de sollicitations du DPO et de son équipe. Ce KPI mettrait en avant le nombre de projets validés, le nombre de projets où un questionnaire privacy by design est en cours de complétion ou encore le nombre de projets où il n’y a pas de traitement de données personnelles. L’objectif ici est triple : 
• Démonstration de la charge au top management ;
• Visibilité sur la complexité des sujets et le temps nécessaire pour les traiter ;
• Montrer une évolution de l’activité dans le temps.

Toujours à des fins de reporting, on pourrait également imaginer un KPI recensant les demandes d’exercice de droit.

2. Les KPI prospectifs

Les KPI prospectifs sont l’occasion pour le DPO de démontrer l’état d’avancement de sa conformité. Ces KPI sont très pertinents pour la construction du registre des traitements en mettant en avant, par exemple, l’écart entre le nombre de fiches de traitement à réaliser et le nombre réel de traitements fichés. Un KPI sur les fiches de traitement à mettre à jour est utile pour démontrer la charge relative à cette mission et le besoin de renfort permanent ou temporaire.

3. Les KPI de suivi des objectifs

Les KPI de suivi des objectifs sont des indicateurs qui doivent être déterminés en début d’année. Ils permettent de démontrer l’efficacité des mesures mises en place et permettent également de donner de la visibilité aux équipes sur le suivi des objectifs. Idéalement, ces KPI sont mis à jour mensuellement et devront être mis dans le rapport annuel du DPO à son responsable de traitement.

À cette fin, un KPI de contract management est particulièrement recommandée. L’idée ici serait de fixer un objectif de contrats à revoir, à analyser et indiquer ensuite le nombre de contrat revu et où des clauses spécifiques sur les traitements de données ont été signées.

Malgré l’intérêt réel et démontré de ces indicateurs, il peut être difficile de les mettre en place. D’une part, cela implique de prendre en compte le temps nécessaire à vos équipes pour les réaliser et, d’autre, part, ils nécessitent le paramétrage et l’implémentation d’outils spécifiques, de supports spéciaux pour rendre lisible les indicateurs. Enfin, il convient aussi de prendre le temps de former les équipes à ce changement de pratique.

Benjamin GRASAvocat Associé Inside
Alexis GourguechonJuriste / Responsable du Pôle Privacy


Le Sous-traitant (acteur) de la limitation des risques sur la vie privée : le prisme de l’AIVP.  

Article offert par notre partenaire
Inside
La protection des données personnelles en Europe s’articule autour de plusieurs exercices et documents de Gouvernance. Ces documents permettent de refléter l’état de la sécurité des données, des risques générés par les traitements sur la vie privée des personnes ou encore des mesures prises par l’entreprise afin de protéger les données personnelles détenues. 

L’AIVP fait partie de ces exercices en ce qu’il regroupe l’analyse à la fois juridique et technique d’un traitement de données, ainsi que des risques sur la vie privée qu’il engendre. Cette analyse, pour être juste et refléter au mieux la réalité, doit mobiliser de nombreux acteurs du traitement, leurs connaissances, leurs méthodes et leurs différentes visions d’un même sujet.

L’ANALYSE D’IMPACT SUR LA VIE PRIVEE : OBJECTIFS ET ENJEUX

L’analyse d'impact sur la vie privée (AIVP) est un processus régi par l’article 35 du RGPD. Cet exercice vise à évaluer les risques pour la vie privée des individus lorsque des données à caractère personnel sont collectées, stockées ou partagées. L’analyse d’impact permet la mise en perspective d’un traitement de données personnelles à la lumière des impératifs opérationnels et techniques de la protection des données personnelles. L'analyse du traitement se fera dans un contexte règlementaire général ou plus spécifique au traitement en cause (tel est le cas des traitements relatifs à la surveillance des espaces publiques par exemple). 

La finalité première d'une AIVP est d'identifier et de minimiser les risques pour la vie privée en évaluant les impacts potentiels de certains traitements de donnée personnelle. En effet, c’est le niveau de risque sur la vie privée qui sera déterminant dans le déclenchement d’une AIVP. Il est donc nécessaire de s’intéresser à tous les aspects du traitement de données personnelles. 

La réalisation de l’analyse d’impact vise par ce biais à prendre en considération l’ensemble des aspects (techniques, juridiques, contextuels) du traitement pour qu’en résulte, au travers de différentes étapes, le niveau de risque concret engendré par celui-ci.

L’identification du traitement, le respect de la nécessité et de la proportionnalité, la mise en balance du traitement par rapport aux risques évalués vont permettre de constater un résultat d’analyse du traitement. Les risques peuvent à ce titre être de différentes natures, couplant aussi bien des risques juridiques ou techniques, allant de la rupture de confidentialité à de potentiels risques sur la santé. L’exercice doit permettre une visualisation exhaustive de ces risques pour ensuite pouvoir les atténuer au maximum.

Les conclusions de cette première étape d’analyse vont ensuite permettre de développer des mesures de remédiation autour du traitement de données personnelles et de son exécution. Cela peut inclure des solutions techniques, organisationnelles ou juridiques, telles que le chiffrement des données, la pseudonymisation, la limitation de l'accès aux données, l’ajout d’un cadenas, la création d’un registre de consultation des données ou toute autre mesure qui s’avère pertinente pour limiter à la fois le risque en lui-même mais aussi sa survenance.

Tout au long de l’étude du traitement, il est nécessaire d’impliquer les parties prenantes en proportion de leur implication dans le traitement. Qu’il s’agisse des personnes internes à l’organisation ou bien externes tels que les partenaires et les Sous-traitants. En effet, il est possible que le Sous-traitant ait un rôle prépondérant dans le facteur de risque du traitement, c’est notamment le cas pour tous les Sous-traitants proposant des services liés à un produit technologique, à une solution « nouvelle » ou proposant des logiciels poussés sur lesquels repose tout un secteur d’activité.

L'objectif ultime de l'analyse d'impact sur la vie privée est de garantir que les organisations prennent des mesures pour protéger les droits et la vie privée des individus, tout en continuant à poursuivre leurs activités. L’analyse d’impact est un réel outil de démonstration de la conformité, de son amélioration à travers les mesures de remédiations, et de son évolution dans l’entreprise. Elle ne constitue pas un frein à l’activité principale du Responsable de traitement mais pousse plutôt ce dernier à la réaliser dans un cadre structuré (juridiquement et techniquement). Cela aide également à établir la confiance entre les organisations et les personnes concernées. L’implication du Sous-traitant à ce sujet est l’un des piliers de l’AIVP. Son absence d’implication créé une faille dans l’analyse des risques, et soulève la question du respect de l’article 28 RGPD en ce sens que le Responsable de traitement doit s’assurer et être en mesure de démontrer que le traitement est réalisé dans le respect du RGPD. 

LES ATTENTES DU RESPONSABLE DE TRAITEMENT VIS-A-VIS DU ST DANS LA REALISATION DE L’AIVP

Le Sous-traitant joue un rôle important dans le processus d'analyse d'impact sur la vie privée lorsqu'il est impliqué dans le traitement de données personnelles pour le compte du Responsable de traitement. Les obligations et droits du Sous-traitant par rapport à l’AIVP sont généralement définis dans l’article 28 du RGPD ainsi que dans le contrat ou l'accord entre le Responsable de traitement et le Sous-traitant.

Le Responsable de traitement attend du Sous-traitant un certain engagement dans la limitation des risques concernant la vie privée des personnes concernées, et c’est à ce titre que plusieurs obligations incombent au Sous-traitant dans le cadre de la réalisation d’une AIVP. La coopération du Sous-traitant repose aussi bien sur une obligation globale et réglementaire mais aussi sur des outils, spécifiquement établis dans le cadre de la relation du Responsable de traitement avec son Sous-traitant.

Ainsi, dans la mise en œuvre du devoir d’assistance, qui est la première de ces obligations, le Sous-traitant doit nécessairement partager et transmettre certaines informations applicables aux traitements réalisés pour le compte du Responsable de traitement. Ces échanges doivent permettre à toutes les parties prenantes de tenir leurs engagements en matière de protection des données personnelles et de s’assurer que l’analyse d’impact est réalisée de façon exhaustive.

Le Sous-traitant doit également, dans le cadre des relations contractuelles qui le lient au Responsable de traitement mais également au regard des dispositions du RGPD, mettre en œuvre les mesures d’atténuation qui découleront de l’analyse d’impact. Ces mesures d’atténuation s‘inscrivent directement dans ce que le règlement entend comme les « instructions documentées ». Le Sous-traitant peut donc être tenu de mettre en œuvre des mesures d'atténuation pour réduire les risques pour la vie privée identifiés dans l'AIVP. Cela peut inclure des mesures techniques et organisationnelles visant à protéger les données traitées dans le cadre de la sous-traitance.

La mise en œuvre de telle mesures sera encadrée dans le temps puisque, le Responsable de traitement doit laisser au prestataire en cause la possibilité de prendre de telles mesures. Il pourrait y avoir des conséquences sur la façon de travailler des opérationnels, par exemple si un mot de passe ou une demande d’accès doit être ajouté dans leur process. Il pourrait également y avoir des conséquences techniques sur le système d’information du Sous-traitant lorsque par exemple la recommandation porte sur le cryptage de données personnelles ou la structure d’une base de données. Enfin il est également possible que la recommandation porte sur la conformité générale du Sous-traitant et sa gouvernance et dans une telle situation les coûts engendrés pour répondre aux exigences du Responsable de traitement.

En somme, le Sous-traitant est un partenaire essentiel dans le processus d'AIVP, car il peut avoir un impact direct sur la protection de la vie privée des individus. La collaboration entre le Responsable de traitement et le Sous-traitant est cruciale pour garantir une conformité efficace aux réglementations de protection des données et pour minimiser les risques pour la vie privée.

LES MOYENS DE PARVENIR A UNE COLLABORATION FRUCTUEUSE

Pour garantir que le Sous-traitant soit impliqué de manière appropriée dans l'analyse d'impact sur la vie privée (AIVP), le Responsable de traitement dispose de plusieurs moyens. Ces derniers ont pour finalité d’établir une collaboration efficace et veiller à ce que le processus d'AIVP soit mené correctement.  

Le premier outil juridique plaçant directement le Sous-traitant comme un pilier dans la limitation des risques pour la vie privée des personnes concernées est le contrat (et plus spécifiquement les clauses contractuelles relatives à la protection des données). Le contrat est un dispositif d’anticipation permettant aux différentes parties de s’entendre sur les rôles et responsabilités de chacun dans la relation commerciale. 

Il semble alors pertinent d’inclure dans l’accord conclu avec l’autre partie des clauses spécifiques relatives à l'obligation de coopérer dans le cadre de l'AIVP (et ce, avant même qu’une AIVP soit envisagée).

Ces clauses vont permettre de définir l’obligation du Sous-traitant dans la collaboration. Cet élément est primordial puisque sans cette implication l’analyse des risques se retrouvera biaisée. Les clauses contractuelles vont également définir les modalités de collaboration en définissant avec quel niveau de profondeur et de détail le Sous-traitant devra s’impliquer dans l’analyse d’impact. Cette implication sera fonction de son rôle sur les données traitées et de la complexité de son action. De plus, les modalités de collaboration encadreront également les délais pour fournir les informations requises.

La première étape sera de prendre contact avec le point de contact (bien souvent le DPO) du Sous-traitant. Cette première prise de contact peut amener à l'échange de documents relatifs au traitement de données personnelles. Ces documents porteront notamment sur la gouvernance de l’entreprise et la conformité de la prestation. Ensuite, le Sous-traitant pourra fournir l'appui nécessaire pour l'organisation d'échanges, d’ateliers de travail et de moments de collaboration entre les métiers acteurs de la prestation et la personne en charge de la réalisation de l'AIVP. Ces échanges et ces informations vont permettre au DPO d'avoir une vision exhaustive des composantes internes et externes du traitement. Ce dernier fondera donc son analyse sur les informations obtenues au travers des audits et échanges de documents ainsi que sur son expertise. 

Le Sous-traitant aura un réel rôle dans l’analyse d’impact au travers d’autres mécanismes qui facilitent la mise en œuvre du contrat. En effet, la sensibilisation et les échanges avec le Sous-traitant, s’ils sont basés sur une communication ouverte et de qualité permettent d’entretenir un lien commercial sain : le contexte idéal pour la réalisation d’une AIVP collaborative et pertinente.

Les rapports entre l’ensemble des parties prenantes au traitement permet, lorsqu’ils s’exercent dans de bonnes conditions, d’entretenir les liens et la confiance quant à la prestation sous-traitée. Le prestataire portera peut-être une plus grande attention au respect des clauses contractuelles établies avec le Responsable de traitement dans un contexte favorable aux échanges. 

Ces éléments qui s’attachent plus à la relation commerciale qu’au texte du RGPD lui-même peuvent également être mis en avant par une personne de l’organisme. Le point de contact sera la porte d’entrée du Responsable de traitement chez son Sous-traitant. Ce point de contact va impulser toute l’énergie dans les échanges et la réalisation de la prestation bien que ce soient les équipes opérationnelles qui réaliseront le traitement. 

Enfin, à une échelle plus large, l’engagement de l’entreprise envers la protection des données personnelles (et non plus seulement l’engagement contractuel sur la protection des données pour la prestation en cause) donnera également une impulsion dans la limitation des risques sur la vie privée. Le prisme de l’AIVP met rapidement en lumière la sincérité de cet engagement et son effectivité (ou au contraire sa superficialité). 

En somme, il s'agit de créer une culture de respect de la vie privée et de collaboration avec les Sous-traitants pour garantir une protection des données solide et durable permettant la réalisation d’exercices tels que l’analyse d’impact. Le Sous-traitant va incarner et prendre une grande part dans la limitation des risques sur la vie privée mais il est à noter que la confiance et l'engagement mutuel sont essentiels pour réussir dans ce domaine.     

Protection des données : les visions anglo-saxonne et européenne vont-elles enfin converger ? 

Article offert par notre partenaire
Depeeo
Les approches anglo-saxonne et européenne de la protection des données personnelles comportent un certain nombre de différences fondamentales. Malgré tout, un mouvement vers une harmonisation des points de vue semble s’amorcer depuis quelques années. 

En matière de données à caractère personnel, les conceptions européenne et anglo-saxonne (au premier rang desquelles se trouve la conception américaine) divergent sur de nombreux points. Ainsi, l’une des plus grandes différences entre les approche européenne et américaine concerne le caractère commercial ou non des données personnelles. 

« Aux États-Unis, certaines données – par exemple des données collectées par les hôpitaux ou par les banques – bénéficient d’une protection élevée. Mais en dehors de ces zones protégées, les entreprises sont libres d’exploiter des données pour autant que les entreprises ne commettent pas de ‘pratique déloyale’. En Europe, les données à caractère personnel sont rattachées à un droit fondamental. Toute exploitation de données constitue une violation potentielle d’un droit fondamental, et devra être justifiée par un intérêt légitime, un consentement, l’exécution d’un contrat, etc. », explique Winston J. Maxwell, actuellement Directeur d’Études Droit et Numérique à Télécom Paris, dans une note publiée alors qu’il était Partner au sein du cabinet d’avocats Hogan Lovells.

Aux États-Unis, une superposition de « common low » (au niveau de chaque État) et de lois fédérales 

Aux USA, la « common law » de chaque État reconnaît un droit à la protection de la vie privée à l’égard d’acteurs privés. Outre ces règles spécifiques à chaque État, les États-Unis disposent de lois fédérales visant la protection des données à caractère personnel dans certains secteurs. « La première grande loi sur la protection des données à caractère personnel concernait les traitements de données effectués par le gouvernement fédéral. Le Privacy Act de 1974 établit des règles sur le traitement des données à caractère personnel collectées par les différentes branches du gouvernement », rappelle Winston J. Maxwell. 

Après le Privacy Act de 1974, le législateur fédéral a développé une série de lois visant la protection des données à caractère personnel dans le secteur privé : HIPAA (Health Insurance Portability and Accountability Act) pour la protection des données de santé, GLBA (Gramm-Leach-Bliley Act) pour les données financières, COPPA (Children’s Online Privacy Protection Act) pour la protection des données concernant les enfants, FCRA (Fair Credit Reporting Act) visant à réguler les profils de solvabilité des individus, ECPA (Electronic Communications Privacy Act) pour les données de télécommunications, « Can-SPAM » Act pour l’interdiction des messages publicitaires... 

« Certaines de ces lois sont aussi protectrices que les lois européennes, même si leur champ d’application est plus restreint. En plus de ces lois fédérales, chacun des États américains a adopté des lois visant la protection de certains aspects de la vie privée de leurs citoyens. L’État de Californie a notamment adopté une loi protégeant les données à caractère personnel dans le cadre de sites Internet, ainsi qu’une loi accordant un droit à l’effacement à des utilisateurs mineurs de réseaux sociaux », note Winston J. Maxwell. 

Une approche européenne globale 

L’ensemble des lois américaines constitue un patchwork assez hétérogène qui contraste fortement par rapport à l’approche globale européenne. « Le Conseil de l’Europe, fondé en 1949, a élaboré une approche globale de la vie privée qui se veut complète. Celle-ci fut adoptée suite à la Seconde Guerre mondiale, où d’innombrables horreurs ébranlèrent le monde entier », commente Stephan Grynwajc, fondateur du cabinet S. Grynwajc, dans une analyse publiée sur le site transatlantic-lawyer.com. 

« Plus récemment, l’adoption du RGPD, qui a comme finalité d’assurer aux résidents européens une protection des données personnelles globale et universelle, renforce cette approche. Le RGPD transcende les secteurs d’activité et les domaines d’utilisation des données personnelles et couvre tout traitement de données personnelles, par quelque moyen que ce soit. (...) Cette approche globale est censée accorder une protection complète et solide aux libertés et droits fondamentaux des citoyens et résidents de l’UE », poursuit Stephan Grynwajc.

Cette approche globale mise en œuvre par les Européens a d’ailleurs poussé le Département du commerce américain à conclure successivement le Safe Harbor en 2000 et le Privacy Shield en 2016 avec la Commission européenne pour encadrer le transfert des données personnelles de l’Union européenne vers les États-Unis. 

Vers une harmonisation des pratiques ? 

Même si le Safe Harbour a été invalidé par l’arrêt « Schrems » de la Cour de justice de l’Union européenne en 2015 et que le Privacy Shield a lui aussi été invalidé par cette même Cour européenne en 2020, Ursula von der Leyen, la présidente de la Commission européenne, et Joe Biden, le Président américain, ont annoncé en mars 2022 un accord politique visant à créer nouveau cadre sur les transferts internationaux de données. 

« Nous avons réussi à trouver un équilibre entre la sécurité et le droit à la vie privée et à la protection des données. Nous avons trouvé un accord de principe sur un nouveau cadre pour les flux de données transatlantiques. Cela permettra des flux de données prévisibles et dignes de confiance entre l’UE et les États-Unis, tout en préservant la vie privée et les libertés civiles », a déclaré la présidente de la Commission à cette occasion. 

Dans la foulée de cet accord, la Commission européenne a lancé fin 2022 un processus d’adoption de la décision d’adéquation concernant le cadre de protection des données entre l’Europe et les États-Unis. Une décision d’adéquation est un processus prévu par l’article 45 du RGPD. Elle autorise le transfert de données à caractère personnel depuis l’UE vers un pays tiers, à niveau de protection identique. 

Afin d’éviter les échecs précédents (invalidation du Safe Harbour et du Privacy Shield), la Commission européenne met en avant que le nouveau cadre sur le transfert des données personnelles comportera un certain nombre d’évolutions : une limitation de l’accès – par les services de renseignement américains – aux données européennes au strict nécessaire pour assurer la sécurité nationale et un droit à réparation pour les citoyens européens par rapport à la collecte et l’utilisation de leurs données par les services de renseignement américains. Gageons que ces nouvelles dispositions permettront enfin de créer un contexte harmonieux, et surtout efficace, pour la protection des données personnelles entre les deux continents. 

Des outils existent-ils aujourd’hui pour accompagner cette inéluctable convergence juridique des 2 mondes ? 

Le point ultime de convergence des mondes anglo-saxon et européen, c’est la base de données ! 

Plusieurs dizaines de solutions logicielles existent sur le marché coté anglo-saxon et européen. Pour chacune d’elles, la convergence des règles sera le prochain challenge à surmonter. Pour les sociétés souhaitant être en conformité avec les différents règlements sur la protection des données, il faudra utiliser des solutions qui permettre cette finesse de réglage tout en allant au cœur de la donnée. 

Notre vision est la suivante : le point de convergence c’est la data au plus profond des bases de données. C’est pourquoi Deepeo, notre solution logicielle d’automatisation du traitement des données personnelles, est on-premise et s’organise sur 2 niveaux : le premier via une console centralisée de reporting, le second par le biais d’agents actifs dans les grandes bases de données de nos clients (Oracle, PostgreSQL, MongoDB et d’autres à venir).

Ces agents affranchis des applications, disséminés en mode on-premise dans le SI de nos clients permettent d’automatiser et d’apporter une multitude de fonctionnalités indispensables pour une conformité au RGPD efficace : Effacement, Pseudonymisation, Anonymisation,… 

Vos bases de données sont l’endroit où doit commencer à s’appliquer cette convergence, et Deepeo est la solution conçue pour le faire.    

Réseaux sociaux et interfaces trompeuses :
 Les recommandations du CEPD


Article offert par notre partenaires
La Robe Numérique
Réseaux sociaux et interfaces trompeuses : Les recommandations du CEPD

Conformité des demandes d'exercice de droits : les DPO en première ligne pour 2023

Article offert par notre partenaire
HAAS AVOCATS
Cinq ans après l’entrée en vigueur du RGPD, force est de constater une réelle sensibilisation des personnes concernées et des organismes aux enjeux de la protection des données à caractère personnel en général, et des droits informatique et libertés en particulier. En atteste l’accroissement du nombre de plaintes formulées auprès de la CNIL, estimées en 2022 à plus de 12 0001. Ces plaintes et signalements sont à l’origine d’un tiers des contrôles effectués par la CNIL, laquelle accorde une attention particulière aux enjeux de la prospection commerciale qualifiée d’« irritant du quotidien » pour les personnes concernées lors de la publication des thématiques prioritaires de contrôle pour 2022 2.

 Des sanctions lourdes et récurrentes
Les récentes délibérations de la CNIL  font état de sanctions répétées à l’encontre des organismes enfreignant les dispositions applicables aux demandes d’exercice de droits . Le défaut de réponse conforme aux demandes d’exercice de droit faisant encourir des sanctions sur la base du palier d’amende de plus élevé (soit 4% du chiffre d’affaires ou 20 millions d’euros), cette tendance ne doit pas être négligée par les Délégués à la protection des données . Au risque d’amende administrative, peuvent également s’ajouter de potentielles sanctions pénales  et recours civils tirés de l’absence de réponse à la demande ou bien de l’irrespect du formalisme règlementaire imposé. A ce titre, l’article 226-18-1 du code pénal prévoit une sanction de 5 ans d’emprisonnement et de 300 000 euros d’amende pour toute personne ayant procédé à un traitement de données à caractère personnel malgré l’opposition formée par la personne physique dont les données sont collectées. Face à ce constat, les organismes publics comme privés sont incités à faire preuve d’une vigilance accrue et à renforcer leurs processus internes pour apporter une réponse conforme dans les délais réglementaires. 

De l’importance de formaliser un processus de traitement des demandes d’exercice de droit 
En application de l’article 12 du RGPD, le responsable de traitement saisi d’une demande d’exercice de droit doit fournir à la personne concernée les informations sur les mesures prises dans les meilleurs délais et en tout état de cause dans un délai d’un mois à compter de la réception de la demande. S’il est possible de prolonger ce délai de deux mois, c’est uniquement sous réserve de justifier de la complexité et d’un nombre important de demandes. Eu égard au nombre croissant et à la complexification des demandes, il est devenu indispensable de disposer d’un processus interne efficace pour permettre les investigations techniques nécessaires par les équipes opérationnelles afin de traiter ces demandes dans le respect des délais. 



La multiplication des demandes d’exercice de droit en interne 
Autre tendance notable, les demandes d’exercice de droits ne proviennent plus uniquement des clients mais deviennent un levier juridique dont les employés se saisissent pour faire valoir leurs droits. Il a été établi que 28 % des plaintes déposées auprès de la CNIL  en 2021 pour non-respect du droit concernent le secteur des ressources humaines. A ce titre, il convient non seulement de veiller au respect des droits des salariés, incluant la possibilité d’introduire une demande auprès du DPO, mais également d’anticiper ce type de demande dans le contexte de litiges entre employés et employeurs, aussi bien en précontentieux qu’en contentieux. A ce titre, il convient de rappeler que le droit d’accès porte exclusivement sur les données personnelles collectées, à l’exception des documents en eux même, de telle sorte qu’il appartient à l’organisme sollicité de mettre en balance, d’une part, les droits des personnes concernées, et d’autre part, le respect de la vie privée des tiers, le secret des affaires ou encore le secret professionnel. Il convient d’observer, que la jurisprudence a récemment évolué en la matière attestant de l’équilibre précaire entre les droits des employés et le droit à la défense des employeurs. En ce sens, la chambre sociale de la Cour de cassation a récemment admis que l’illicéité d’un moyen de preuve n’entraine pas nécessairement son rejet des débats. Les juges ont précisé qu’une balance des intérêts doit être réalisée entre le droit au respect de la vie privée du salarié et le droit à la preuve de l’entreprise. Dans le même sens, les délais de conservation des données par un organisme ont été pris en considération par les juridictions pour caractériser l’impossibilité matérielle de communiquer certains courriels du fait de leur suppression quelques mois après le départ d’un salarié. La gestion et le traitement des demandes d’exercice de droit n’en demeurent pas moins un processus chronophage qui nécessite la mobilisation de moyens humains importants, aussi bien juridiques que techniques.

Dans le cadre d’une stratégie de conformité globale, il appartient aux organismes de mettre à disposition du DPO les moyens nécessaires  pour combiner les obligations de conformité et les impératifs de protection du savoir-faire et de confidentialité. En 2023, il sera d’autant plus nécessaire de veiller à la conformité les processus internes de traitement des demandes d’exercice de droits que le CEPD12 a enjoint les autorités nationales à mettre l’accent sur les fonctions des DPO.

Auteurs :
  • Gérard Haas, Associé fondateur du cabinet Haas Avocats 
  • Anne-Charlotte Andrieux, Collaboratrice du cabinet Haas Avocats 

Comment permettre une utilisation responsable de la DATA grâce à la plateforme Trust Intelligence ? 

Article offert par notre partenaire
OneTrust
Alors que les entreprises s’attaquent aux défis de la prolifération des données, les améliorations de OneTrust leur fournissent la découverte, l’automatisation et l’intelligence nécessaires pour gérer les données de manière responsable tout au long de leur cycle de vie, pour permettre une agilité réglementaire et pour mettre en œuvre la protection de la vie privée dès la conception.
  La plupart des organisations reconnaissent déjà la valeur intrinsèque d’une entreprise digne de confiance, mais la recherche montre que la valeur de la confiance est mesurable. Selon IDC, “l’investissement prioritaire dans les programmes de confiance est associé de manière significative à l’amélioration de la résilience de l’entreprise, de l’efficacité opérationnelle et de la durabilité dans le monde entier “1. 


Classification des documents pilotée par l’IA pour une meilleure gouvernance 

Une gouvernance efficace des données exige une visibilité totale de toutes les données de l’organisation et de l’endroit où elles se trouvent. Désormais, OneTrust Data Discovery utilise l’apprentissage automatique pour identifier les documents contenant des données sensibles, telles que les CV, qui ne peuvent pas être détectées par le filtrage traditionnel. De puissantes capacités de classification permettent d’identifier les données en fonction de leur contenu et de leur structure, par exemple les données sensibles contenues dans un CV, et d’appliquer automatiquement une politique de conservation ou de suppression. Ce contexte, cette intelligence et cette automatisation réduisent le travail manuel des équipes chargées de la protection de la vie privée et de la sécurité pour protéger et utiliser les données de manière responsable dans l’ensemble de l’entreprise.


Rationalisation des projets Privacy by Design

 OneTrust a ajouté un nouvel inventaire de projets et un modèle de conception respectueuse de la vie privée à la bibliothèque de modèles d’évaluation. Ce modèle permet aux utilisateurs d’évaluer l’impact sur la vie privée des produits internes et externes et d’intégrer la protection de la vie privée dans le cycle de vie du produit ou du projet. En combinaison avec la cartographie des données, ce modèle peut être utilisé pour associer des risques à des projets dans l’inventaire des données et créer des relations entre d’autres objets de l’inventaire, y compris les actifs, les fournisseurs, les activités de traitement et les risques. Avec la surveillance accrue du développement de l’IA, cette nouvelle fonctionnalité peut également aider à évaluer les risques pour la vie privée liés aux produits et aux projets d’IA afin de favoriser une IA responsable.


Amélioration des transferts de données transfrontaliers

OneTrust aide les entreprises à suivre, gérer et évaluer les transferts de données de manière plus précise et plus efficace, alors qu’elles sont confrontées à des exigences de conformité en constante évolution pour les transferts de données transfrontaliers. Les utilisateurs peuvent avoir une visibilité sur l’ensemble du cycle de vie des transferts grâce à une carte transfrontalière améliorée permettant de visualiser les transferts, à une nouvelle visualisation graphique des données et à la possibilité d’évaluer directement les enregistrements de transfert en fonction des risques. Les organisations peuvent ainsi s’assurer que les mesures appropriées ont été prises, telles que l’envoi d’un avis approprié aux consommateurs, la réalisation d’évaluations de l’impact des transferts et la mise en œuvre de mesures de protection. 


Gestion optimisée du consentement tout au long du cycle de vie des données

 Le module OneTrust Consent & Preferences a été amélioré pour offrir une expérience utilisateur optimale, capturer efficacement le consentement et gérer efficacement les données à l’échelle. Les équipes peuvent désormais importer des données historiques et capturer de nouveaux enregistrements de consentement à l’aide de formulaires ou d’API, ainsi qu’intégrer l’activation basée sur le consentement dans divers systèmes, tels qu’Adobe Experience Platform (AEP) et Tealium. En servant de bibliothèque centrale de consentement, OneTrust offre la rapidité et l’évolutivité nécessaires à la gestion efficace de toutes les données de l’entreprise. 


Cadres élargis pour l’automatisation de la certification

L’expansion rapide du paysage de la conformité signifie que les entreprises doivent naviguer dans un nombre croissant de cadres et d’exigences. OneTrust Certification Automation propose désormais 31 cadres de référence en matière de protection de la vie privée et de sécurité. La couverture de l’InfoSec s’est également élargie pour inclure :
  – NERC CIP
– ISO 27017
– ISO 27018
– NIS 2
– Cyber Essentials (Royaume-Uni)
Grâce à la possibilité d’automatiser la collecte des preuves et de tester une seule fois, de se conformer à plusieurs, les organisations peuvent rationaliser leurs efforts de contrôle et de conformité et réaliser des gains d’efficacité à grande échelle.


 Extension des données de renseignement dans le Third-Party Risk Exchange

Les organisations ont besoin de données récentes et pertinentes sur les risques pour évaluer correctement leurs tiers. OneTrust Third-Party Risk Exchange offre un accès instantané à des données de renseignement sur les risques provenant de sources de données multiples. Supply Wisdom, par exemple, importe des données de conformité, financières, opérationnelles, ESG basées sur la localisation et de cyber-risque directement dans le Third-Party Risk Exchange. Les organisations peuvent ensuite utiliser ces données, ainsi que des informations granulaires provenant de SecurityScorecard, RiskRecon, DataGuidance et ISS Corporate Solutions, pour surveiller les tiers au fil du temps et déclencher des flux de travail automatisés chaque fois qu’un score de risque change. Armées d’informations critiques sur les risques liés à tous les tiers, les entreprises peuvent mettre en place un programme de gestion des tiers transparent et évolutif. 


Exploiter les données RH pour workflow dans OneTrust Disclosure Management

 La hiérarchie d’un employé est souvent la mieux placée pour gérer les risques de divulgation et de conflit d’intérêts en raison de sa compréhension de l’individu et des exigences du poste. Une mise en œuvre manuelle peut s’avérer chronophage et inefficace. Avec OneTrust Disclosure Management, les organisations peuvent désormais utiliser leurs données RH pour acheminer intelligemment les divulgations vers différents workflow et automatiser l’affectation des approbateurs au sein de ces flux de travail. Cela garantit que les divulgations sont envoyées aux personnes appropriées au moment opportun, assurant une gestion efficace des risques et réduisant la nécessité d’une intervention manuelle.


Contrôle des bénéficiaires effectifs dans le cadre de la diligence raisonnable à l’égard des tiers

 Les réglementations telles que la règle des 50 % de l’OFAC exigent que les organisations vérifient si les bénéficiaires effectifs détenant 50 % ou plus de propriété individuelle ou combinée sont sanctionnés lorsqu’elles filtrent des tiers. La nouvelle fonctionnalité Linked Entities de la solution OneTrust Third-Party Due Diligence permet aux clients d’ajouter et de filtrer les bénéficiaires effectifs par rapport aux listes de sanctions et aux préoccupations des médias. Les organisations disposent désormais des outils nécessaires pour répondre aux attentes réglementaires liées à la propriété effective tout en protégeant leur marque contre les relations préjudiciables avec des tiers.

https://www.onetrust.fr/

Sensibiliser vos collaborateurs à la protection des données personnelles : Mission (Im)possible ?

Article offert par notre partenaire
LetoLegal
“Bonjour à tous les agents secrets de la confidentialité, 
Vous êtes-vous déjà demandé si vous étiez un héros de la protection des données personnelles ? Dans notre monde ultra-connecté, la confidentialité et la sécurité de nos informations n'ont jamais été des sujets aussi importants. Les données ont une valeur inestimable pour tout organisme et toute violation de données entraînent des conséquences incontrôlables : perte de confiance, baisse de réputation, risque de sanction etc..
Or, l’imprudence est la première cause des failles de sécurité et de fuite de données. La CNIL l’a encore rappelé récemment : un tiers des sanctions prononcées concernent un manquement à la sécurité des données 😵‍💫.
L’arme fatale pour faire face aux dangers ? La sensibilisation de vos équipes à la protection des données personnelles. Faites d’eux les héros de la protection des données 🦸‍♀️🦸‍♂️
Nous vous partageons quelques exemples de question de sensibilisation au RGPD qu’utilisent nos clients 🎁 


👩 Ressources Humaines : les gardiens des données des employés

Les équipes RH détiennent une mine d'informations sur les employés, allant de leur adresse aux informations de paie ou encore au numéro de sécurité sociale (ça sent les données sensibles par ici ?). Leur capacité à identifier rapidement les bonnes pratiques dans l’utilisation des données, gestion des accès et durée de conservation, est ca pi tale ! Que penseraient vos équipes de la question suivante ?
Exemple de question : Avec le travail hybride, la direction ne s’y retrouve plus : doit-on conserver les bureaux ? Pour avoir une idée du nombre de collaborateurs qui viennent au bureau, on décide d’installer des caméras de surveillance dans les bureaux. Est-ce possible ?
• Cool ! Comme ça, on verra bien qui vient au bureau
• Il faudrait tout même mettre un panneau pour prévenir les gens.
• C’est totalement interdit
 Les caméras de surveillance doivent avoir pour finalité avant tout la sécurité.


🔑 Les mots de passe : une ceinture de sécurité invisible
 
Les mots de passe sont comme des ceintures de sécurité : on ne les voit pas, mais ils nous protègent en cas de pépin. Éduquez vos collaborateurs à l'importance d'utiliser des mots de passe forts et uniques pour chaque compte ou à l’utilisation de gestionnaires de mots de passe. Vos collaborateurs sauront-ils répondre à la question suivante ?
 Exemple de question : C’est mon premier jour dans mon nouveau job et on me donne accès à toutes les bases de données internes et outils. Pour être sur de ne jamais oublier mes identifiants, j’envisage de mettre un mot de passe facile à retenir (car c’est celui que j’utilise au quotidien) : 123456. Qu’en penses-tu ?
 Pour renforcer la sécurité, il vaut mieux que je remplace par 123456789.
 Il vaut mieux un mot de passe assez faible qu’un mot de passe que je risque d’oublier.
 Autant le remplacer par “mot de passe”.
 C’est faire courir un risque pour la sécurité des données de l’entreprise.
🎯 Anonymisation vs Pseudonymisation : le duel des techniques 

L'anonymisation des données, c'est un peu comme la magie : on fait disparaître les informations permettant d'identifier une personne, et hop, ce n’est plus de la donnée personnelle soumise au RGPD ! L’avantage est de conserver de la data utile à votre activité sans avoir à les supprimer. À l’inverse, une donnée mal anonymisée n’est que “pseudonymisée” c’est à dire masquée. Dès lors qu’une réidentification est possible, il s’agit toujours d’une donnée personnelle soumise au RGPD. Votre équipe technique saurait-elle répondre à cette question :
  Exemple de question : On doit supprimer les données personnelles d’un utilisateur suite à une demande d’exercices des droits. L’équipe a donc supprimé toutes les informations qui permettent de l’identifier. ll reste simplement l’identifiant lui correspondant en base. Est-ce suffisant ?
• L’identifiant en base correspond à une anonymisation de la donnée, cela suffit.
• Il faut également supprimer cette donnée en base, c’est de la donnée personnelle indirecte.
• L’identifiant en base correspond à une anonymisation de la donnée, cela ne suffit pas pour répondre à la demande de l’utilisateur.


📝 Prospection et RGPD : vendre sans importuner 

La prospection est au cœur de l'activité commerciale, mais il est essentiel de la mener dans le respect des données personnelles. La réutilisation des données personnelles sans le consentement des personnes concernées est séduisante. Cependant, elle ne respecte pas toujours la vie privée des personnes concernées. Comment vos équipes savent-elles ce qu’elles peuvent ou ne pas faire au regard du RGPD ? Votre équipe commerciale saurait-elle répondre à cette question ?
 Exemple de question : J’ai récemment reçu un email d’information de l’école dans laquelle sont inscrits mes enfants et je m’aperçois que j’ai accès aux emails de tous les autres parents d’élèves. Je réalise que l’un d’entre eux serait un super lead et décide de le contacter via la liste de diffusion. Est-ce ok du point de vue du RGPD ?
• Le RGPD ne s’applique pas ici.
• Cette attitude est prohibée par le RGPD.
•  Le RGPD s’applique mais ne s’oppose pas à cette pratique.

Psst ! Notre solution de sensibilisation des collaborateurs au RGPD par le microlearning fait monter le niveau de maturité de vos équipes efficacement :
• Une banque de plusieurs centaines de questions constamment mise à jour.
• Des questions de mise en situation par métier et personnalisées.
• Directement diffusées par votre canal préféré (e-mail, teams, slack…)
• Un format court et rapide qui favorise un solide taux d’engagement et un haut niveau de rétention d’information.
• Un dashboard complet avec un score de maturité par collaborateur, équipe et de l’organisation que vous pouvez suivre dans la durée.

N’hésitez pas à télécharger notre livre blanc qui contient de plus de 30 exemples de question de sensibilisation adaptée à tous les métiers.” 

La protection de la vie privée à la une des nouvelles technologies

Article offert par notre partenaire
IronMountain
Si l’IA et, plus globalement, les nouvelles technologies suscitent la méfiance et ont longtemps été perçues comme des « moissonneuses à data », elles sont aujourd’hui obligées de s’adapter aux législations de plus en plus drastiques en matière de sécurité et de confidentialité des données personnelles. Poussant les entreprises à adopter une philosophie « privacy by design » dans tous leurs systèmes et process… 

 Les entreprises françaises placent désormais les cyberattaques comme la principale menace pour leur activité, devant la pandémie, le ralentissement économique et le manque de compétences. C’est le constat majeur qui ressort d’une étude menée dans huit pays de l’OCDE par le groupe Hiscox, assureur spécialisé dans la gestion des risques professionnels. Avec 52% des entreprises sondées ayant déclaré au moins une cyberattaque en 2022, la France se classe même au second rang des pays les plus impactés en Europe, derrière les Pays-Bas (57%) mais devant l’Allemagne (46%) ou le Royaume-Uni (42%). Et lorsque vient la question des principaux facteurs de croissance des cyber risques, 36% mentionnent l’augmentation du nombre de salariés en télétravail comme leur principale source d’inquiétude.

Cette mutation du marché de l’emploi, qui s’est accélérée depuis la pandémie de COVID-19, nécessite aujourd’hui des moyens de défense toujours plus agiles et perfectionnés, notamment en cas de compromission d’équipements périphériques tels que les routeurs ou les pare-feux. Dès lors, si les PME/TPE/ETI demeurent tout de même des cibles privilégiées (40%), selon le panorama de la cybermenace 2022 publié par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), les pirates se focalisent davantage sur des organisations moins bien protégées, comme les collectivités territoriales (passant de 19 à 23% par rapport à 2021) et les établissements de santé (de 7 à 10%).


 L’IA comme chef d’orchestre de la data ?

Les dernières attaques de grande ampleur - dont celles contre l'hôpital sud francilien de Corbeil-Essonnes (91) en août 2022 et l’hôpital André Mignot de Versailles (78) en décembre 2022 - ont d’ailleurs poussé le gouvernement à débloquer une enveloppe de 20 millions d’euros pour renforcer le niveau de cybersécurité du secteur, qui vient s’ajouter au milliard déjà mobilisé dans le cadre du plan national sur la cybersécurité annoncé par Emmanuel Macron en février 2021. Un plan dont la moitié de la dotation (515 M€) est allouée au volet Recherche & Développement, avec la mobilisation des grands organismes de recherche scientifique (CNRS, CEA et Inria) ainsi que la création d’un lieu totem rassemblant les principaux acteurs du domaine : le Campus Cyber, inauguré le 15 février 2022 en plein coeur de La Défense. L'objectif ? Fédérer la communauté de la cybersécurité pour développer des solutions qui s’appuient sur les technologies émergentes et les récentes avancées en matière d’intelligence artificielle.

Comme le Confidential Computing, par exemple, cette technique de sécurité américaine qui permet de chiffrer les données pendant leur traitement dans une sorte d’enclave numérique à laquelle seul le processeur du serveur peut accéder. En d’autres termes : en étant la seule à détenir la clé de chiffrement, l’IA est gage de sécurité et de confidentialité. Avec des potentialités intéressantes dans le domaine médical, où plusieurs hôpitaux peuvent ainsi mettre leurs données en commun pour, à titre d’illustration, entraîner un modèle d’IA d’aide au diagnostic sans violer le secret médical, puisque seul l’algorithme a accès aux données sensibles et confidentielles des patients.


 Conformité et « privacy by design »

Les règlements concernant la sécurité et la confidentialité des données se durcissent un peu partout dans le monde. En France, le RGPD adopté par l’Union européenne en mai 2018 - encadré depuis par le comité européen de la protection des données (CEPD) - est venu rebattre les cartes d’une partie qui tournait trop souvent en défaveur des citoyens. En consolidant leurs droits, en leur redonnant plus de contrôle sur leurs données, il a obligé les entreprises à revoir leurs méthodes de collecte, poussant certaines à cesser leur activité le temps de s’adapter à cette nouvelle législation. D'où l’importance pour les DSI de mettre en place une stratégie de résilience informatique qui, au-delà d’assurer la continuité de leur système d’information en cas de panne, de piratage, de surcharge d’activité ou de tout autre incident, octroie réactivité et flexibilité nécessaires pour répondre à cet enjeux de conformité (« IT compliance »).

 D’autant que la méfiance des utilisateurs n’a jamais été aussi forte. VPN, bloqueurs de publicités ou alternatives plus anonymisées aux principaux moteurs de recherche et plateformes sociales… Quand certains cherchent à effacer leurs empreintes, d’autres refusent d’interagir avec ceux qui ne montrent pas patte blanche en la matière. La tendance est à la transparence, au bénéfice des utilisateurs. Mais cela n’est pas forcément une mauvaise nouvelle pour les entreprises, bien au contraire. Celles qui sauront embrasser une approche « privacy by design » et baser leur politique de traitement de la data sur la confiance, le consentement et le respect de la vie privée réussiront leur transition et pourront même transformer l’obstacle en avantage compétitif.

DPO : 5 ans après le RGPD, comment collaborer avec le RSSI ? 

Article offert par notre partenaire
Dastra
Le 25 mai 2023 marque le cinquième anniversaire du RGPD, un jalon significatif dans la protection des droits des individus et la gouvernance des données personnelles. A cette occasion, Dastra a publié une étude sur l’état de la collaboration entre les délégués à la protection des données (DPO) et les responsables de sécurité des systèmes d’information (RSSI). Nous y apprenons que 94% des DPOs déclarent travailler avec leur RSSI, mais que seuls la moitié de ceux-ci estiment qu’ils sont complémentaires au DPO. Alors que cela signifie-t-il ? Enquête. 

 La protection des données personnelles depuis l’avènement du RGPD

Depuis l'avènement du RGPD, les organisations gèrent la protection des données personnelles avec une approche souvent disparate et peu harmonisée. Les pratiques varient considérablement d'une structure à l'autre, ce qui entraîne des incohérences et une absence de protection concrète des données personnelles des individus, démontrée par le montant très important des sanctions imposés par les autorités de protection des données en Europe (2,8M€). 
 Les conséquences néfastes de ces pratiques sont multiples. Les entreprises sont confrontées à des risques accrus en matière de sécurité des données, d'atteintes à la vie privée et de confiance des consommateurs. De plus, la complexité des réglementations en matière de sécurité informatique et de protection des données personnelles rend difficile la mise en place d'un cadre cohérent pour la protection des données. Néanmoins depuis ces 5 années, les entreprises ont été contraintes de revoir leurs pratiques de protection des données et d'adopter une approche plus responsable et transparente. Cette transition a été facilitée par la collaboration entre les délégués à la protection des données (DPO) et les métiers de la donnée, dont en particulier les responsables de la sécurité des systèmes d'information (RSSI). 

L’importance d’une bonne collaboration entre DPO et RSSI 

En effet, les DPO apportent leur expertise en matière de protection des données, de respect de la vie privée et de conformité réglementaire. Ils sont chargés de garantir que les traitements des données sont effectués dans le respect des droits des individus et des obligations légales. Les RSSI, quant à eux, sont responsables de la sécurité des systèmes d'information et de la prévention des incidents de sécurité.
La sécurité informatique est un des piliers du RGPD. Même si les DPO et les RSSI des domaines de spécialités différentes, en pratique, il leur incombe à tous les deux de vérifier que les mesures de sécurité adéquates sont mises en place sur les traitements de données. Ils ont donc un objectif commun : en travaillant ensemble, ceux-ci peuvent créer un environnement favorable à la protection des données, renforcer la sécurité des systèmes, minimiser les risques et améliorer la conformité aux réglementations. Cette collaboration permet une approche holistique de la protection des données, intégrant à la fois les aspects juridiques et techniques. 

Des axes d’améliorations pour les organisations

Cependant, malgré tous ces efforts, les DPO et RSSI ne sont encore que très peu à travailler ensemble de façon satisfaisante. Ainsi, la moitié des RSSI ne considèrent pas qu’ils sont complémentaires au DPO. Il ressort que cette collaboration existante, mais souvent de qualité moyenne, est principalement dû à une gouvernance souvent balbutiante des organisations en interne. Trop de silos demeurent encore entre les équipes DPO et SSI, autant d’un point de vue organisationnel ou technique. Au-delà des bonnes volontés, l’absence d’organisation, de processus continu, d’outil et parfois de moyens empêchent la pérennisation des travaux accomplis et met en péril les résultats de conformité déjà obtenus. Or sans terrain favorable, les organisations sont condamnées à l’échec dans leurs efforts de protection des données.
Pour apporter des solutions efficaces et pallier à ce problème, le livre blanc met en évidence 6 axes de travail pour aider les organisations à s’organiser et propose des recommandations pratiques pour établir une collaboration efficace entre les DPO et les RSSI. En particulier, 6 axes d’améliorations concrets sont dégagés et documentés pour aider les DPO et RSSI à renforcer progressivement la qualité de leur collaboration :
1. Constituer et maintenir à jour le registre des traitements SSI
2. Documenter les mesures de sécurité de tous les traitements
3. Réaliser l’étude des risques sur la sécurité des données dans les analyses d’impact sur la vie privée
4. Constituer et maintenir le registre des violations de données
5. S’assurer de l’application des principes de privacy by design & by default dans les projets
6. Piloter, superviser et contrôler les risques
Pour plus d'informations sur comment mettre en place concrètement ces axes d’amélioration dans votre organisation, consultez le livre blanc "DPO et RSSI, comment collaborer ensemble ?”. 

Nos souhaits pour les DPO et les RSSI sur les 5 prochaines années 

Alors, que souhaiter aux DPO et RSSI pour les 5 années à venir ? Nous souhaitons simplement que ceux-ci deviennent les meilleurs amis, et soient les premiers à s’appeler sur les questions de protection des données. D’autant qu’à l’avenir, les nouvelles règlementations en cours sur la sécurité de l’information tels que NIS2 s’approcheront du niveau d’exigence du RGPD, voire le dépasseront. Ainsi, comme l’a dit Emmanuel Naëgelen le directeur général adjoint de l’ANSSI à l’Université des DPO 2023 organisé par l’AFCDP, « les « RSSI et les DPO seront enfin dans le même bateau et auront sacrément intérêt à se serrer les coudes » ! 

Cybersécurité rime-t-elle avec RGPD ?

Article offert par notre partenaire
Bluefiles
La sécurité de l’information reste un concept difficilement assimilé et accepté par tous ; il y a toujours confusion entre sécurité informatique et sécurité des systèmes d’information. Pourtant elle fait partie des principes fondamentaux de la protection des données.

 La protection des informations et du numérique a bien pour objectif d’��viter tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données et ainsi de limiter les risques. Les causes de ces risques peuvent être multiples : humaines (salariés), parfois délibérées (concurrents) voire malveillantes (fraudeurs organisés) ; ou purement matérielles telles que des pannes (hardware ou software), des accidents (incendies, dégâts des eaux…) et autres sinistres (perte, casse…). 

Concernant particulièrement les données à caractère, toute entreprise est à même de collecter, rédiger, traiter et communiquer des données. Et ce, en interne, comme à l’extérieur. Le Règlement Général sur la Protection des Données (RGPD) impose les entreprises, tous les secteurs d’activité sont concernés, à mettre en place de mesures efficaces pour sécuriser les données personnelles qu’elles traitent. Pourtant quelques surprises apparaissent régulièrement : 

 • Demandes de pièces sensibles (CNI, bulletins de salaire, arrêts maladie…) par mail ; 
 • Envois d’informations avec des pièces jointes volumineuses via différentes plateformes n’offrant pas nécessairement les garanties suffisantes en matière de protection ; 
 • Utilisation dangereuse, mais toujours dans un objectif de « bien faire », du « shadow IT » ;
 • … 


Les informations traitées ou confiées doivent être protégées, et ce, en interne, comme à l’extérieur. Que les échanges soient entrants, en interne ou sortants. Cependant, et particulièrement avec le numérique, ces contenus sont parfois mal maîtrisés, et représentent ainsi une menace à court comme à long terme. Si autrefois les informations sensibles étaient envoyées sous pli elles le sont trop fréquemment aujourd’hui par mail. 

Pourtant les moyens sont là pour pallier aux difficultés rencontrées par les entreprises :

L’intégrité des données peut ainsi être assurée par des fonctions de hachage, auxquelles il est possible d’y apposer une signature permettant en plus d’assurer la vérification de l’origine de l’information et son authenticité. 
• La confidentialité des données est assurée par leur chiffrement. Différentes solutions de chiffrement peuvent être utilisées, tels que les solutions certifiées ou qualifiées par l’Agence nationale de sécurité des systèmes d’information. 
• La disponibilité des données est assurée, outre les une garanties « promises » par les directions informatiques, mais par les bonnes sauvegardes (ce qui peut être utile en cas d’incident). Et, pour les services adossés au Cloud, s’appuyer sur un prestataire d’hébergement de confiance pour les traitements et les données les plus sensibles. Pour les technologies Cloud, la certification SecNumCloud permet de garantir un niveau de confiance sur le service d’hébergement mais également de se prémunir des lois à portée extraterritoriale. Si en plus les logiciels utilisés sont « souverains ». Par ailleurs, les solutions Cloud permettent également de renforcer le plan de continuité d’activité pour anticiper la gestion d’évènements potentiellement bloquants (panne généralisée, attaque informatique…) qui mettraient à mal les traitements de donné à caractère personnel. Que ce soit pour la cybersécurité ou la conformité au RGPD, la rime est bien présente. Les analyses de risques ou d’impacts sont complémentaires.  

COMMENT INSTAURER UNE CULTURE DE LA COMPLIANCE DANS SON ORGANISATION ?

Article offert par notre partenaire 
 Data Legal Drive
Les organisations, publiques ou privées, ont l’obligation de respecter des lois et réglementations en vigueur, mais également des normes dites éthiques et des « best practices ». 

On parle alors de « conformité » (ou « compliance »). La Compliance peut regrouper des domaines variés (et non exhaustif) :

 • La gouvernance 
 • La gestion des risques 
 • L’éthique des affaires 
 • La lutte corruption 
 • Les risques environnementaux et sociaux 
 • La sécurité 
 • La concurrence 
 • La protection de la vie privée 
 • La protection des données 

Afin de les respecter, les Compliance Officers, Ethic Officers, Directeurs de la gouvernance, Directeurs juridique, Data Protection Officers et autres fonctions dédiées doivent réaliser des procédures, déployer des processus et mettre en œuvre des contrôles afin de s’assurer de leur respect. Mais au-delà, un enjeu pointe : l’humain.

Abraham Lincoln disait : « l’adhésion populaire est essentielle. Avec l’adhésion populaire, rien ne peut échouer. Sans elle, rien ne peut réussir». 

En effet, le meilleur moyen d’inciter un groupe de personnes à respecter des règles, au-delà de la procédure, du système de la récompense, ou de la sanction, est de le faire adhérer à l’objectif de fond que ces règles encadrent. Ainsi, en matière de compliance, un moyen essentiel de réussite de son programme de conformité, est l’acculturation des équipes aux principes qui sous-tendent cette conformité.

Alors comment instaurer une culture de la compliance dans son organisation ? Quelles sont les différentes étapes permettant de parvenir à cette fin ? 
Instaurer une culture de la conformité au sein de son organisation nécessite que chacun, à tous niveaux, s’engage et participe dans cette voie, ainsi chacune des étapes suivantes devra être respectée. 

Etape 1 : sensibiliser 

Il est absolument nécessaire de sensibiliser les acteurs à l’importance des règlementations et règles à suivre. Non seulement sur les principes, mais surtout sur le « pourquoi ». Il est en effet important que chacun comprenne pour quelles raisons ces règles doivent être respectées (au-delà des obligations légales) et notamment en quoi cela sera bénéfique pour l’organisation, ses collaborateurs, mais également pour la société de manière générale.
Il est ainsi recommandé de réaliser des sensibilisations courtes, accessibles, ludiques, et qui mettent l’accent sur l’engagement de fond porté par les règles. 
Elles peuvent être réalisées au format webinar, e-learning ou encore en présentiel ou sous forme de serious games.
Ces sensibilisations doivent toucher tous les collaborateurs, de manière régulière et si possible, obligatoire afin de s’assurer que chacun aura eu la possibilité d’en prendre connaissance. 


 Etape 2 : impliquer les instances dirigeantes

Les instances dirigeantes doivent avoir un rôle de sponsor d’abord pour permettre aux équipes responsables de la conformité d’avoir les moyens de diffuser la dite-culture, mais également être vecteur d’exemple afin d’inciter les autres collaborateurs à faire de même. 


 Etape 3 : communiquer

Il s’agira de faire de l’enjeu de conformité une valeur forte et propre à l’organisation. Ainsi, il sera nécessaire de communiquer sur cela, d’abord en interne, auprès des collaborateurs, sur les démarches prévues et mises en œuvre, ainsi que sur le rôle que chacun a à jouer. 
Les communications peuvent se faire au format classique, via des mails ou des articles mis à disposition dans l’intranet de l’organisation, ou de manière plus impactante via des évènements dédiés, des jeux concours, ou encore des « journées de ». 
 Il peut également être envisagé de communiquer en externe afin d’engager l’ensemble des équipes, mais également pour faire de ses engagements, un levier de compétitivité et garantir la bonne réputation de l’organisation.

Etape 4 : procédurer et contrôler 

Il est nécessaire de déployer les moyens et les procédures mises en œuvre pour respecter les différentes règlementations applicables. Ces dites règlementations, précisent en général quels sont les processus obligatoires (ou recommandés) à mettre en œuvre pour ce faire. Ces moyens doivent permettre en pratique aux collaborateurs de réaliser les actions nécessaires à la conformité.
Mais puisque la confiance n’exclut pas le contrôle, il sera également nécessaire de prévoir des contrôles réguliers des processus mis en œuvre. Ils permettront de veiller à leur fonctionnement, leur efficacité, et d’identifier les moyens pour les améliorer. Ils pourront être réalisés en premier niveau (contrôle permanent) par les responsables de la conformité, et en 2e niveau par une entité indépendante dédiée à l’inspection ou l’audit. 
 Par ailleurs, ces contrôles permettront également de démontrer que des démarches ont été entreprises, et la conformité effective aux règlementations applicables.  

Droit à l’oubli, droits des personnes : que dit le RGPD ? 

Article offert par notre partenaire Witik
Droit à l’oubli, droit à l’effacement des données personnelles, droit à la portabilité… Vous avez déjà croisé ces notions ? Vous êtes en charge du respect du RGPD en tant que DPO dans votre entreprise ?
Le RGPD impose de faciliter le respect de certains droits que les personnes concernées ont dès lors que vous collectez ou utilisez leurs données. Que recouvre exactement cette obligation ? Quels sont les droits concernés ? Comment répondre concrètement aux demandes émises par les personnes envers votre entreprise ? C’est ce que nous allons voir dans ce guide pratique sur l’exercice des droits des personnes dans le RGPD.

Droit à l’oubli et droit des personnes : qu’est-ce que c’est ?  
Le RGPD énumère un certain nombre de droits des personnes dans son chapitre III. Le premier élément à comprendre est à qui s’applique ses droits. La réponse : les droits prévus par le RGPD cibles les “personnes concernées”, c’est-à-dire les personnes sur lesquelles vous détenez des données personnelles. Il peut donc s’agir de vos clients, de vos prospects, de partenaires et fournisseurs et même de vos salariés.  
Certains de ces droits représentent en pratique une obligation continue pour les entreprises. Il s’agit notamment du droit à l’information : pour le respecter, vous devez mettre en place une information claire et facilement accessible sur votre politique de confidentialité et sur la manière dont vous traitez les données de vos utilisateurs.  D’autres droits font l’objet d’une demande de la part des personnes concernées. Ce sont elles qui les exercent et leur application suppose que votre entreprise soit en mesure de prendre en compte et de traiter les demandes. Ces droits sont donc autant d’outils que les personnes concernées ont à leur disposition pour maîtriser l’utilisation qui est faite de leurs données. Il faut donc mettre en place les moyens techniques et opérationnels nécessaires pour répondre à ces demandes. Mais d’abord, quels sont ces droits ?  
(Cf: Image ci-dessous: Le RGPD)

Quels sont les droits concernés ?  
Le RGPD consacre 6 droits des personnes que vous devez prendre en compte.  

Le droit d’accès
 Ce droit permet à une personne concernée d’obtenir une confirmation du traitement de ses données personnelles et d’en obtenir une copie. Obtenir l’accès à ses données permet notamment d’en vérifier l’exactitude. A noter : il est conseillé de demander à la personne concernée à quelles données il souhaite accéder afin de ne pas faire un export total de ses données personnelles de manière systématique.

Le droit de rectification  
Ce droit permet de mettre à jour, corriger ou modifier des données personnelles. L’idée est alors de limiter la diffusion d’informations erronées ou qui ne seraient plus valables, comme des coordonnées personnelles, l’appartenance à une entreprise, etc…  A noter : ce droit ne s’applique pas aux traitements littéraires, artistiques et journalistiques et s’applique différemment pour les données de police, de gendarmerie ou de renseignement (la demande se fait auprès de la CNIL et un magistrat de l’organisme de contrôle est en charge de son traitement).  
 
Le droit à la portabilité des données 
 Ce droit permet la transmission des données personnelles à un tiers. En général, il peut être appliqué en cas de changement de fournisseur, par exemple. Dans ce cas, il est impératif de transmettre les données à un format lisible et compatible pour un traitement par ordinateur, en particulier avec un système qui pourrait être différent du vôtre (interopérabilité).  

Le droit à l’oubli  
 Ce droit permet d’obtenir l’effacement de ses données personnelles. L’exercice de ce droit particulier est cependant limité aux cas suivants :  
 • les données sont utilisées à des fins de prospection ; 
 • les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquels elles ont été initialement collectées ou traitées ; 
 • le consentement a été retiré ; 
 • les données font l’objet d’un traitement illicite (publication de données obtenues illégalement, par exemple) ; 
 • les données ont été collectées sur un mineur dans le cadre de la société de l’information (blog, forum, réseau social, site web etc.) ; 
 • les données doivent être effacées pour respecter une obligation légale. Attention : l’exercice de ce droit n’entraîne pas la suppression définitive de toutes les données, la personne concernée doit préciser lors de sa demande quelles données il souhaite supprimer. Dans certaines situations le droit à l’oubli ne peut pas être exercé, c’est le cas lorsque ce droit va à l’encontre de principes protégés par la loi. En pratique, il ne peut être exercé s’il va à l’encore :  
 • de l���exercice du droit à la liberté d’expression et d’information 
 • du respect d’une obligation légale (conservation des bulletins de salaire, conservation de factures etc.) 
 • de l’utilisation des données concernant un intérêt public dans le domaine de la santé 
 • de l’utilisation des données à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques 
 • de la constatation ou de l’exercice de droits en justice. 

 Le droit d’opposition
  Ce droit permet de s’opposer à tout moment à ce que les données personnelles soient utilisées dans un but précis. Il ne s’agit donc pas d’une suppression des données, comme dans le droit à l’oubli, mais bien de stopper l’utilisation des données par rapport à une finalité précise. La personne concernée devra justifier des raisons tenant à sa situation particulière.  Cependant, lorsque le traitement est lié à une prospection commerciale, la personne concernée peut exercer son droit à tout moment et sans motif particulier. C’est le cas notamment lorsqu’il se désabonne d’une newsletter ou qu’il souhaite sortir d’une liste de prospects. 

Le droit d’information
On en a déjà parlé, ce droit est un peu particulier en ce qu’il ne suppose par une demande précise et une action correspondante de votre part, mais des obligations à respecter en amont. Cependant, il fait bien partie de la liste des droits des personnes liées à l’utilisation de leurs données personnelles. 
(Cf: Image ci-dessous: Comment répondre à une demande)

Comment répondre à une demande concernant les droits des personnes ? 
 En tant que responsable de traitement, vous devez dans chaque cas : 
1- Analyser la recevabilité de la demande et vérifier l’identité de la personne en cas de doute raisonnable. 
2- Confirmer à la personne que vous traitez bien ses données. 
3- Prendre les mesures nécessaires pour répondre à la demande :  
 • Donner accès aux données dans un format compréhensible et en reprenant les mentions obligatoires ; 
 • Mettre à jour et rectifier les données ; 
 • Transmettre les données dans un format lisible par ordinateur pour permettre leur portabilité ; 
 • Supprimer les données (dans la limite du droit à l’effacement / droit à l’oubli ; 
 • Traiter la demande en cas d’opposition (par exemple, retirer la personne d’une liste de diffusion, etc… ;
 4- Informer la personne que sa demande a bien été traitée et clôturer l’incident.  L’exercice des droits nécessite donc de mettre en place des process et des moyens techniques spécifiques. En particulier, il est conseillé de proposer un canal facile et accessible pour permettre aux utilisateurs d’exercer leurs droits.  Dans le cas contraire, ceux-ci pourraient s’adresser à un service clients, à leur contact commercial, etc… ce qui provoque rapidement un délai rallongé pour le traitement des données, ainsi qu’une difficulté à centraliser les demandes auprès des bons interlocuteurs. 
  

Image illustration article: Droit à l’oubli, droits des personnes : que dit le RGPD ?

Titre de l'image 6

Quand la conformité RGPD et le Numérique Responsable se rencontrent 

Article offert par notre partenaire Lock-t
Quand la conformité RGPD et le Numérique Responsable se rencontrent

La conformité au Règlement Général sur la Protection des Données (RGPD) et le Numérique Responsable (NR) sont désormais deux notions incontournables pour le monde numérique et celui des affaires. Le Règlement Général sur la Protection des Données (RGPD), est une réglementation européenne qui définit les règles à suivre en matière de protection des données personnelles. Le Numérique Responsable quant à lui, est une démarche d’amélioration continue qui vise à réduire l’empreinte écologique, économique et sociale des Technologies de l’Information et de la Communication (TIC). Ces deux concepts sont étroitement liés dans la mesure où l'application des principes du RGPD participe à l’adoption par les entreprises de pratiques plus responsables sur le plan numérique. 


Le RGPD : un cadre réglementaire pour protéger les individus

Le RGPD vise à protéger les personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il émane notamment de la volonté d’adapter les lois nationales afin de mieux répondre aux défis de sécurité que posent les récents développement du numérique (réseaux sociaux, big data, Cookies, Blockchain, IA). Il établit ainsi des principes fondamentaux de traitement de données à caractère personnel (minimisation des données, transparence, sécurité…), renforce la responsabilité des Responsables de traitement, et impose à ces derniers de nouvelles obligations. 


Le Numérique Responsable : une approche durable de la technologie 

Le Numérique Responsable (NR) est une démarche d’amélioration continue qui vise à réduire l’empreinte écologique, économique et sociale du numérique. En effet, ce dernier est responsable d'une part importante des émissions de gaz à effet de serre durant tout le cycle de vie des équipements (extraction de matière première, fabrication, transport, utilisation, destruction etc.). Le NR repose ainsi sur 5 axes stratégiques : optimiser les outils numériques pour limiter les impacts et la consommation, offrir des services accessibles pour tous, inclusifs et durables, mettre en place un numérique éthique et responsable, assurer la résilience des organisations par un numérique responsable, permettre l’émergence de nouveaux comportements et valeurs. Il promeut certaines bonnes pratiques telles que : allonger la durée de vie des équipements, favoriser l’achat de matériels reconditionnés, favoriser le télétravail, utiliser des applications technologiques écoconçues.


La conformité RGPD et le Numérique Responsable : des objectifs communs

Au cœur de la conformité RGPD se trouve l’individu. Toute la démarche consiste à le protéger à l’égard du traitement de ses données. Cette protection passe notamment par le respect des principes suivants : la minimisation des données, la transparence des traitements, la protection des supports de traitements et de stockage, la limitation de la durée de conservation des données, la protection des données dès la conception. Ces principes font écho aux axes stratégiques du NR qui convergent vers la protection de l’individu et de l’écologie. Par exemple, lorsque le RGPD impose de collecter uniquement les données nécessaires et de les conserver de manière limitée, cela contribue également à limiter les supports et volumes de stockage et donc émettre moins de gaz à effet de serre. Aussi, le principe Privacy by design et l’écoconception doivent désormais se conjuguer en matière de développement d’application technologique. De même, l’application des bonnes pratiques NR comme le reconditionnement des matériels, le télétravail, le BYOD implique nécessairement de tenir compte du RGPD. Ainsi, les deux matières s’inscrivent dans le champ de l’éthique et de la protection. Il est dès lors envisageable, et même préférable, de les aborder de manière simultanée et intégrée. Le RGPD et le NR sont donc des approches complémentaires qui visent à garantir une utilisation responsable et éthique du numérique. En respectant les obligations du RGPD et en adoptant une approche NR, les entreprises peuvent assurer une utilisation responsable et durable du numérique, tout en protégeant les droits fondamentaux des individus et en contribuant à la lutte contre les enjeux sociaux et écologiques.  
  

component bloc not found