Vous avez manqué notre webinaire sur les impacts sur RGPD ? Vous trouverez ci dessous un résumé de notre présentation.

Qu’est -ce que le RGPD ?

Les principaux objectifs du RGPD

Les trois principaux objectifs du RGPD sont :

• Renforcer le droit des personnes physiques  : la protection des personnes physiques à l’égard du traitement des données personnelles est un droit fondamental.
• Responsabiliser les acteurs traitants des données : les responsables des traitements sont soumis à des règles plus strictes.
• Renforcer les contrôles et les sanctions : le RGPD permet une coopération renforcée entre les pays.

Les notions essentielles du RGPD

Données à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Traitement

Toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification.

Données sensibles

Données qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou sont relatives à la santé ou à la vie sexuelle de celles-ci.

Les grands principes du RGPD

La licéité et la loyauté

Les données doivent être traitées de façon licite, loyale, et transparente.

La limitation des finalités

Les données sont collectées pour des finalités déterminées, explicites et légitimes.

La pertinence des données

Seules les données nécessaires à la réalisation de la finalité peuvent être traitées.

L’exactitude des données

Les données doivent être exactes, et régulièrement mises à jour.

La conservation limitée des données

Une fois la finalité atteinte, les données ne doivent pas être conservées.

La sécurité des données

Les données doivent être protégées contre le traitement illicite, la perte et la destruction

Les impacts du RGPD sur l'organisation de l'entreprise

Le responsable du traitement

Le rôle du responsable du traitement Le responsable du traitement est la personne physique ou morale qui détermine les finalités et les moyens du traitement. En cas de non respect du RGPD, c’est le responsable du traitement qui est responsable devant la loi. Le RGPD précise : « Le responsable du traitement et le sous-traitant ainsi que, le cas échéant, leurs représentants, coopèrent avec l'autorité de contrôle, à la demande de celle-ci, dans l'exécution de ses missions ».

Le DPO

La nomination d’un DPO (délégué à la protection des données) est obligatoire si :

• Le traitement est effectué par une autorité publique ou un organisme public,
• Les activités de base du responsable du traitement ou du sous-traitant exigent un suivi régulier et systématique à grande échelle des personnes concernées,
• Les organismes dont les activités de base les amènent à traiter à grande échelle des données sensibles,
• Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle,
• Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées,
• Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article.

Le registre des activités de traitement

Analyser les traitements et réaliser une documentation interne

Les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales. L’analyse contient au minimum :

• Les coordonnées du responsable de traitement et du DPO,
• Les finalités du traitement,
• Une description des catégories des personnes concernées et des traitements de données envisagés,
• Les catégories de destinataires auxquelles les données à caractère personnel ont été ou seront communiquées.

Les sous-traitants ont également l’obligation de tenir un registre.

L’analyse d’impact

L’analyse d’impact est une analyse visant à mesurer l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

L’analyse d’impact est effectuée par le responsable du traitement lorsqu’un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques.

La formation des collaborateurs

Les collaborateurs manipulant des données à caractère personnel doivent être sensibilisés et formés aux bonnes pratiques et aux règles principales du RGPD.

Le respect du consentement

Le RGPD vient renforcer la notion de consentement et précise qu'il n'est pas possible de traiter des données personnelles sans le consentement de la personne concernée.

• Le consentement est donné par un acte positif et clair 
• Le responsable de traitement doit être en mesure de prouver le consentement,
• Le consentement peut être retiré à tout moment,
• Il est aussi facile de donner que de retirer son consentement,
• Le consentement est donné pour une finalité précise.

Des exceptions et des différences B2b/b2c existent, je vous invite à lire cet article de la CNIL à ce sujet.

La protection des données

Collecter des données légalement n’est pas suffisant. Il faut aussi vous assurer que ces données sont en sécurité. Les données doivent être conservées de manière à ne pas permettre l’identification de la personne concernée au-delà du temps nécessaire.

Le choix des sous-traitants

Le responsable du traitement peut sous-traiter les traitements si :

• Les sous-traitants présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du RGPD,
• L’accès des données aux sous-traitant est tracé,
• Un contrat définit l’objet, la durée, et la finalité du traitement.

Communiquer

Toute personne concernée par un traitement de données à caractère personnel à le droit d’obtenir ses données, gratuitement, sous 1 mois. Les personnes concernées doivent également être informées lorsque :

• La finalité du traitement change,
• En cas de faille sécuritaire,
• Lorsque les données sont obtenues par un tiers.

Vous devez aussi mettre à disposition une documentation claire, intelligible et aisément accessible à toutes les personnes concernées par le traitement des données.

 

Le RGPD et les logiciels CRM

Sécurité générale

Si vous gérez l’hébergement des données, la première chose à faire est de vérifier la sécurité générale du bâtiment dans lequel sont hébergées les données. Vous pouvez par exemple limiter les accès par une alarme anti-intrusion et un système de badge.

Il faut aussi sauvegarder les données fréquemment et à intervalle régulier. Pour que la sauvegarde ait un intérêt, il est préférable de protéger les sauvegardes en les stockant dans des lieux séparés.

Il est également conseillé de tester régulièrement la restauration des sauvegardes.

Protéger les données du CRM

En plus des mesures de sécurité générale des postes de travail et des serveurs avec des pare feu, antivirus etc, il faut également prendre des mesures spécifiques aux logiciels CRM.

Il faut également prendre des mesures spécifiques à votre outil CRM. Vous pourrez par exemple :

Masquer les données à caractère personnel

Le RGPD vous impose de masquer les données personnelles aux utilisateurs du logiciel CRM qui n’en ont pas besoin. Les données de vos clients et prospects ne doivent être accessibles que par les collaborateurs qui en ont besoin pour travailler. La plupart des logiciels CRM ont une option de gestion des droits qui permet de masquer des données à des catégories d’utilisateurs. 

Protéger les comptes avec des mots de passe forts

Le RGPD impose également de protéger les accès aux bases de données par des mots de passe forts. Il faudra dorénavant 8 caractères, et 3 jeux de caractères différents (mélange lettre, chiffre, caractère spéciaux). Ces mots de passe doivent être renouvelés régulièrement.

Bloquer temporairement les accès en cas de tentative de connexion suspecte

Après plusieurs tentatives de connexion infructueuses, il est conseillé d’alerter le responsable de la sécurité informatique et de bloquer le compte.

Supprimer les droits après un départ

Lorsqu’un salarié quitte ses fonctions, ses droits d’accès doivent être immédiatement supprimés.

Encadrer les opérations de maintenance

Les opérations de maintenance doivent être enregistrées dans une main courante et encadrées par un responsable en interne lorsqu’elles sont effectuées par un prestataire.

Tracer les accès au loiciel CRM

Pour identifier un accès frauduleux ou une utilisation abusive de données personnelles, il est nécessaire de tracer l’accès aux données. Pour cela :

• Enregistrez dans des logs l’activité des utilisateurs. Ces logs doivent contenir au minium la date et l’heure des activités de connexion et déconnexion. Dans certains cas, il peut être nécessaire de conserver également le détail des actions effectuées par l’utilisateur, les types de données consultées et la référence de l’enregistrement concerné. Les utilisateurs doivent être prévenus de la mise en place de ce système.
• Interdisez les comptes partagés qui ne permettent pas d’identifier les utilisateurs (ou trouvez une alternative pour tracer les utilisateurs).

Sécuriser les échanges de données

Nous avons vu comment protéger les données dans un logiciel CRM,  mais parfois vous serez amené à partager des données hors de l’outil CRM. Les transferts de données sont possibles :

• Avec les mesures de sécurités adéquates,
• Au sein de l’espace économique européen,
• En dehors de l’espace économique européen si le pays est reconnu par la Commission Européenne comme offrant une protection adéquate.

C’est également à vous de vérifier, dans la mesure du possible, que le destinataire respecte les lois.

Dans le guide La sécurité des données personnelles, la CNIL nous rappelle que la messagerie électronique seule n’est pas un moyen de communication sûr. Pour assurer la confidentialité des données, il convient d’envoyer les données chiffrées et la clé de chiffrement par des canaux distincts (ex : fichier chiffré par email et clé par sms).

Garantir le droit à l’oubli et à la portabilité des données

Le RGPD insiste sur le droit à l’oubli et à la portabilité des données.

Les données à caractère personnel doivent être supprimées : 

• Sur demande de la personne concernée : "La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant", extrait de l’article 17 du RGPD.
• Lorsque la durée de conservation est dépassée : les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de l’objectif qui était poursuivi lors de leur collecte.

Vous devez également être en mesure de fournir aux personnes qui le souhaitent un fichier avec leurs données personnelles. Ce fichier doit être dans un format lisible par ordinateur, et couramment utilisé.

"Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle", extrait de l’article 20 du RGPD.

Ce qu’il faut retenir de ce point, c’est que les données que vous traitez ne vous appartiennent pas.

Minimiser les données

Au-delà de la protection des données, le RGPD vise à limiter les quantités de données traitées. A l’installation de votre logiciel CRM, vous pouvez par exemple supprimer les champs dont vous n’avez pas besoin pour éviter de stocker des informations superflues.