fbpx

RGPD

analyse d'impact protection des données

Audit RGPD & AIPD : objectifs et différences ?

Audit RGPD & AIPD : objectifs et différences ? 1260 840 jeremy

Analyse d’impact protection des données personnelles et audit RGPD, quels différences, quels objectifs …

Objectifs et différences : analyse d’impact protection des données personnelles et audits RGPD

Selon les recommandations de la CNIL, une fois que le délégué à la protection des données a été désigné, l’étape suivante est de cartographier les traitements de données personnelles. Ensuite, il convient de gérer les risques potentiels via la conduite d’analyse d’impact relative à la protection des données – AIPD, pour les traitements ayant été identifiés à risques pour les droits et libertés des personnes concernées. Et beaucoup s’interroge sur la différence entre un audit de conformité RGPD et une AIPD. A travers cet article, nous allons vous expliquer la différence entre les deux sujets et surtout leurs objectifs respectifs.

Les objectifs d’un audit de conformité RGPD ?

Dans une démarche de mise en conformité, le délégué à la protection des données réalise un audit de conformité RGPD. Cela consiste à faire le tour des services afin d’évaluer les actions à mettre en place conformément aux exigences du RGPD. Lors de ce tour des services, le DPO / DPD est amené à rencontrer les différents acteurs en interne. Il pourra ainsi mieux appréhender leur quotidien professionnel.

De cet échange, il en ressort généralement avec une liste des traitements (la cartographie) réalisés dans chacun des services ; les prémices pour rédiger le fameux registre des traitements. Ensuite, le DPO / DPD récupère les documents et formulaires utilisés pour …

  • recueillir des données personnelles ;
  • recueillir les contrats signés avec les sous-traitants – sous-traitants au sens du RGPD ;
  • Identifie les mesures de sécurité en place – techniques et organisationnelles.

Enfin, il conçoit un plan d’actions pour identifier et prioriser les actions à mettre en place, pour se conformer aux obligations du RGPD et de la loi Informatique et Libertés. Effectivement, les priorités sont définies au regard des risques qui pèsent sur les droits et les libertés des personnes.

En résumé, un audit de conformité RGPD permet de faire un état des lieux de l’existant afin de recenser les actions déjà conformes à la réglementation vigueur et celles nécessitant une mise à jour. Parmi les mises à jour identifiées, une analyse d’impact relative à la protection des données – AIPD est quelques fois nécessaire.

Les objectifs d’une analyse d’impact relative à la protection des données – AIPD ?

Pour les traitements présentant des risques élevés, et qui ont été identifiés lors de l’audit RGPD, il est important de s’interroger sur l’utilité de réaliser ou non une AIPD. Afin de clarifier certains traitements courants, la CNIL a publié une liste des traitements nécessitant la réalisation d’une AIPD et la liste des traitements dont la réalisation d’une AIPD n’est pas requise. Les traitements les plus couramment concernés par la conduite d’une AIPD concerne soit un public vulnérable – personnes âgées, mineurs, salariés … soit des données sensibles – santé, appartenance religieuse, données judiciaires …

Cependant, même pour les traitements figurant sur la 2ème liste – AIPD non requise ; nous recommandons vivement de faire à minima une analyse des risques. En effet, une analyse des risques est réalisée en amont de la conduite d’une AIPD ; la raison est que la conclusion d’une analyse des risques peut conduire à la décision qu’une AIPD n’est pas nécessaire. Contrairement à une analyse des risques, la conduite d’une AIPD permet de :

  • Délimiter et décrire le contexte du traitement
  • Analyser et identifier les mesures garantissant le respect des principes fondamentaux
  • Apprécier les risques sur la vie privée
  • Valider (ou non) le traitement, et ainsi autoriser la continuité du traitement

Les conclusions d’une AIPD se basent le niveau gravité et de vraisemblance du risque encourus, au regard des 9 critères issus des lignes directrices du G29. La validation d’une AIPD vient corréler des risques potentiels avec des mesures spécifiques pour garantir la protection des données personnelles.

Mais quand doit-on réaliser une analyse d’impact – AIPD ? La CNIL recommande de réaliser une AIPD avant la mise en œuvre du traitement. Cependant, dans la plupart des situations, le traitement est déjà en place, et l’AIPD est donc réalisée à posteriori. Néanmoins, il est nécessaire de revoir une AIPD de façon régulière. Le traitement peut en effet évoluer en termes d’environnement technique et organisationnel.

En conclusion …

En résumé, un audit de conformité RGPD conduit très souvent à la nécessité de réaliser une analyse d’impact – AIPD sur certains traitements ayant été identifiés à risques pour la vie privée. L’un ne va pas sans l’autre. Mais il est préférable de commencer par un audit de conformité RGPD. Ce-dernier permet d‘avoir une vision globale de la structure et des traitements nécessitant l’utilisation de données à caractère personnel. Ensuite, dans un second temps, la réalisation d’une analyse d’impact – AIPD permet de valider un traitement en ayant identifié les risques potentiels sur la vie privé et en ayant mis en place des actions garantissant la protection des données personnelles.

sensibilisation rgpd

Pourquoi sensibiliser les effectifs à la protection des données

Pourquoi sensibiliser les effectifs à la protection des données 1260 765 jeremy

Optimex Data vous propose des solutions de sensibilisation RPGD ou sensibilisation à la protection des données des équipes.

sensibilisation RGPD

L’une des missions du Délégué à la Protection des Données est la sensibilisation du personnel au RGPD, et surtout aux bonnes pratiques à suivre pour garantir la sécurité, la protection et la confidentialité des données personnelles (Art. 39 du RGPD). Pour cela, la CNIL met en place plusieurs outils pour aider les organismes : des fiches thématiques ou encore le MOOC en ligne. Également, l’ANSSI a mis en place son MOOC sur la sécurité numérique.

Alors, pourquoi est-ce si important de former ses équipes au RGPD ? Et surtout comment le faire de manière efficace avec des résultats probants ?

Pourquoi sensibiliser les équipes au RGPD ?

La sensibilisation à la protection des données est un enjeu majeur pour tous les organismes. Le Délégué à la Protection des Données a beau mettre en place toutes les procédures nécessaires au respect du RGPD, si les salariés ne sont pas au courant de ce qui existe, cela n’a pas de sens. C’est comme installer une porte blindée en laissant les clés dessus. En effet, il est primordial d’impliquer les équipes dans la mise en conformité RGPD de leur structure. Tout le monde est acteur et responsable de la protection des données. CE sont les bonnes pratiques du quotidien qui assureront et garantiront la sécurité des donnée personnelles.

De plus, chaque collaborateur doit connaitre la procédure en cas de demande de droit des personnes, en cas de violations de données, en cas de demande d’un client – prospect – tiers ou bien en cas de contrôle de la CNIL. Pour cela, le Délégué à la Protection des Données se doit de communiquer et d’expliquer la procédure à suivre dans chacune des situations, et surtout le nom des interlocuteurs à contacter en cas de besoin ou de doute.

Enfin, il est important de sensibiliser les utilisateurs sur la sécurité informatique, et l’utilisation des outils numériques pour respecter les exigences du RGPD. Alors, il convient d’expliquer aux équipes comment naviguer sur internet en toute sécurité ; comment sécuriser ses mots de passe ; de quelle manière utiliser ses appareils mobiles en toute sécurité…

Comment sensibiliser les équipes au RGPD ?

Même si les organismes ont bien conscience de l’important de la sensibilisation à la protection des données personnelles, tous ne savent pas forcément comment s’y prendre. A noter, qu’il existe autant de façons de sensibiliser les équipes au RGPD, qu’il existe d’organismes. Chaque structure, en fonction de sa culture d’entreprise ou de son organisation interne, va privilégier une méthode plutôt qu’une autre.

En revanche, nous pouvons regrouper en grandes catégories les façons qui ont été reconnues et approuvées en matière de sensibilisation. La plupart du temps, il est plus efficace d’en réaliser plusieurs en parallèle pour s’assurer de l’impact positif sur l’ensemble des salariés. En effet, voici les différentes manières de sensibiliser les équipes au RGPD : note d’information interne (panneau d’affichage, intranet, e-mail), réunion d’information par service (bonnes pratiques par service), webinar ou e-learning de 30 à 45 minutes, plénière à l’ensemble du personnel, formation pour les responsables de service.

De plus, il est possible de sensibiliser les équipes par des campagnes de phishing, afin de s’assurer que les procédures mises en place soient suivies. Également, certaines structures envoient des e-mails à leur salarié avec la bonne pratique RGPD de la semaine ou du mois, sous format humoristique.

En conclusion …

La sensibilisation à la protection des données auprès des salariés est vraiment spécifique à chaque structure. Il est obligatoire de sensibiliser tout le monde au sujet du RGPD. En revanche, nous sommes libres de choisir la méthode, celle qui correspond le mieux à nos valeurs, à notre organisation et nos modes de communication en interne. Un conseil : soyez créatifs sur le sujet du RGPD, vous marquerez l’esprit de vos équipes !

Une rentrée sans arnaque

Une rentrée sans arnaque 1260 840 jeremy

L’Agence Nationale de la Sécurité des Systèmes d’Informations – ANSSI – fait état d’une recrudescence de fraudes et d’escroqueries, particulièrement en ligne depuis l’épidémie de COVID-19. L’Etat et les autorités de contrôle ont donc créé un groupe de travail national appelé TASK-FORCE de lutte contre les fraudes et les escroqueries.

Afin de limiter et de se prémunir contre la recrudescence de ces fraudes et escroqueries, la TASK-FORCE propose un guide complet afin de faciliter la reprise d’activité des entreprises et des particuliers post-confinement. Il contient notamment des recommandations en matière de phishing, de vol de coordonnées bancaires ou de rançongiciels.

Très récemment, la CNIL a d’ailleurs été informée d’une violation de données concernant plusieurs versions non mises à jour des outils Pulse Secure, utilisés par de nombreuses structures pour la sécurisation des connexions au réseau via la création d’un réseau privé virtuel – VPN. En effet, une personne ayant exploité une vulnérabilité sur des versions non mises à jour des produits Pulse Secure, aurait publié des informations confidentielles sur plus de 900 entreprises – adresses IP de serveurs, clefs privées, liste d’utilisateurs, identifiants et mots de passe notamment – au début du mois d’août sur un forum spécialisé. Les détails de la vulnérabilité ainsi que les mises à jour logicielles ont été publiées par l’ANSSI et l’éditeur Pulse Secure.

Il est donc fortement recommandé par la CNIL mais aussi de manière plus générale de :

  • régulièrement mettre à jour ses logiciels
  • d’utiliser des mots de passe robustes et de les changer régulièrement
  • de réaliser des audits de ses systèmes d’informations.

A ce titre, OPTIMEX DATA a mis en place, dans le cadre de ses missions DPO, des nouveaux outils permettant de vérifier la sécurité de vos systèmes d’informations avec l’aide de ses partenaires, telles que des campagnes de phishing et des scans de vulnérabilité notamment. Ces outils permettent notamment de simuler les attaques de robot et d’analyser les différentes failles de votre système et les risques y afférant. Ils permettent également de sensibiliser le personnel aux risques et plus particulièrement en matière de violation de données.

Attention au PV automatiques …

Attention au PV automatiques … 1260 841 jeremy

Actuellement, de nombreuses collectivités ont mis en place ou souhaiteraient mettre en place un processus automatisé de verbalisation des infractions. Pour cela, certaines Communes ont recours à un dispositif de lecture automatisée des plaques d’immatriculation des véhicules, dit « LAPI ». Il consiste à équiper les véhicules de police municipale de caméras permettant notamment de photographier, en vue rapprochée la plaque d’immatriculation des véhicules en infraction.

La CNIL rappelle que le recours à ce dispositif n’est autorisé que dans le cadre d’un contrôle de stationnement, en cas de non-paiement du forfait de stationnement. En effet, l’arrêté du 14 avril 2009 autorisant la mise en œuvre de traitements automatisés dans les communes ayant pour objet la recherche et la constatation des infractions pénales, ne prévoit pas la collecte et le traitement de « fichiers photographiques ». Les Communes ont donc l’interdiction de recourir à des dispositifs de verbalisation automatisée, consistant à photographier le véhicule et sa plaque d’immatriculation en vue de constater une infraction.

La CNIL a, à ce sujet, déjà prononcé 4 mises en demeure à l’encontre de Communes utilisant ce dispositif et invitent les collectivités à utiliser d’autres outils, en l’absence d’une modification de cet arrêté.

Pour plus d’informations concernant les recommandations de la CNIL sur le sujet, vous pouvez consulter directement le site de la CNIL en cliquant ici.

Les Nouvelles Sanctions de la CNIL

Les Nouvelles Sanctions de la CNIL 1260 840 jeremy

La CNIL a prononcé récemment de nouvelles sanctions dans le courant du mois d’août, à l’encontre d’entités diverses.

Ce mois d’août est marqué par une toute nouvelle décision de la CNIL, réalisée en coopération avec d’autres autorités de contrôle européennes et par un durcissement de la règlementation en matière de contrôle des horaires des employés.

SPARTOO : Sanction de 250 000 euros d’amende et injonction sous astreinte de se conformer au RGPD

La société SPARTOO, société de vente de chaussures en ligne, disposant d’un site web accessible dans 13 pays de l’UE a été sanctionnée par la CNIL, dans une décision du 28 juillet 2020, pour différents manquements au RGPD concernant les données des clients, prospects et salariés en raison notamment du nombre de manquements et du nombre de personnes concernées :

  • Un manquement au principe de minimisation des données 

La CNIL a considéré que l’enregistrement intégral et permanent de l’ensemble des appels téléphoniques reçus était « excessif » par rapport à la finalité du traitement, tout comme l’enregistrement et la conservation des coordonnées bancaires des clients, lors de commandes réalisées par téléphone. Elle estime donc que les données collectées ne sont pas nécessaires à la finalité du traitement réalisé.

  • Un manquement à l’obligation de limitation de la durée de conservation des données

Aucune durée de conservation des données clients et prospects n’était mise en place par la Société SPARTOO qui conservait un nombre important de données d’anciens clients selon la CNIL.

  • Un manquement à l’obligation d’information des personnes

Selon la CNIL, les informations fournies par la Politique de confidentialité des données, en ligne sur le site internet n’était pas conforme avec les obligations du RGPD notamment concernant la base légale. En effet, SPARTOO avait indiqué comme seule base légale, le consentement alors que certains traitements étaient nécessaires à l’exécution d’un contrat ou relevaient de l’intérêt légitime de la Société.

De même, la CNIL considère que les salariés n’étaient pas suffisamment informés de l’enregistrement des appels téléphoniques passés par les clients.

  • Un manquement à l’obligation de sécurité des données

La CNIL relève que les mots de passe d’accès aux comptes clients n’étaient pas suffisamment robustes et que la conservation « en clair » des numérisations de carte bancaire, ne permettait « pas de garantir la sécurité des données bancaires des clients ».

Badgeuses photo : mise en demeure de plusieurs employeurs

La CNIL a réalisé 4 contrôles suite aux plaintes de plusieurs agents publics et salariés concernant le système de badgeuse mise en place sur leur lieu de travail par leur employeur. En effet, ce dispositif de contrôle d’accès par badge réalise une prise de photo systématique de l’employé à chaque pointage de celui-ci.

Selon la Commission, l’utilisation de ce type de dispositif est excessive au regard de la finalité du traitement visée. Elle considère donc qu’il contrevient au principe de minimisation et met en demeure les organismes concernés de se conformer aux exigences du RGPD en matière de dispositif de contrôle des horaires, dans un délai de 3 mois.

Pour en savoir plus concernant les mises en demeure prononcées par la CNIL, vous pouvez consulter le site de la CNIL en cliquant ici

Privacy Shield … la suite ?

Privacy Shield … la suite ? 1260 840 jeremy

À la suite de l’invalidation du Privacy Shield par la Cour de justice de l’Union Européenne – affaire « Schrems II » – dans une décision du 16 juillet 2020, de nombreuses questions se posent quant aux conséquences de cette décision. En effet, la CJUE a considéré que la législation américaine, permettant aux autorités publiques d’avoir accès sans limitation aux données personnelles transférées de l’UE vers les Etats-Unis, à des fins de sécurité nationale, portait atteinte aux « droits fondamentaux » des personnes.

De ce fait, de nombreuses interrogations se posent en cas de transfert direct de données vers les Etats-Unis ou lorsqu’un de nos sous-traitants transfère les données dont nous sommes responsables, en tant que Responsable de traitement, vers les Etats-Unis. Le Comité Européen de la Protection des Données – CEPD – à répondu à certaines de ces interrogations le 23 juillet 2020.

Y a-t-il un délai pendant lequel les transferts restent possibles ?

NON, les transferts de données réalisés sur la base du Privacy Shield sont considérés comme illégaux à compter du 16 juillet 2020 et doivent être arrêtés sans délais. A ce titre, Max SCHREMS a récemment déposé plainte contre 101 sites web appartenant à des entreprises dans 30 Etats membres dont la France, tels que Le Huffigton Post, Leroy Merlin, Decathlon, Free Mobile, Auchan ou encore Sephora qui continueraient à transférer des données vers les Etats-Unis, via Google et Facebook depuis l’arrêt de la CJUE – source : https://www.zataz.com/six-societes-francaises-poursuivi-en-justice-pour-envoyer-des-donnees-aux-usa/ ).

Peut-on utiliser d’autres outils de transferts, prévus par le RGPD pour transférer des données vers les Etats-Unis ?

L’article 46 du RGPD prévoit d’autres bases légales que le Privacy Shield permettant de réaliser des transferts de données en dehors de l’UE. C’est notamment le cas des Clauses Contractuelles Types – CCT – ou des Règles d’Entreprise Contraignantes – dites « BCR ».

Le CEPD considère que, les CCT ou les BCR, en tant qu’outil conçu pour apporter des garanties en matière de protection des données, verront primer la loi américaine sur elles, au même titre que le Privacy Shield. Selon lui, les CCT ou les BCR ne peuvent donc, à elles seules, suffirent pour réaliser des transferts de données vers les Etats-Unis.  En effet, le Comité estime qu’il conviendra d’analyser « au cas par cas » les circonstances du transfert ainsi que d’éventuelles mesures supplémentaires afin d’évaluer si la législation américaine ne compromet pas le niveau de protection garantit par les clauses – CCT ou BCR – et les mesures supplémentaires.

Existe-il des dérogations permettant de transférer des données aux Etats-Unis, en l’absence des garanties prévues par l’article 45 et 46 du RGPD ?

OUI, un certain nombre de dérogations à la réalisation de transferts de données en dehors de l’UE sont prévus par l’article 49 du RGPD. C’est le cas lorsque :

  • la personne a expressément consenti à ce transfert
  • le transfert est nécessaire à l’exécution d’un contrat et est occasionnel
  • le transfert est nécessaire pour des raisons d’intérêt public selon la législation de l’UE ou d’un Etat-membre.

Le CEPD a considéré que ces dérogations étaient toujours applicables en cas de transfert de données vers les Etats-Unis.

Le Comité complétera au fur et à mesure son analyse et mettra à jour ces recommandations en la matière.

Une nouvelle version de l’outil de PIA pour la réalisation des analyses d’impact

Une nouvelle version de l’outil de PIA pour la réalisation des analyses d’impact 960 640 jeremy

Deux ans après l’entrée en application du RGPD, les analyses d’impact sur la vie privée se sont multipliées au sein des organismes.

A titre de rappel, l’analyse d’impact est obligatoire à partir du moment où le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». En effet, soit le traitement envisagé figure dans la liste des types d’opérations de traitement pour lesquelles la CNIL a estimé obligatoire de réaliser une analyse d’impact relative à la protection des données (ex. traitement de données de localisation à large échelle) soit le traitement remplit au moins deux des neuf critères issus des lignes directrices du G29 tels que : la surveillance automatique, la collecte de données sensibles, la collecte de données concernant des personnes vulnérables, etc…

En revanche, la PIA n’est pas nécessaire lorsque le traitement figure dans la liste des exceptions adoptée par la CNIL (ex. traitement mis en œuvre uniquement à des fins de ressources humaines), lorsque le traitement ne présente pas de risque élevé pour les droits et libertés des personnes ou encore lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.

La CNIL a mis à la disposition des responsables de traitement et leur délégué à la protection des données, un logiciel de PIA pour faciliter la conduite et la formalisation des analyses d’impact telles que prévues par le RGPD.

Cet outil, dans sa version 2.3, s’est enrichi de nouvelles fonctionnalités afin de faciliter la gestion des analyses d’impact et ainsi permettre au responsable de traitement un suivi de l’évolution d’une analyse. Quelques nouveautés :

  • Possibilité de faire des recherches par mots clés pour filtrer les analyses d’impact
  • Possibilité d’archiver les analyses d’impact
  • Possibilité de créer plusieurs versions d’analyse d’impact
  • Possibilité de catégoriser les analyses d’impact
  • Amélioration du pourcentage d’avancement au niveau des analyses d’impact
  • Elargissement des langues notamment avec 20 langues disponibles : allemand, espagnol, anglais, etc…
  • Harmonisation de l’interface graphique
  • Mise à jour des bibliothèques de développement

Rapport d’activité 2019 : rappel des temps forts et enjeux à venir

Rapport d’activité 2019 : rappel des temps forts et enjeux à venir 960 640 jeremy

Cette année encore, la CNIL revient sur les temps forts de 2019 et les grands enjeux à venir. Avec ce nouveau rapport d’activité, la CNIL constate des chiffres inédits preuve d’une grande mobilisation des citoyens face aux enjeux de la protection des données.

Cette année aura également été marquée par une sanction record à l’encontre du géant américain Google (50 millions d’euros, sanction confirmée par le Conseil d’Etat) traduisant la mise en place effective des nouveaux plafonds de sanctions prévus par le Règlement.

Le bilan d’activité en quelques chiffres :

8 sanctions ont été prononcées en 2019, dont :

  • 7 amendes d’un montant total de 51 370 000 euros comprenant la plus forte amende prononcée à ce jour par une autorité de protection des données en Europe ;
  • 5 injonctions sous astreinte
  • 42 mises en demeure

Les sanctions concernaient les points suivants : atteintes à la sécurité des données personnelles ; manquements à l’obligation d’information des personnes ; manquements liés aux durées de conservations des données.

A côté de ces chiffres, la CNIL rappelle les enjeux 2020 :

Une recommandation sur les cookies et autres traceurs

La CNIL a proposé un plan d’action le 28 juin 2019 qui se poursuit en 2020. Ce plan d’action a deux objectifs : répondre aux plaintes individuelles et collectives et accompagner les professionnels du secteur du marketing dans leur mise en conformité par rapport aux obligations du RGPD.

Participer aux expérimentations sur la reconnaissance faciale

La reconnaissance faciale est devenue, depuis quelques années, une inquiétude pour les citoyens. Face au développement des portiques de reconnaissances faciale (Nice, Marseille), la CNIL a publié ses objectifs :

  • Présenter techniquement la reconnaissance faciale, et surtout, la diversité des usages possibles ;
  • Mettre en lumière les risques ;
  • Rappeler le cadre s’imposant aux dispositifs pour respecter les droits des personnes ;
  • Préciser le rôle de la CNIL dans les futurs expérimentations ou déploiements de dispositifs de reconnaissance faciale.
Mobiliser face au Coronavirus (COVID-19) :

La CNIL reste également mobilisée face à la pandémie puisqu’elle a publié de nombreux contenus à destination des professionnels mais également des particuliers. Elle s’est mobilisée pour instruire en priorité, dans des délais brefs, les demandes d’autorisation de projets de recherche portant sur le COVID-19, lorsque les traitements ne sont pas conformes aux méthodologies et référence déjà adoptées.

budget dpo

Quel est le coût du RGPD ?

Quel est le coût du RGPD ? 1260 840 jeremy

Avec la mise en conformité au RGPD, quel Budget DPO pour l’organisme ?

budget dpo et rgpd

Le Règlement Général sur la Protection des Données – RGPD – fait beaucoup parler depuis 2018. Les organismes veulent bien se mettre en conformité, mais à quel prix ? Encore une nouvelle obligation qui va générer des dépenses non prévues dans les budgets prévisionnels. Pour éviter de naviguer à vue, voici une liste des postes à anticiper pour la mise en conformité RGPD.

La formation du personnel

La première étape dans la mise en conformité est le coût lié à la formation des salariés pour les sensibiliser aux enjeux de cette nouvelle obligation, aux bonnes pratiques à adopter dans leur quotidien professionnel, et aussi l’importance de respecter les process mis en place.

La sensibilisation peut s’articuler sous différents formats : e-learning avec des sessions de 20 à 30 minutes – plateforme de Digital Learning standard ou personnalisée, des sessions en présentiel animées par le Délégué à la Protection des Données – DPD / DPO – ou un formateur externe, des livres blancs, des notes internes … En fonction du format choisi, les prix sont très aléatoires.

En plus de la sensibilisation du personnel, il faut prévoir une formation plus pointue pour le Délégué à la Protection des Données ou le Référent RGPD en interne de l’organisme. Les formations les plus courantes varient de 3 à 5 jours, pour un budget de 1 500 € à plus de 3 000 € pour les formations préparant à la certification du DPO.

L’audit de conformité RGPD

Lors du lancement du projet de mise en conformité RGPD d’un organisme, il est important de faire un état de lieux de l’existant. Cela consiste à faire le tour des services afin d’identifier tous les traitements réalisés par service. A l’issu de cet audit, l’organisme est en mesure de mettre en place une cartographie des traitements, pour faciliter la rédaction du registre des traitements.

Également, l’objectif de l’audit de conformité est de préparer un plan d’actions correctives afin d’estimer le budget RGPD correspondant, en fonction des conclusions. En règle générale, un audit de conformité RGPD varie de 2 à 10 jours homme en fonction de la taille de l’organisme. Ce temps englobe les temps d’échange sur site, l’analyse par les consultants RGPD ou le DPD / DPO interne, la mise en place du plan d’actions et la réalisation de la cartographie des traitements.

En plus du coût de prestation de l’audit, il faut ajouter au budget RGPD des coûts cachés comme le temps passé par les salariés lors des échanges sur site.

La mise en place du plan d’actions

En fonction des priorités identifiées sur le plan d’actions suite à l’audit de conformité RGPD, le temps alloué à cette étape, et donc le budget RGPD afférent, est beaucoup plus délicat à estimer. En effet, certains organismes sont plus avancés que d’autres, et nécessitent moins d’ajustements. A contrario, d’autres structures peuvent avoir un panorama de mise en conformité beaucoup plus large.

Les correctifs peuvent concerner la mise à jour des documents contractuels. Cela peut nécessiter la consultation d’un cabinet d’avocat, dont le cout horaire peut varier de 100 à 300 € de l’heure en fonction de la zone géographique.

Les correctifs peuvent concerner un renforcement de la sécurité des systèmes d’information. Cela peut nécessiter l’intervention d’un prestataire spécialité en cybersécurité ou votre prestataire informatique, dont le coût jour varie de 600 à 900 €, en fonction de la thématique abordée. En plus, il est parfois primordial de mettre à jour des logiciels ou de revoir l’intégration des systèmes d’information.

Les correctifs peuvent concerner la mise en place de procédures RGPD, de documentations spécifiques, de vérification de la conformité des sous-traitant, de la réalisation d’une analyse d’impact ou autres. Cela peut nécessiter l’intervention d’un consultant RGPD ou d’un DPO externe, dont le coût jour varie de 750 à 950 €.

Enfin, il faut prendre en compte également la mobilisation du personnel qui devra relire et valider tous les livrables de vos conseils. Et cette variable dépend de la masse salariale des collaborateurs mobilisés.

La veille et le maintien de la conformité RGPD

Et comme la conformité RGPD n’est pas une fin en soi. Aucune structure ne peut prétendre être 100% conforme RGPD. Donc, il est très important de réaliser une veille juridique en continue et de s’assurer du maintien de la conformité, et de prévoir cette ligne dans son budget RGPD.

Cette dernière étape est souvent la dernière roue du carrosse, par manque de temps ou manque d’expertise. C’est pourquoi, il est souvent préférable de se faire accompagner par une agence spécialisée dans le domaine de la protection des données … comme on se fait accompagner par un expert-comptable ou un avocat en droit social.

La position du Conseil d’État concernant les lignes directrices de la CNIL en matière de cookies et autres traceurs

La position du Conseil d’État concernant les lignes directrices de la CNIL en matière de cookies et autres traceurs 960 640 jeremy

Lors de notre dernière newsletter, nous vous avions fait part des nouvelles recommandations de la CNIL en matière de cookies et autres traceurs.  En effet, la CNIL avait publié ses lignes directrices début juillet pour encadrer le dépôt et la lecture des cookies et autres traceurs lorsque l’internaute se rend sur un site internet.

Le 19 juin 2020, le Conseil d’Etat a validé pour l’essentiel les lignes directrices relatives aux cookies et traceurs adoptées par la CNIL le 4 juillet 2019. L’objectif de ces lignes directrices était d’encadrer juridiquement l’utilisation des cookies et traceurs afin de garantir aux utilisateurs la maitrise de leurs données personnelles.

Toutefois, une pratique a été formellement annulée par le Conseil d’Etat, à savoir le « Cookies Walls ». Les cookie walls sont utilisés par les sites web pour refuser l’accès aux utilisateurs s’ils ne consentent pas à tous les cookies et traceurs présents sur ce site.

Les lignes directrices validées par le Conseil d’Etat

Lors de sa décision, le Conseil d’Etat a validé l’essentiel des interprétations ou recommandations contenues dans les lignes directrices à savoir :

  • Toute personne doit pouvoir refuser de donner son consentement aussi facilement que de l’accorder;
  • Toute personne doit pouvoir retirer son consentement aussi facilement qu’elle ne l’a donné ;
  • Tout consentement doit être donné pour une finalité déterminée ce qui implique une information spécifique pour chaque finalité envisagée ;
  • Toute personne doit être informée de l’identité du/des responsable(s) de traitement qui effectue(nt) le dépôt des cookies
  • Tout responsable de traitement doit être en mesure de démontrer que le consentement recueillis est valide

La censure du Conseil d’Etat

Le Conseil d’Etat a pris la décision de censurer un alinéa par lequel la CNIL estimait qu’un internaute ne devait pas subir d’inconvénients majeurs en cas d’absence ou de retrait du consentement. La CNIL avait précisé dans ses recommandations que l’accès au site internet ne pouvait jamais être interdit si l’utilisateur n’accepte pas les cookies.

Pour prendre une telle décision, la CNIL s’était basée sur la position du CEPD (Comité Européen de Protection des Données personnelles).

Le Conseil d’Etat estime qu’en déduisant cette interdiction générale du RGPD, la CNIL a été au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices.

Et maintenant ?

Pour conclure, et suite à la décision du Conseil d’Etat, les lignes directrices seront ajustées afin de prendre en considération les différents points apportés par le Conseil d’Etat et ainsi être conforme.

Pour rappel, les modalités de recueil du consentement aux cookies seront précisées dans une future recommandation de la CNIL, qui a fait l’objet d’une consultation publique.

L’ajustement des lignes directrices et l’adoption de cette recommandation doit intervenir après la rentrée de septembre 2020.