Liste de contrôle pour la conformité au RGPD
22 janvier 2024
Temps de lecture : 9 min.

Le Règlement général sur la protection des données (RGPD) est une loi de l’Union européenne qui régit la façon dont les organisations collectent et utilisent les données personnelles. Toute entreprise opérant dans l’UE ou traitant des données de résidents de l’UE doit respecter les exigences du RGPD.

Cependant, se conformer au RGPD n’est pas toujours simple. La loi décrit l’ensemble des droits des utilisateurs en matière de confidentialité des données et une série de principes à appliquer au traitement des données personnelles. Les organisations doivent respecter ces droits et principes, mais le RGPD leur laisse une certaine latitude dans les méthodes employées.

Les enjeux sont de taille et le RGPD inflige des sanctions importantes en cas de non-conformité. Les infractions les plus graves peuvent entraîner des amendes atteignant parfois 20 000 000 EUR, ou 4 % du chiffre d’affaires mondial de l’organisation de l’année précédente. Les régulateurs du RGPD peuvent également mettre fin aux activités de traitement de données illicites et obliger les organisations à apporter des changements.

La liste de contrôle ci-dessous couvre les principales réglementations du RGPD. Les méthodes utilisées par les organisations pour se conformer à ces réglementations dépendent de leur situation spécifique, notamment des types de données qu’elles collectent et de la manière dont elles les utilisent.

Principes de base du RGPD

Le RGPD s’applique à toutes les organisations basées dans l’Espace économique européen (EEE). L’EEE comprend les 27 États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège.

Le RGPD s’applique également aux organisations situées en dehors de l’EEE dans les cas suivants :

  • L’entreprise propose régulièrement des biens ou des services aux résidents de l’EEE, même sans transaction financière.
  • L’entreprise surveille régulièrement l’activité des résidents de l’EEE, par exemple en utilisant des cookies de suivi.
  • L’entreprise traite les données pour le compte d’une société basée dans l’EEE.

Le RGPD ne concerne pas seulement les entreprises qui utilisent les données client à des fins commerciales. Il s’applique à la quasi-totalité des organisations qui traitent les données des résidents de l’EEE à quelque fin que ce soit. Les établissements scolaires, les hôpitaux et les organismes publics sont tous soumis au RGPD.

Les seules activités de traitement des données exemptées du RGPD sont les activités de sécurité nationale ou d’application de la loi et les utilisations exclusivement personnelles des données.

Définitions utiles

Le RGPD utilise une terminologie spécifique. Pour bien saisir ces exigences de conformité, les organisations doivent comprendre la signification des termes utilisés dans ce contexte.

Le RGPD définit les données personnelles comme toute information relative à une personne identifiable. Tout, des adresses e-mail aux opinions politiques, est considéré comme une donnée personnelle.

La personne concernée est l’être humain à qui les données appartiennent. Autrement dit, il s’agit de la personne à laquelle les données se rapportent. Supposons qu’une entreprise collecte des numéros de téléphone pour envoyer des messages marketing par SMS. Dans ce contexte, les propriétaires de ces numéros de téléphone sont les personnes concernées.

Lorsque le RGPD y fait référence, il désigne les personnes concernées qui résident dans l’EEE. Les personnes concernées ne doivent pas nécessairement être citoyens de l’UE pour bénéficier des droits relatifs à la confidentialité des données du RGPD. Ils doivent simplement être résidents de l’EEE.

Un responsable du traitement des données est toute organisation, tout groupe ou toute personne qui obtient des données personnelles et détermine la façon dont elles sont utilisées. Pour revenir à l’exemple précédent, une entreprise collectant des numéros de téléphone à des fins de marketing serait un responsable du traitement des données.

Le traitement des données englobe toute action effectuée sur des données, y compris leur collecte, leur stockage ou leur analyse. Un sous-traitant de données est toute organisation ou tout acteur qui effectue de telles actions.

Une entreprise peut être à la fois un responsable du traitement des données et un sous-traitant, comme une entreprise qui collecte des numéros de téléphone et les utilise pour envoyer des messages marketing. Les sous-traitants comprennent également des tiers qui traitent les données pour le compte des responsables du traitement des données : un service de stockage cloud hébergeant la base de données des numéros de téléphone d’une autre entreprise, par exemple.

Les autorités de contrôle sont les organismes de réglementation qui veillent à l’application des exigences du RGPD. Chaque pays de l’EEE dispose de sa propre autorité de contrôle.

La liste de contrôle pour la conformité au RGPD

À un niveau général, une organisation est conforme au RGPD si elle :

  • respecte les principes de traitement des données ;
  • protège les droits des personnes concernées ;
  • applique les mesures de sécurité des données appropriées ;
  • respecte les règles de transfert et de partage des données.

La liste de contrôle suivante détaille ces exigences. Les mesures pratiques prises par une organisation pour répondre à ces exigences dépendront de sa localisation, de ses ressources et de ses activités de traitement des données, entre autres facteurs.

Principes de traitement des données

Le RGPD établit un ensemble de principes que les organisations doivent suivre lorsqu’elles traitent des données personnelles. Ces principes sont les suivants.

L’organisation dispose d’une base juridique pour le traitement des données.

Le RGPD définit les circonstances dans lesquelles les entreprises peuvent légalement traiter des données personnelles. L’organisation doit établir et documenter sa base juridique avant de collecter des données. L’organisation doit communiquer cette base aux utilisateurs au moment de la collecte des données. Elle ne peut pas modifier la base a posteriori, à moins d’avoir le consentement de l’utilisateur.

Les bases juridiques possibles sont les suivantes :

  • L’organisation a le consentement de la personne concernée pour traiter ses données. Notez que le consentement de l’utilisateur n’est valable que s’il est éclairé, affirmatif et donné librement.
    • Consentement éclairé : L’entreprise explique clairement quelles données elle collecte et comment elle compte les utiliser.
    • Consentement affirmatif : L’utilisateur doit effectuer une action intentionnelle pour donner son consentement, par exemple en signant une déclaration ou en cochant une case. Le consentement ne peut pas être l’option par défaut.
    • Consentement librement donné : L’entreprise ne tente pas d’influencer ou de contraindre la personne concernée. La personne concernée doit pouvoir retirer son consentement à tout moment.
  • L’organisation doit traiter les données pour l’exécution d’un contrat avec la personne concernée ou pour le compte de la personne concernée.
  • L’organisation a l’obligation légale de traiter les données.
  • L’organisation doit traiter les données pour protéger la vie de la personne concernée ou d’une autre personne.
  • L’organisation traite des données pour des raisons d’intérêt public, telles que le journalisme ou la santé publique.
  • L’organisation est une autorité publique qui traite des données dans le cadre de l’exercice d’une fonction officielle.
  • L’organisation traite les données dans le but de poursuivre un intérêt légitime.
    • Un intérêt légitime est un avantage que le responsable du traitement des données ou une autre partie pourrait retirer du traitement des données. Par exemple, effectuer des vérifications des antécédents des employés ou suivre les adresses IP sur un réseau d’entreprise à des fins de cybersécurité. Pour revendiquer un intérêt légitime, l’organisation doit prouver que le traitement est nécessaire et qu’il ne porte pas atteinte aux droits des personnes concernées.

L’organisation collecte des données dans un but précis et les utilise uniquement à cette fin.

En vertu du principe de limitation de la finalité du RGPD, les responsables du traitement doivent identifier et documenter la finalité de la collecte des données. Le responsable du traitement des données doit communiquer cette finalité aux utilisateurs au moment de la collecte, et il ne peut utiliser les données qu’à cette fin.

L’organisation ne collecte que le minimum de données nécessaires.

Les responsables du traitement ne peuvent collecter que le minimum de données nécessaires pour atteindre l’objectif déclaré.

L’organisation veille à ce que les données soient exactes et à jour.

Les responsables du traitement doivent prendre des mesures raisonnables pour s’assurer que les données personnelles qu’ils détiennent sont exactes et à jour.

L’organisation supprime les données lorsqu’elle n’en a plus besoin.

Le RGPD impose des politiques strictes de conservation et de suppression des données. Les entreprises ne peuvent conserver les données que jusqu’à ce que l’objectif spécifié pour leur collecte soit atteint, et elles doivent les supprimer lorsqu’elles n’en ont plus besoin.

L’organisation prend des précautions supplémentaires lors du traitement des données des enfants ou des données appartenant à des catégories spéciales.

Les responsables du traitement des données et les sous-traitants doivent appliquer des protections supplémentaires à certains types de données personnelles.

Les données de catégorie spéciale comprennent les données très sensibles telles que l’origine ethnique et les données biométriques d’une personne. Les organisations ne peuvent traiter des données de catégorie spéciale que dans des circonstances très limitées, par exemple pour prévenir des menaces graves pour la santé publique. Les entreprises peuvent également traiter les données de catégorie spéciale avec le consentement explicite de la personne concernée.

Les données relatives aux condamnations pénales ne peuvent être contrôlées que par les autorités publiques. Les sous-traitants ne peuvent traiter ces informations que sur instruction des autorités publiques.

Les responsables du traitement des données doivent obtenir le consentement d’un parent avant de traiter les données d’un enfant. Ils doivent prendre des mesures raisonnables pour vérifier l’âge des personnes concernées et l’identité des parents. Si des données sont collectées auprès d’enfants, les responsables du traitement des données doivent présenter des avis de confidentialité dans un langage adapté aux enfants.

Chaque État de l’EEE établit sa propre définition d’un « enfant » en vertu du RGPD. Ces définitions vont de « toute personne de moins de 13 ans » à « toute personne de moins de 16 ans ».

L’organisation documente toutes les activités de traitement des données.

Les organisations de plus de 250 employés doivent tenir des registres du traitement des données. Les organisations de moins de 250 employés doivent tenir des registres si elles traitent des données très sensibles, si elles traitent régulièrement des données ou si elles traitent les données d’une manière qui présente un risque important pour les personnes concernées.

Les responsables du traitement des données doivent documenter des éléments tels que les données qu’ils collectent, ce qu’ils en font, les mappages de flux de données et les mesures de protection mises en place. Les sous-traitants doivent indiquer les responsables du traitement pour lesquels ils travaillent, les types de traitement qu’ils effectuent pour chacun et les contrôles de sécurité qu’ils utilisent.

C’est le responsable du traitement qui est finalement chargé de veiller au respect de la législation.

En vertu du RGPD, la responsabilité finale de la conformité incombe au responsable du traitement des données. En d’autres termes, il doit s’assurer, et être en mesure de prouver que ses sous-traitants tiers répondent à toutes les exigences pertinentes du RGPD.

Droits des personnes concernées

Le RGPD accorde aux personnes concernées certains droits sur leurs données. Les responsables du traitement des données et les sous-traitants doivent les respecter.

L’organisation offre aux personnes concernées des moyens simples d’exercer leurs droits.

Les organisations doivent permettre aux personnes concernées de faire valoir simplement leurs droits sur leurs données. Ces droits incluent :

  • Le droit d’accès : Les personnes concernées doivent pouvoir demander et recevoir des copies de leurs données, ainsi que des informations pertinentes sur la manière dont l’entreprise les utilise.
  • Le droit de rectification : Les personnes concernées doivent pouvoir corriger ou mettre à jour leurs données.
  • Le droit à l’effacement : Les personnes concernées doivent pouvoir demander la suppression de leurs données. 
  • Le droit de restriction du traitement : Les personnes concernées doivent pouvoir restreindre l’utilisation de leurs données si elles pensent que celles-ci sont inexactes, qu’elles ne sont plus nécessaires ou qu’elles ont été utilisées à mauvais escient.
  • Le droit d’opposition : Les personnes concernées doivent pouvoir s’opposer au traitement de leurs données. Les personnes concernées qui ont déjà accordé leur consentement doivent pouvoir le retirer facilement à tout moment.
  • Le droit à la portabilité des données : Les personnes concernées ont le droit d’effectuer le transfert de leurs données, que les responsables du traitement et les sous-traitants doivent faciliter.

En général, les organisations doivent répondre à toutes les demandes d’accès des personnes concernées dans un délai de 30 jours. Les entreprises doivent généralement répondre à la demande d’une personne concernée, sauf si elles peuvent prouver qu’elles ont une raison légitime et impérieuse de ne pas le faire.

En cas de rejet d’une demande, l’organisation doit en expliquer le motif. L’organisation doit également indiquer à la personne concernée comment faire appel de la décision auprès du délégué à la protection des données de l’entreprise ou de l’autorité de contrôle compétente.

L’organisation offre aux personnes concernées un moyen de contester les décisions automatisées.

En vertu du RGPD, les personnes concernées ont le droit de ne pas être soumises à des processus décisionnels automatisés qui pourraient avoir un impact significatif sur elles. Cela inclut le profilage, que le RGPD définit comme l’utilisation de l’automatisation pour évaluer certains éléments, comme les performances professionnelles de la personne.

Si une organisation utilise des décisions automatisées, elle doit donner aux personnes concernées un moyen de contester ces décisions. Les personnes concernées peuvent également demander à un employé humain d’examiner toutes les décisions automatisées qui les concernent.

L’organisation est transparente sur la façon dont elle utilise les données personnelles.

Les responsables du traitement des données et les sous-traitants doivent informer les personnes concernées de leurs activités de traitement de manière proactive et claire : données collectées, utilisation de ces dernières et moyens pour les personnes d’exercer leurs droits dessus.

Ces informations doivent généralement être communiquées par le biais d’une notice de confidentialité présentée à la personne concernée au moment de la collecte de ses données. Si l’entreprise ne collecte pas de données personnelles directement auprès des personnes concernées, des avis de confidentialité doivent leur être envoyés dans un délai d’un mois. Les entreprises peuvent également inclure ces informations dans les politiques de confidentialité accessibles publiquement sur leurs sites web.

Mesures de confidentialité et de protection des données

Le RGPD impose aux responsables du traitement des données et aux sous-traitants de prendre des mesures pour empêcher l’utilisation abusive des données personnelles et protéger les personnes concernées contre tout préjudice.

L’organisation a mis en place des contrôles de cybersécurité appropriés.

Les responsables du traitement des données et les sous-traitants doivent déployer des mesures de sécurité pour protéger la confidentialité et l’intégrité des données personnelles. Le RGPD n’impose aucun contrôle particulier, mais il stipule que les entreprises doivent mettre en place des mesures techniques et organisationnelles.

Les mesures techniques comprennent des solutions technologiques, telles que des plateformes de gestion des identités et des accès (IAM), des sauvegardes automatisées et des outils de sécurité des données. Bien que le RGPD n’impose pas explicitement le chiffrement des données, il recommande aux organisations de recourir à la pseudonymisation et à l’anonymisation dans la mesure du possible.

Les mesures organisationnelles comprennent la formation des employés, l’évaluation continue des risques et d’autres politiques et processus de sécurité. Les entreprises doivent également suivre le principe de la protection des données dès la conception et par défaut lors de la création ou de la mise en œuvre de nouveaux systèmes et produits.

L’organisation effectue des analyses d’impact relatives à la protection des données (DPIA), si nécessaire.

Si une entreprise prévoit de traiter des données d’une manière qui présente un risque significatif pour les personnes concernées, elle doit d’abord réaliser une analyse d’impact relative à la protection des données (DPIA). Les types de traitement susceptibles de donner lieu à une DPIA sont notamment le profilage automatisé et le traitement à grande échelle de catégories particulières de données à caractère personnel.

Une DPIA doit décrire les données utilisées, le traitement prévu et l’objectif de ce traitement. Elle doit identifier les risques liés au traitement et les moyens de les atténuer. S’il existe un risque important non atténué, l’organisation doit consulter une autorité de contrôle avant de poursuivre.

L’organisation a nommé un délégué à la protection des données (DPO) si nécessaire.

Une organisation doit nommer un délégué à la protection des données (DPO) si son activité principale consiste à surveiller des personnes concernées à grande échelle ou à traiter des données de catégorie spéciale. Toutes les autorités publiques doivent également désigner des DPO.

Le DPO est chargé de veiller à ce que l’organisation reste conforme au RGPD. Ses principales tâches incluent la coordination avec les autorités de protection des données, le conseil à l’organisation sur les exigences du RGPD et la supervision des DPIA.

Le DPO doit être un agent indépendant sous l’autorité directe du plus haut niveau de la direction. L’organisation ne peut pas exercer de représailles contre un DPO dans l’exercice de ses fonctions.

L’organisation informe les autorités de contrôle et les personnes concernées en cas de violation des données.

Les organisations doivent signaler la plupart des violations de données personnelles à l’autorité de contrôle compétente dans un délai de 72 heures. Si la violation présente un risque pour les personnes concernées, l’organisation doit également les en informer. Les organisations doivent informer les personnes concernées directement, sauf si une communication directe ne serait pas raisonnable. Dans ce cas, un avis public est acceptable.

Les sous-traitants victimes d’une violation doivent en informer les responsables du traitement concernés sans délai injustifié.

Si elle se trouve en dehors de l’EEE, l’organisation a nommé un représentant dans l’EEE.

Toute entreprise hors de l’EEE qui traite régulièrement les données de résidents de l’EEE ou qui traite des données particulièrement sensibles doit nommer un représentant au sein de l’EEE. Le représentant se coordonne avec les autorités gouvernementales au nom de l’entreprise et sert de point de contact pour les questions de conformité au RGPD.

Transfert et partage de données

Le RGPD établit des règles sur la manière dont les organisations peuvent partager les données personnelles avec d’autres sociétés à l’intérieur et à l’extérieur de l’EEE.

L’organisation utilise des accords formels de traitement des données pour régir les relations avec les sous-traitants.

Un responsable du traitement des données peut partager des données personnelles avec des sous-traitants et d’autres tiers, mais ces relations doivent être régies par des accords formels de traitement des données. Ces accords doivent décrire les droits et les responsabilités de toutes les parties en vertu du RGPD.

Les sous-traitants ont l’obligation de traiter les données conformément aux instructions du responsable du traitement. Ils ne peuvent pas utiliser les données d’un responsable à leurs propres fins. Le sous-traitant doit obtenir l’approbation du responsable du traitement avant de partager des données avec un sous-traitant ultérieur.

L’organisation n’effectue que des transferts de données approuvés en dehors de l’EEE.

Les responsables du traitement des données ne peuvent partager des données avec un tiers situé en dehors de l’EEE que si le transfert répond au moins à l’un des critères suivants :

  • La Commission européenne a estimé que les lois sur la confidentialité des données du pays où se trouve le tiers étaient adéquates.
  • La Commission européenne a estimé que le tiers disposait de politiques et de contrôles adéquats en matière de protection des données.
  • Le responsable du traitement des données a pris toutes les mesures nécessaires pour assurer la sécurité et la confidentialité des données transférées.
Découvrir les solutions de conformité au RGPD

Rester en conformité avec le RGPD est un processus continu, et les exigences de l’organisation peuvent changer avec la collecte de nouvelles données ou la mise en place de nouveaux types d’activités de traitement.

Les solutions de gestion de la sécurité et de la conformité des données comme IBM Security Guardium peuvent vous aider à rationaliser le processus de mise en place et de maintien de la conformité au RGPD. Guardium peut découvrir automatiquement les données réglementées par le RGPD, y appliquer des règles de conformité, surveiller l’utilisation des données et donner aux organisations les moyens de répondre aux menaces pesant sur la sécurité des données.

 
Auteur
Matt Kosinski Writer