Le 25 mai 2018, il se passe quelque chose de grand qui a besoin de votre attention. Dans le plus grand bouleversement de la législation sur la protection des données en 20 ans, le règlement général de l’UE sur la protection des données (RGPD) entrera en vigueur.
Le RGPD a pour objectif de renforcer la protection des données des citoyens et résidents de l’UE, de leur donner un meilleur contrôle de leurs données personnelles et de simplifier l’environnement réglementaire. Le RGPD s’appliquera également aux pays hors UE qui ont des clients au sein de l’UE. Et même si le Royaume-Uni quitte le syndicat, le gouvernement britannique a confirmé que le RGPD est là pour rester.
Le coût d’une erreur augmentera
Le RGPD entraînera des amendes plus lourdes pour les entreprises en cas de violation de données. L’amende maximale actuellement prévue pour une infraction est de 500 000 £ (625 000 $), mais elle atteindra le montant le plus élevé pouvant atteindre 17 millions de £ (21 millions de $), soit 4% du chiffre d’affaires annuel mondial pour l’exercice précédent. TalkTalk a été condamné à une amende de 400 000 £ en 2016 pour n’avoir pas mis en place les mesures techniques et organisationnelles appropriées pour sécuriser les données personnelles de ses clients et pour avoir conservé leurs données personnelles plus longtemps que nécessaire. Dans le cadre du RGPD, cette amende aurait pu atteindre 73,5 millions de livres sterling.
Le RGPD nécessitera une solide compréhension des règles actuelles de protection des données. Si vous vous considérez comme un responsable du traitement des données (ce qui signifie que vous traitez des données personnelles pour le compte d’un responsable du traitement) plutôt que comme un responsable du traitement (ce qui signifie que vous déterminez les finalités et la manière dont les données personnelles sont traitées), alors le RGPD est toujours pertinent car les contrôleurs de données viendront à vous pour vous assurer que vous êtes prêt. Au Royaume-Uni, certains responsables du traitement des données se voient déjà demander une responsabilité illimitée dans leurs contrats.
Pourquoi le produit doit être soigné
Pourquoi est-ce que j’écris à ce sujet pour le blog Mind the Product? Le RGPD introduit le statut statutaire de délégué à la protection des données (DPD), avec pour mission de s’assurer qu’une entreprise se conforme au RGPD. En tant que DPO nouvellement couronné dans mon entreprise, je pense qu’une personne responsable des produits est la mieux placée pour aider une entreprise à mettre en œuvre une politique de protection des données solide en vue du RGPD l’année prochaine: après tout, une personne responsable des produits devrait avoir une vue d’ensemble de l’entreprise et savoir où les données sont utilisées.
Vous trouverez ci-dessous les leçons que j’ai apprises en tant que DPD et certaines des mesures que nous avons prises pour nous préparer à la nouvelle réglementation.
Avez-vous besoin d’un délégué à la protection des données?
Si votre organisation est une autorité publique, ou si vous traitez des catégories particulières de données comme les condamnations pénales, ou si vous effectuez un contrôle à grande échelle des données, vous aurez besoin d’un DPD. Il existe d’autres recommandations pertinentes pour les startups et les entreprises technologiques; si vous traitez une grande quantité de données personnelles, par exemple plus de 5 000 enregistrements de données personnelles sur une période de 12 mois, je pense que vous devriez avoir un DPD. J’imagine que vous êtes nombreux à avoir plus de 5 000 personnes qui s’inscrivent et utilisent votre service chaque année.
Comment le RGPD affectera-t-il vos clients?
Le RGPD renforce les droits de vos clients de plusieurs manières, notamment:
- Le droit de s’opposer. Un client peut s’opposer si ses coordonnées sont utilisées à des fins de marketing direct ou s’il a des motifs légitimes de s’opposer au traitement de ses données.
- Le droit d’accès. Un client peut demander l’accès à ses données. Vous devez savoir d’où proviennent les données que vous avez prises, à qui elles pourraient être divulguées et être en mesure de dire au client toute logique impliquée dans toute décision automatisée. Vous devez répondre à une demande de données dans un délai d’un mois, et un client peut également autoriser un tiers à obtenir les données. Une boîte à outils utile pour l’accès aux sujets est ici.
- Le droit à l’oubli. Si le traitement du client n’est pas conforme au RGPD, le client peut demander l’effacement de ses données.
- Le droit de ne pas être soumis à des processus purement automatisés. Par exemple, si un client se voit refuser l’assurance par un système automatisé, il peut appeler et demander un examen manuel.
De toute évidence, si vos processus informatiques actuels ne permettent pas ce qui précède, vous devrez faire un travail pour vous y préparer. De même, vos politiques de confidentialité et de protection des données devront peut-être être revues.
Que fait un délégué à la protection des données?
Selon l’article 39 du RGPD, un DPD doit:
- Informer et conseiller l’organisation et ses employés sur leurs obligations de se conformer au RGPD et aux autres lois sur la protection des données
- Surveiller le respect du RGPD et d’autres lois sur la protection des données, y compris la gestion des activités internes de protection des données, donner des conseils sur les évaluations d’impact de la protection des données former le personnel et mener des audits internes
- Être le premier point de contact pour les autorités de contrôle et pour les personnes dont les données sont traitées (employés, clients, etc.)
Un DPD doit être autorisé à fonctionner de manière indépendante et à faire rapport au conseil d’administration. Par exemple, si le DPO constate que le vice-président du marketing doit supprimer des données de sa machine, il doit pouvoir lui demander de le faire – et s’il ne le fait pas, être en mesure de les signaler au conseil d’administration sans crainte de représailles.
Ils devraient également disposer du temps et des ressources nécessaires pour faire leur travail – cela peut signifier une formation supplémentaire, du temps avec l’équipe technique pour appliquer des mots de passe sécurisés sur les systèmes clés, etc. Un employé existant peut servir de DPO, ou vous êtes également autorisé à faire appel à un consultant externe pour couvrir ce rôle. Il existe certaines restrictions si un employé interne est votre DPO – il ne peut pas, par exemple, être un responsable des ressources humaines, un responsable informatique ou un membre de l’équipe de direction. Le DPD doit avoir une bonne expérience professionnelle et une connaissance du droit de la protection des données.
Si vous ne nommez pas de DPD là où vous en avez besoin, l’amende peut atteindre 10 000 000 € ou 2% du chiffre d’affaires mondial de votre entreprise, selon le montant le plus élevé.
Un responsable produit doit déjà avoir une bonne connaissance de la protection des données. Ils auront travaillé avec tout le monde dans l’organisation – les équipes financières, le support client, le marketing, la technologie et la croissance. Ils sauront où se trouvent les données de leur entreprise et comment elles se déplacent. Ils sont également probablement les mieux placés pour rédiger les politiques de protection des données et les évaluations des risques nécessaires pour montrer que l’entreprise prête attention aux exigences du RGPD.
Avez-vous besoin d’une évaluation d’impact sur la protection des données?
Une évaluation d’impact sur la protection des données (DPIA) – également connue sous le nom d’évaluation d’impact sur la vie privée ou PIA – est une évaluation des risques lorsque vous proposez de traiter des données personnelles. Son objectif est d’aider une organisation à identifier le moyen le plus efficace de se conformer aux obligations de protection des données et de répondre aux attentes des individus en matière de confidentialité.
Un DPIA peut être utilisé dans diverses situations. Ceux qui, selon moi, sont particulièrement pertinents pour la gestion des produits comprennent:
- Un nouveau système de base de données pour le stockage et l’accès aux données personnelles
- Un projet où deux ou plusieurs organisations cherchent à regrouper ou à relier des ensembles de données personnelles
- Une proposition pour identifier les personnes dans un groupe particulier ou démographique et initier un plan d’action
- Utilisation des données existantes pour un processus nouveau et inattendu ou plus intrusif
- Un nouveau système de surveillance ou l’application de nouvelles technologies à un système existant (comme l’ajout de la reconnaissance automatique de plaque d’immatriculation à un système de vidéosurveillance existant)
- Une nouvelle base de données qui consolide les informations détenues par différentes parties d’une organisation
Si je comprends bien, l’exigence d’un DPIA en vertu de la nouvelle législation est toujours en discussion, bien que j’imagine que ce qui se passera, c’est que toute organisation traitant des données «sensibles» devra montrer la preuve d’un DPIA. Par données sensibles, j’entends un ensemble de données contenant des informations sur la santé, le handicap, l’origine ethnique, l’orientation sexuelle, les affiliations politiques ou religieuses ou les casiers judiciaires.
Cela dit, même si vous ne traitez pas ce type de données, je pense que cela vaut toujours la peine de réaliser un DPIA. Cela ne peut qu’aider votre entreprise à gérer les données de manière plus sécurisée et donner à vos clients confiance en votre capacité à prendre soin de leurs données.
D’après mon expérience, si vous êtes un contrôleur de données, je pense que vous devriez commencer à travailler avec vos processeurs de données maintenant pour vous assurer qu’ils respectent le RGPD et inclure leurs réponses dans votre DPIA.
J’ai déjà commencé ce processus et c’est un peu effrayant de voir que certains des processeurs de données que nous utilisons n’ont pas compris leurs responsabilités, et nous cesserons de les utiliser s’ils ne peuvent pas prouver qu’ils se conforment au RGPD à temps. Vous devrez peut-être commencer à conclure des accords de traitement des données (DPA) avec vos processeurs de données, surtout si vous traitez des données dans l’UE qui quitte ensuite l’UE, Amazon par exemple propose un DPA aux clients AWS.
Vous devez inclure dans le DPIA:
- Les responsabilités respectives du responsable du traitement et des sous-traitants que vous utilisez
- Le but et les moyens du traitement (c’est-à-dire que je capture les détails de l’adresse pour effectuer la livraison du produit)
- Flux sur la façon dont les informations utilisateur sont utilisées (c’est-à-dire comment les informations personnelles seront obtenues, utilisées et conservées)
- Les mesures et garanties que vous avez mises en place pour protéger les données
- Détails de votre évaluation des facteurs relatifs à la vie privée (l’ICO a ici d’excellents conseils sur les EIP)
- Les coordonnées du DPO
Répondre à une infraction
Il y a un excellent article sur le blog Taylor Wessing qui donne un aperçu complet de vos responsabilités en vertu du RGPD lorsque vous répondez à une violation.
Conformément aux meilleures pratiques de protection des données, vous devez vous préparer à une violation avec un plan de récupération, une stratégie pour réévaluer les risques associés à la violation. Si le pire se produit et que vous avez une violation, vous devez effectuer un examen de votre réponse et mettre à jour vos politiques de sécurité en conséquence. Le RGPD n’exige pas un rapport complet sur une violation dès le départ, mais je vous recommande de préparer la portée potentielle et la cause de la violation, les mesures d’atténuation que vous prévoyez de prendre et la façon dont vous envisagez de résoudre le problème.
Opt-ins et consentement
Certaines cases d’acceptation sont interdites par le RGPD, vous ne pouvez donc pas avoir de formulaire indiquant «en cliquant sur le bouton d’achat, vous acceptez de recevoir des informations marketing», vous devez toujours fournir une case à cocher. Le consentement doit être donné librement avec une action affirmative claire utilisée. Le consentement doit toujours être spécifique, éclairé et sans ambiguïté. Vous devez garder une bonne trace de quand et où les gens ont donné leur consentement. Les gens doivent toujours pouvoir retirer leur consentement et avoir la possibilité de se retirer facilement. L’OIC a un article détaillé sur la façon d’obtenir un consentement, ainsi qu’une liste de contrôle utile à la fin. Depuis la publication, Rob Pomeroy a ajouté d’excellents conseils sur le consentement de participation dans la section des commentaires ci-dessous.
Prochaines étapes
Si vous ne savez toujours pas si vous avez besoin d’un délégué à la protection des données ou si vous devez effectuer une évaluation de l’impact de la protection des données, l’ICO a un bon article avec 12 étapes initiales que vous pouvez suivre pour vous préparer au RGPD. Cependant, si vous lisez toujours cet article, je devine que vous traitez déjà des données clients sensibles sur plusieurs territoires. Je vous recommande de faire ce qui suit:
- Choisissez un délégué à la protection des données. Il peut s’agir d’un employé existant ou vous pouvez engager un consultant externe. Si vous choisissez un employé, vous êtes légalement tenu de lui apporter un soutien, une formation et des ressources, et vous devez lui donner le temps de faire son travail. Il m’a fallu quelques semaines pour faire la protection des données et me familiariser avec toutes les politiques et procédures, et j’ai mis un matin chaque semaine de côté pour m’assurer que tous les problèmes soulevés dans mes évaluations des risques sont résolus.
- Commencez à réfléchir à la façon dont vous demandez votre consentement, éloignez-vous des cases pré-cochées ou des champs de formulaire de désabonnement
- Effectuer une évaluation de l’impact de la protection des données – principalement pour vous assurer que tous les processeurs de données que vous utilisez sont également compatibles avec le RGPD
- Conformément aux meilleures pratiques en matière de protection des données, je passerais en revue toutes les politiques et évaluations des risques de votre entreprise et m’assurerais qu’elles sont à jour – je m’assurerais qu’elles sont toutes rassemblées en un seul endroit central auquel tout le personnel a accès. Le RGPD exige des preuves de cela
Bravo pour aller aussi loin, j’espère que mon expérience s’est révélée utile. S’il y a de l’appétit, j’ajouterai des exemples de politiques et de registres de risques aux canaux Mind the Product Slack.