[mis à jour le 25 octobre 2017] Nous continuons de compter à rebours : dans (presque) 7 mois, la GDPR entrera effectivement en vigueur pour les entreprises des (bientôt) 27 pays membres de l’Union Européenne. Que vous soyez juriste, entrepreneur, RSSI / DSI ou futur DPO, vous vous sentez perdu dans la masse d’informations à digérer de ce texte novateur et extrêmement dense ? Tant qu’à faire, il nous a semblé intéressant de tourner cette synthèse sous forme de méthode d’audit. Car telle est bien la difficulté de cette réforme fondamentale. Dès le 25 mai 2018, cette GDPR s’appliquera directement aux entreprises, notamment françaises. Et il n’y est nulle part prévu de validation (même de manière temporaire) des traitements de données existants.
Et on commence aussi à évoquer le projet de Règlement (encore un…) « e-Privacy », vous savez, le futur Règlement sur les métadonnées des communications électroniques… qui prévoit de réglementer TRES strictement les activités de tracking… Projet du 10 janvier 2017 en cours de vote au Parlement européen en octobre 2017.
Il n’est pas trop tard pour organiser votre process de « compliance », il est juste temps. Se documenter, c’est un bon début (les slides sont là pour ça !).
Rassurez-vous, des solutions logicielles pour vous y aider sont en cours de développement…
La présentation ci-dessous est une V2.5 [mise à jour le 25 octobre 2017] franchement enrichie de réponses pratiques aux (nombreuses) questions que que j’ai entendues (et parfois même écoutées…) depuis quelques mois.
[wonderplugin_gallery id= »128″]

Un binôme d’audit « juridique + informatique » ?

Vous, les gens de l’informatique, vous n’y arriverez pas seuls. Et nous, les juristes, nous n’y arriverons pas non plus sans les pro de la technique informatique. Car les contraintes techniques et juridiques induites par la GDPR sont le plus souvent indissociables. Et il va falloir arbitrer. La meilleure manière de faire à cet égard est probablement de confier le dossier à une équipe pilote mixte dans laquelle chacun va devoir faire l’effort (enfin) d’apprendre les termes « métier » de l’autre…

Donc, dès le 25 mai 2018, vos traitements de données [personnelles] seront conformes – ou pas – à la GDPR. Pour qu’ils le soient le plus possible, suivez le guide sur « ce sur quoi doit porter votre audit« .
Evidemment, nous repartirons basiquement de la définition de « donnée à caractère personnel » et de celle de « traitement » pour savoir si la GDPR s’applique aux data de votre système d’information. Si votre base de données comporte des data purement techniques (par exemple une base de données géographiques ou météo), a priori, vous sortez du champ de la GDPR.
Cliquez sur le lien qui suit pour accéder au détail des notions fondamentales de la GDPR. Si en plus vous souhaitez mettre ce texte en perspective avec l’évolution de la technique des réseaux de communication électronique et du droit européen qui s’y applique, une seule solution : vous pencher sur le « droit de la data« .

1 – les 3 critères d’application territoriale de la GDPR

Vous avez déterminé qu’effectivement, vous traitez des données [personnelles] ? Mais ces traitements tombent-ils dans le champ d’application territorial de la GDPR ? Vous n’y échapperez que si votre entreprise est située hors de l’UE et seulement si vous traitez des données de citoyens situés hors de l’UE. Dans tous les autres cas, ce sera la GDPR.
Et pour les prestataires HORS UE qui traitent des données e  provenance de l’UE, n’oublions pas l’obligation de désigner un « représentant » GDPR sur le territoire de l’UE.
Cliquez sur le lien qui suit pour accéder au détail des règles d’application territoriale de la GDPR (les notions fondamentales de la GDPR).

2 – le rôle de l’entreprise

Si des données sont traitées, il faut savoir à quel titre. Vous serez « data controller » (responsable de traitement) si votre entreprise décide des moyens et des finalités du traitement de données. Dans les autres cas, votre entreprise sera « data processor » (sous-traitant). Evidemment, votre entreprise peut assumer les deux rôles selon les traitements. Ce qui est sûr ? Le sous-traitant traite des données qui ne sont pas les siennes.
Question récurrente : et si le sous-traitant collecte des données pour le responsable du traitement ? Et bien, il sera sous-traitant mais c’est sur lui que pesteront les obligations d’information des personnes concernées. Au nom et pour le compte du responsable du traitement.
CE QUI VEUT DIRE QUE LE SOUS-TRAITANT NE SERA PAS AUTORISE A UTILISER CES DONNEES POUR SON PROPRE COMPTE. C’est logique.
Cliquez sur le lien qui suit pour accéder à notre étude détaillée des droits et obligations s’imposant spécifiquement aux sous-traitants.

3 – l’audit de la nature des données

Selon la nature des données traitées, les contraintes induites par la GDPR ne sont pas identiques. Alors, dès le départ, regardez si vous traitez des données sensibles (politiques, religieuses, santé…) ou des données pénales. Attention aussi de vérifier si vous collectez des données de mineurs entre 13 et 16 ans. Cette étape peut débuter par un audit des applications actives dans le SI de votre entreprise. Cela peut permettre de savoir quel logiciel traite quoi… Ne souriez pas, cette démarche est problématique dans certaines entreprises dont les grandes directions utilisent des applications « métier » sans forcément en informer la DSI. C’est particulièrement vrai avec la généralisation de la mise à disposition d’outils logiciels en mode SaaS.
Le détail de ces définitions et des régimes dérogatoires prévus dans la GDPR sont résumés dans le post sur les « notions fondamentales de la GDPR« .

4 – les traitements soumis à analyse d’impact

Cette étape est cruciale. 12 mois avant l’entrée en vigueur de la GDPR, nous ne disposons pas encore de la liste des traitements obligatoirement soumis à PIA. Il va bien falloir lire en détail les 3 critères posés par la GDPR pour les « traitements à grande échelle« … Puis il va falloir choisir d’en informer (ou pas) l’Autorité de contrôle pour prendre son avis. Prendre le risque de ne pas le faire, alors que vous auriez pris la décision de rédiger une PIA me paraitrait un choix surprenant…
Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les traitements « à grande échelle ».

5 – audit et « bases juridiques » des traitements

Dans la mesure où tout responsable de traitement aura l’obligation d’informer les personnes dont elle traite les données des « bases juridiques » retenue par le traitement, votre audit devrait vous permettre d’opter pour un traitement AVEC ou SANS consentement. Si vous choisissez AVEC consentement, il vous faudra respecter la manière dont la GDPR impose la collecte de ce consentement. Si vous choisissez un traitement SANS consentement (comme par exemple « nécessaire à exécution d’un contrat« ) ou, plus tentant mais beaucoup plus difficile, « nécessaire aux fins des intérêts légitimes du responsable du traitement« , vous devrez l’indiquer clairement aux personnes concernées. Clairement.
Que votre entreprise collecte directement des données ou fasse l’acquisition de fichiers, dans les deux cas, l’entreprise devra informer chaque personne concernée. Car les obligations d’information en cas de collecte « directe » ou « indirecte » sont bien reprise dans l’obligation de transparence de l’article 12 GDPR qui impose l’obligation d’information, corollaire des droits dont disposent les personnes concernées.
Et sans doute aurez-vous intérêt à ne pas fonder certains de vos traitement sur un choix unique. Car le panachage de fondement (AVEC et SANS consentement donc) est parfaitement possible dans la GDPR. Et si vous êtes assez courageux/courageuse pour lire en détail la GDPR, vous verrez que les traitements AVEC consentement offrent une grande sécurité juridique pour le responsable du traitement. Oubliez tout de suite l’opt-out, il est expressément éliminé de ce texte. Le consentement devra repose sur une décision « informée » de chaque personne et sur une action positive (un « oui » verbal sans ambiguïté ou une case à cocher non pré-cochée…).
Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.

6 – les 6 critères de licéité des traitements

TOUS les traitements devront respecter des finalités explicites et légitimes, et les volumes de données collectées devront suivre ces mêmes principes. C’est ici qu’intervient la notion essentielle de « minimisation » : vous pourrez collecter les données nécessaires au service à rendre (les besoins interne de votre entreprise ou le service à rendre à vos clients). Pas plus, et certainement pas tout… Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les conditions de validité des traitements.
Je vous rappelle que la charge de la preuve du respect de ces 6 principes pèsera sur le responsable du traitement, lequel professionnel ne sera présumé « compliant » que s’il a adhéré à un programme de certification ou à un code de conduite validé par son Autorité de contrôle…

7 – l’information des personnes concernées

C’est à ce stade que la GDPR peut faire le plus peur : il faudra informer clairement les personnes dont les données sont traitées. En plus de toute information nécessaire au titre des GCU/CGV par exemple. En cas de collecte directe de données par l’entreprise ET de collecte indirecte (achat/location de fichiers, etc.). Et la liste est… comment dire… dense.
En plus, il faudra rappeler systématiquement la liste des droits offerts aux personnes : accès, rectification (bien sur) et aussi le fameux « droit à l’oubli » (officiellement « droit à l’effacement »), le droit nouveau à « limitation » en réalité étroitement associé aux traitements SANS consentement « pour les intérêts légitimes » du responsable du traitement.
Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les droits d’accès / rectification / limitation.
Cliquez sur le lien qui suit pour accéder à notre étude spécifique sur les droits d’opposition à prospection / profilage. Car il y a un droit d’opposition général et un droit spécial, notamment pour les traitements SANS consentement « nécessaires aux intérêts légitimes » du responsable du traitement…
Cliquez sur le lien qui suit pour accéder à notre étude compète du « droit à portabilité » (GDPR + loi République Numérique du 7 octobre 2016).
A mon sens, pour être « full GDPR compliant », j’ai peur que certains responsables de traitement na soient dans l’obligation de re-qualifier certaines de leurs bases de données clients/prospects (par exemple et bien entendu au hasard…).

8 – les nouvelles obligations GDPR

Dès le 25 mai 2018, toute entreprise, responsable de traitement comme sous-traitant :

• devra s’interroger sur son éventuelle obligation de désigner un DPO

• devra avoir mis en place un « registre des activités de traitement »

• devra avoir pris des mesures techniques de chiffrement et de pseudonymisation des données traitées

• devra avoir organisé un process technique et juridique de notification des failles de sécurité et des éventuelles fuites de données consécutives

• devra veiller à son obligation de transparence, c’est-à-dire à la parfaite information sur les droits offerts aux personnes dont les données sont traitées

• c’est à cette étape que nous vous suggérons de regarder vos éventuels transferts de données hors UE.

Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur le Data Protection Officer.
Cliquez sur le lien qui suit pour accéder à notre étude complète sur les nouvelles obligations GDPR.

9 – audit et évolution des contrats BtoB et BtoC

Vous n’y couperez pas… vos CGU/CGV, vos contrats de service SaaS… il faudra que TOUS vos contrats (que vous les rédigiez ou que vous signiez après négociations ceux de vos partenaires) reprennent les obligations imposées par la GDPR…
Cliquez sur le lien qui suit pour accéder à notre étude détaillée sur les clauses contractuelles obligatoires dans les contrats de sous-traitance portant sur des données personnelles.
Pour une revue détaillée des contrats SaaS à jour de la réforme 2016 du droit des contrats ET des obligations GDPR applicables aux sous-traitants, c’est ici qu’il faut cliquer.

10 – la nécessaire certification GDPR ?

Pour que votre entreprise soit « GDPR compliant », vous devrez à l’avenir quasi obligatoirement passer par l’étape certification / code de conduite. Dans les 2 cas, vous serez soumis à une obligation d’audit régulier…
Mais ? 8 mois avant l’entrée en vigueur de la GDPR , ni la Commission européenne, ni aucune des Autorités de contrôle n’ont à ce jour publié aucun de ces documents (qui simplifieraient grandement vos démarches d’audit de « GDPR compliance »). Bon, on vous prépare des logiciels de vérification de compliance avec des professionnels qui sauront aussi vous assurer les prestations techniques que vous devrez mettre en oeuvre… Aurez-vous la patience d’attendre jusqu’à Noël ?