LIVRE BLANC

Règlement Général sur la Protection des Données

06/12/2017
(RGPD)

Tour d’horizon du RGPD (ou GDPR en anglais), réponse de l’Union

Européenne aux exigences croissantes en matière de protection de la vie
privée de la société européenne. Entrée en vigueur fin mai 2018.

Auteur : Selim KHALDI, Consultant associé chez KHALSOMM Digital

 TABLE DES MATIÈRES

Introduction ........................................................................................................................................... 3

I. Désigner un DPO ......................................................................................................................... 3

II. Cartographier les traitements ................................................................................................... 6

III. Prioriser les actions ................................................................................................................... 8

IV. Gérer les risques....................................................................................................................... 9

V. Organiser les processus internes ............................................................................................. 11

VI. Documenter la conformité ...................................................................................................... 11

Conclusion............................................................................................................................................ 12

06 décembre 2017 1
 LIVRE BLANC
Règlement Général sur la Protection des Données (RGPD)

06 décembre 2017 2
 Introduction

L’objectif principal du RGPD est d’établir les données personnelles en tant que propriété et de transférer le
contrôle de ladite propriété à l’individu ou à l’utilisateur, plutôt qu’à l’entreprise ou au fournisseur. En outre, le
RGPD entrera en vigueur sous peu et de nombreuses entreprises ne sont tout simplement pas prêtes à respecter
les normes d’utilisation plus strictes, de déplacement et de stockage des données clients. Analysons la portée
complète du RGPD et ce que cela signifie pour votre stratégie Cloud.

A l'heure de la transformation digitale qui pousse les entreprises comme les particuliers à utiliser davantage leurs
données, ce virage est d'autant plus complexe à négocier que le futur règlement, qui s'inscrit dans le prolongement
de la loi informatique et liberté, induit des changements structurants au niveau organisationnel, technique et
juridique. Ce document a pour objectif de dresser un éclairage sur ces changements qui nous impacteront très vite
professionnellement et personnellement.

I. Désigner un DPO

Nouveau dans l’organigramme, le Data Protection Officer – DPO est la pierre angulaire de cette règlementation.
En effet, il revient à cette personne le rôle de garantir la conformité en matière de protection des données au
sein de son entreprise.

Le DPO devra dans le meilleur des cas être hors chaîne hiérarchique, afin de lui assurer une indépendance totale.
Si cela est impossible, il devra néanmoins impérativement être aussi libre et protégé que possible des influences
internes. On peut assimiler le DPO à une sorte de « commissaire aux comptes de la conformité ».

1) Missions du DPO

Le DPO devra assurer un large éventail de missions, parmi lesquelles :

- Informer et conseiller l’ensemble du personnel sur les obligations en vertu du RGPD et d’autres dispositions
en matière de protection de données à caractère personnel ;
- Informer des manquements constatés, conseiller dans les mesures à prendre pour y remédier, soumettre
les arbitrages nécessaires ;
- Veiller à la mise en œuvre de mesures appropriées pour permettre de démontrer que les traitements sont
effectués conformément au RGPD, et si besoin, réexaminer et actualiser ces mesures ;
- Veiller à la bonne application du principe de protection des données dès la conception et par défaut
dans tous nos projets comportant un traitement de données personnelles ;
- Auditer et contrôler, de manière indépendante, le respect du RGPD par l’entreprise, y compris en ce qui
concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux
opérations de traitement et les audits s’y rapportant ;
- Piloter la production et la mise en œuvre de politiques, de lignes directrices, de procédures et de règles
de contrôle pour une protection efficace des données personnelles et de la vie privée des personnes
concernées ;
- S’assurer de la bonne gestion des demandes d’exercice de droits, de réclamations et de requêtes
formulées par des personnes concernées par nos traitements, s’assurer de leur transmission aux services
intéressés et apporter à ces derniers le conseil dans la réponse à fournir aux requérants ;
- Être l’interlocuteur privilégié de l’Autorité de contrôle et coopérer avec elle ;

06 décembre 2017 3
 - Dispenser ses conseils en ce qui concerne les études d’impact sur la vie privée (EIVP) et en assurer la
pertinence ;
- Mettre notre organisme en position de notifier d’éventuelles violations de données auprès de l’Autorité
de contrôle et conseiller, notamment concernant les éventuelles communications aux personnes concernées
et les mesures à apporter ;
- Tenir l’inventaire et documenter les traitements de données à caractère personnel en tenant compte du
risque associé à chacun d’entre eux compte tenu de sa nature, sa portée, du contexte et de sa finalité ;
- Présenter à la direction de l’entreprise un bilan annuel de ses activités.

2) Profil du DPO

Aucun diplôme spécifique n’est exigé par le RGPD. Le métier est accessible à tous, du moment que le candidat
possède les qualités professionnelles adéquates et, en particulier, des connaissances en technologies de
l’information (pour pouvoir interagir avec les informaticiens et garder un esprit critique), des connaissances
spécialisées du droit (ou une forte appétence pour ces sujets), et notamment sur les législations spécifiquement
applicables à l’organisme (par exemple en matière de commerce électronique, de santé ou de travail) et des
pratiques en matière de protection des données, ainsi que de qualités personnelles lui donnant une réelle capacité
à accomplir ses missions.

Le niveau de connaissance n’est pas précisé par le RGPD, mais dépend de la sensibilité et de la complexité des
traitements mis en œuvre par le responsable de traitement.

Le RGPD met l’accent sur le besoin de formation initiale et continue. Lorsque le DPO ne dispose pas de l’ensemble
des qualifications requises à la date de sa désignation, il doit les acquérir. Le Délégué à la protection des données
se doit de maintenir ses compétences et connaissances dans ses domaines respectifs et de s’efforcer de les
améliorer et de les enrichir constamment par la veille.

3) Opportunité d’externaliser la fonction

Bien que le règlement ne tranche pas de manière claire, elle cite simplement « Le délégué à la protection des
données peut être un membre du personnel (..), ou exerce ses missions sur la base d’un contrat de service ». La CPVP
(CNIL belge) et le groupe de travail de la commission européenne, quant à eux, tranchent clairement en faveur
de l’externalisation de la fonction.

Dans le cas d’une grande entreprise il sera nécessaire d’avoir un DPO employé de manière directe alors que
pour des PME, un contrat de service à hauteur d’un à deux jours par semaine (après la phase initiale) pourrait
être suffisant. Tout dépendra du volume de travail et du volume des traitements* à surveiller.

*traitements : L'article 4 du règlement définit un traitement comme « toute opération ou tout ensemble d'opérations effectuées
ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles
que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le
rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; ».

06 décembre 2017 4
 4) Coût du DPO

Le salaire d’un DPO employé directement sera du même ordre de grandeur que celui d’un cadre moyen ou
supérieur. Mais en avez-vous besoin à plein temps ? Probablement pas. Il sera donc préférable de passer un
contrat de prestation avec un consultant RGPD afin de mieux contrôler les coûts. Ainsi, la disponibilité du DPO
pourra être modulée en fonction de la charge (de quelques heures par mois à ponctuellement à plein temps en
cas de nouveau développement par exemple).

Combien coûte un consultant RGPD ?

En région parisienne le coût de la demi-journée se chiffre à près de 400€ HT.

5) Contraintes

Le DPO bénéficie de certaines dispositions inscrites dans le règlement :

- Il est indépendant et ne reçoit pas d’instructions dans le cadre de sa mission ;

- Il ne peut pas être relevé de ses fonctions (il est donc protégé contre le licenciement) ;
- Il rapporte directement au chef d’entreprise ;
- Il est soumis au secret professionnel (sauf vis à vis de l’Autorité de contrôle) ;
- Il ne peut être en conflit d’intérêts.

C’est sans doute ce dernier point qui constitue l’argument principal qui doit vous guider vers une externalisation
de la fonction de DPO.

06 décembre 2017 5
 6) Conclusion

Il semble évident que l’externalisation aura de nombreux avantages pour la majorité des PME. C’est sans doute
moins vrai dans les grandes entreprises où le DPO sera employé à sa tâche à plein temps, voire gèrera une
équipe entièrement dédiée à cette mission.

DPO INTERNE DPO EXTERNE

- Bonne connaissance de
l’entreprise et de ses rouages ;
- Bonne connaissance de ses
interlocuteurs ;
- Informé « à la source » ;
AVANTAGES - Peu réagir « sur-le-champ »
- Temps partiel ingérable ;
- Climat tendu lors de sa
désignation ;
- Indépendance difficilement
applicable ;
INCONVENIENTS - Risques importants de conflit
d’intérêts ;
- Coût partiel incontrôlable ;
- Formation nécessaire ;
- Remplacement risqué
juridiquement
- Indépendant ;
- Absence de conflit d’intérêts ;
- Coûts maitrisés ;
- Disponible immédiatement
(pas de formation) ;
- Expertise assurée ;
- Disponible « à la carte » ;
- Renforts disponibles ;
- Remplacement facilité
(relation contractuelle libre)
- Temps d’adaptation aux
rouages de l’entreprise ;
- Coût « à l’heure » plus élevé

II. Car tographier les traitements

Pour mesurer l’impact du RGPD sur la protection des données de votre activité, il faudra commencer par recenser
précisément les traitements (voir I.3) de données personnelles* que vous mettez en œuvre. La tenue d'un registre
des traitements vous permet de faire le point.

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs
traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations
légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous
devez au préalable recenser précisément :

- Les différents traitements de données personnelles ;

- Les catégories de données personnelles traitées ;

06 décembre 2017 6
 - Les objectifs** poursuivis par les opérations de traitements de données ;
- Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier
les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ;
- Les flux en indiquant l’origine et la destination des données, afin, notamment, d’identifier les éventuels
transferts de données hors de l'Union européenne.

Pour chaque traitement de données personnelles, posez-vous les questions suivantes :

1) Qui ?
- Inscrivez dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant
légal) et, le cas échéant, du délégué à la protection des données ;
- Identifiez les responsables des services opérationnels traitant les données au sein de votre organisme ;
- Etablissez la liste des sous-traitants.

2) Quoi ?
- Identifiez les catégories de données traitées ;
- Identifiez les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par
exemple, les données relatives à la santé ou les infractions).

3) Pourquoi ?
- Indiquez la ou les finalités pour lesquelles vous collectez ou traitez ces données (exemple : gestion de la
relation commerciale, gestion RH…).

4) Où ?
- Déterminez le lieu où les données sont hébergées ;
- Indiquez dans quels pays les données sont éventuellement transférées.

5) Jusqu’à quand ?
- Indiquez, pour chaque catégorie de données, combien de temps vous les conservez.

6) Comment ?
- Quelles mesures de sécurité sont mises en œuvre pour minimiser les risques d’accès non autorisés aux
données et donc d’impact sur la vie privée des personnes concernées ?

*données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable (ci-après
dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut
être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro
d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son
identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

**objectifs : objectif d’une application informatique de données personnelles. Exemples de finalité : gestion des recrutements,
gestion des clients, enquête de satisfaction, surveillance des locaux, etc.

06 décembre 2017 7
 III. Prioriser les actions

Après la cartographie des traitements, il est nécessaire d’auditer chaque traitement par rapport aux exigences
actuelles de la CNIL (notamment sur la durée de conservation) et à celles du RGPD. Les actions à entreprendre
dépendront essentiellement de ces audits et seront à la fois juridiques et techniques afin de vérifier le respect des
principes du Règlement.

Les mesures de sécurité des données, quant à elles, devront faire l’objet d’une attention particulière car une fuite
de données personnelles n’est jamais régularisable. A l’heure actuelle, environ 85% des sanctions prononcées par
la CNIL portent notamment sur les problématiques de sécurité.

Dans cette partie du projet de mise en conformité il faudra également mettre à jour tous les documents
d’information des personnes dont les données sont collectées par rapport au RGPD.

Le RGPD reprend les principes de la loi Informatique et Liberté de 1978 :

- Principe de finalité, selon lequel toute donnée ne peut être collectée que pour des finalités déterminées,
explicites ou légitimes ;
- Principe de minimisation, selon lequel les données collectées doivent être adéquates, pertinentes et
limitées au regard des finalités ;
- Principe d’exactitude, exige que les données collectées soient exactes et tenues à jour ;
- Principe de limitation de durée, impose que toute donnée ne peut être collectée que pour une durée
adaptée aux finalités ;
- Principe de loyauté et de transparence dans la collecte des données ;
- Principe de sécurité des données, implémentation de mesures physiques et informatiques.

Focus sur le consentement qui constitue l’un des principes fondateurs du Règlement.

1) Consentement éclairé

Jusqu’à présent le recueil du consentement n’était pas vraiment encadré et facile à contourner. Que cela soit pour
une newsletter agressive ou des SMS promotionnels. Aujourd’hui, le RGPD précise : « Le consentement doit être
donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et
univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d'une
déclaration écrite, y compris par voie électronique, ou d'une déclaration orale ».

Le silence de la personne ne vaut pas consentement, le fameux « qui ne dit mot consent ». Non, l’accord ne doit
souffrir d’aucune ambiguïté comme une case à cocher ou un bandeau à cookie à accepter sur un site internet. La
personne est libre dans ses choix. L’exécution d’un service ne peut être conditionnée par l’obtention de ce
consentement si cela n’est pas nécessaire à sa réalisation. « Spécifique », car le consentement ne porte que sur la
finalité mentionnée (prospection commerciale, marketing, analyse statistique, revente à des tiers...).

L’utilisateur doit pouvoir retirer son consentement aussi facilement qu’il a été donné.

2) Gestion du consentement

Le jugement est dit éclairé car la personne bénéficie de toutes les informations nécessaires pour décider en
connaissance de cause. Aux obligations actuelles en matière d’information comme le nom du responsable du
traitement, la finalité poursuivie, les catégories de destinataires des données, la durée de conservation des

06 décembre 2017 8
données, les droits d'accès, de rectification et d'opposition s’ajoutent de nouvelles exigences. Il s’agit notamment
de mentionner le nouveau droit à la portabilité des données et la possibilité de déposer plainte devant l'autorité
de protection des données compétente. L'origine des données et le fondement juridique du traitement doivent
être également précisés.

Ce consentement doit pouvoir être retiré aussi simplement qu'il a été donné et la personne informée de cette
possibilité de retrait. Le consentement doit être distinct des autres questions posées, du reste du contrat ou des
conditions générales d’utilisation (CGU). Mentionner « en acceptant les CGU, vous acceptez de recevoir des
informations de notre société » serait jugé illégal.

Enfin, les mineurs font l’objet d’un traitement spécifique. Les enfants de moins de 13 ans ne peuvent cas donner
eux-mêmes leur consentement. Pour ceux âgés de 13 à 15 ans inclus, le consentement parental est en règle
générale réclamé.

3) Cas du web

En plaçant le consentement de l’individu au cœur de son approche, le RGPD impose un cadre particulièrement
contraignant. Seuls 6% des acteurs seraient aujourd’hui conformes selon un audit réalisé cet été par Converteo®
et portant sur les sites web de cent entreprises françaises ou opérant en France. Entre autres manquements, 40 %
des sites ne donnent pas de précisions sur la finalité et 76 % sur la durée de conservation.

Sur le chemin de la conformité, il convient de procéder à la refonte d’un certain nombre de documents : notices
d'information, politique de cookies, chartes… La politique de confidentialité qui est distincte des mentions légales
ou des CGV/CGU doit intégrer les nouvelles exigences du RGPD.

Il faut faire preuve de pédagogie, de transparence et de simplicité. Pour un site web, la politique de
confidentialité apparaîtra en bas de chaque page (footer) et elle expliquera en toute transparence quelle
donnée est collectée pour quel usage, et conservée pendant combien de temps.

IV. Gérer les risques

L’organisme qui sous-traite un traitement de données personnelles doit faire appel uniquement à des sous-traitants
présentant des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles
appropriées de manière à ce que le traitement réponde aux exigences du RGPD et garantisse la protection des
droits des personnes concernées.

Par ailleurs, l’organisme doit mettre en œuvre des mesures techniques et organisationnelles appropriées afin de
garantir un niveau de sécurité adapté au risque.

En cas d’identification d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des
personnes, l’organisme doit effectuer une analyse d’impact avec l’aide du DPO.

1) Privacy by Design

Le concept de Privacy by Design* a pour objectif de garantir que la protection de la vie privée soit intégrée dans
les nouvelles applications technologiques et commerciales dès leur conception. Pour chaque nouvelle application,

06 décembre 2017 9
produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement
devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.

Négliger les questions de Privacy peut avoir des conséquences graves pour les entreprises, comme :

- Des poursuites judiciaires ;

- Des vols de données business ;
- Une perte de parts de marchés ;
- Des dégâts pour l’image de marque.

Au contraire, une prise en compte optimale de ces questions peut améliorer la réputation de la marque, la
confiance des clients et au final leur loyauté.

Le concept de Privacy by Design est étroitement lié à celui Privacy by Default, selon lequel chaque entreprise
traitant des données personnelles doit garantir par défaut le plus haut niveau possible de protection des données.

La promotion de l’utilisation des technologies d’amélioration de la confidentialité, ainsi que la prise en compte du
principe de Privacy by Default pourraient jouer un rôle important dans ce contexte pour responsabiliser encore
davantage les entreprises afin qu’elles mettent en place des politiques et mécanismes efficaces pour assurer le
respect des règles en matière de protection des données.

2) Analyse d’impact

Avant de collecter des données et de mettre en œuvre le traitement, ou sur tout traitement susceptible d’engendrer
des risques élevés pour les droits et libertés des personnes physiques, il sera obligatoire de mener une étude
d’impact sur la protection des données (PIA - Privacy Impact Assessment). Cette PIA permettra de bâtir un
traitement de données personnelles ou un produit respectueux de la vie privée, d’apprécier les impacts sur la vie
privée des personnes concernées et de démontrer que les principes fondamentaux du règlement sont respectés.

L’analyse devra prévoir :

- Une description des opérations de traitements et de ses finalités ;

- Une évaluation de la nécessité et de la proportionnalité du traitement par rapport à ses finalités ;
- Une évaluation des risques pour les droits des personnes concernées ;
- Les mesures envisagées pour faire face aux risques évalués.

3) Nos recommandations

 Auditer tous les contrats avec les sous-traitants et redéfinir au besoin les obligations de chaque partie au
regard des indications de l’article 28 du RGPD : c’est un point essentiel ;
 Mettre en œuvre des mesures de sécurité physiques et informatiques pour tracer chaque action.

*Le Privacy by Design impose à l’entreprise de cerner la finalité du traitement et d’en assurer sa protection dès la phase de
conception.

06 décembre 2017 10
 V. Organiser les processus internes

L’organisme doit informer les personnes dont les données sont collectées de façon concise, transparente,
compréhensible, en des termes clairs et simples. L’organisme doit faciliter l’exercice des droits des personnes
concernées et y répondre dans un délai d’un mois (éventuellement prolongeable).

En cas de violation de données à caractère personnel, l’organisme doit la notifier à la CNIL dans les 72h à la
personne concernée dans les meilleurs délais.

1) Nos recommandations
 Sensibiliser l’ensemble des salariés de l’organisme aux règles du RGPD ;
 Prévoir un processus interne de gestion de l’exercice des droits par les personnes dont les données sont
collectées (vérifier l’identité de la personne, vérifier si la demande est légitime, mettre en place la
réponse appropriée à la demande). Faire attention notamment au droit à la portabilité car les données
doivent être transférées dans un format structuré, couramment utilisé et lisible par machine ;
 Prévoir que le DPO sera associé dès l’origine à tout projet pouvant mettre en œuvre des traitements de
données personnelles pour qu’il puisse préconiser les mesures adaptées au respect les règles ;
 Prévoir un processus interne en cas de violation des données car le délai de notification est très court ;
 Le DPO doit être connu de tous et facilement joignable, idéalement 24/7.

VI. Documenter la confor mité

Les anciennes formalités administratives sont remplacées par une obligation des organismes de documenter leur
conformité au RGPD. L’organisme doit en effet être en mesure de démontrer qu’un traitement est effectué
conformément au RGPD.

L’organisme doit tenir un registre des traitements comprenant le nom et les coordonnées du responsable et du
DPO, les finalités, les catégories de personnes concernées et des catégories de données à caractère personnel,
les destinataires des données, les transferts éventuels vers des pays tiers, la durée de conservation des données
et les mesures techniques et organisationnelles mises en place pour la sécurité des données.

Les contrats avec les sous-traitants de traitements de données à caractère personnel doivent prévoir précisément
les droits et obligations de chaque partie, et notamment celles mises à la charge du sous-traitant (art. 28).

1) Transferts hors-UE

Les transferts de données à caractère personnel ne peuvent avoir lieu que dans les cas prévus par le RGPD :
- Décision d’adéquation lorsque la Commission a décidé qu’un pays assure un niveau de protection
adéquat ;
- Lorsque des garanties appropriées ont été prévues (par exemple, en cas de règles d’entreprises
contraignantes, ou de signature de clauses types de protection des données approuvées par la
Commission) ;
- Lorsqu’il existe un instrument juridiquement contraignant.

2) Contrôle et sanctions

En France, le rôle d’autorité de contrôle revient à la CNIL.

06 décembre 2017 11
Elle pourra sanctionner les organismes à un maximum de 20 millions d’euros ou 4% du chiffre d’affaire mondial
consolidé (le plus élevé des deux étant retenu).

Les sanctions les plus lourdes seront très probablement dirigées vers les entreprises très négligentes ou qui auraient
cachés des violations graves du Règlement. Il ne fait néanmoins aucun doute que la CNIL sanctionnera tous les
manquements, quel que soit leur gravité. Elle est résolument engagée dans la protection des données personnelles.
Implorer la clémence sera vain et ne constituera qu’une pure perte de temps.

3) Nos recommandations

 Mettre en place une trame de registre des traitements à compléter, pour chaque traitement, par le DPO
avec l’aide des personnes concernées dans l’organisme ;
 Vérifier pour chaque transfert de données à caractère personnel hors de l’Union Européenne s’il existe
une base pour justifier ce transfert et l’indiquer pour le traitement considéré ;
 Tenir une base de tous les contrats avec les sous-traitants de traitements de données à caractère
personnel ;
 Tenir une documentation des processus internes mis en place à l’étape 5 et vérifier régulièrement leur
effectivité ;
 S’engager dans une démarche de contrôle continu.

Conclusion

Le RGPD constitue un bouleversement des règles applicables aux données personnelles et, plus largement à toutes
les catégories de données.

La mise en œuvre des règles imposées par le RGPD doit être appréhendée comme un projet qui nécessite
l’intervention de différents services des entreprises (juridique, RSI, RSSI…) ou de consultants externes si les
ressources internes sont insuffisantes.

Nous sommes à votre disposition pour vous accompagner dans la mise en œuvre de ce projet et pour répondre à
vos problématiques spécifiques en fonction de votre secteur.

06 décembre 2017 12