RGPD : le registre des activités de traitement
En 2020 une augmentation de 255% des cyberattaques a été relevée par rapport à 2019 (ANSSI). Elles touchent de plus en plus les TPE et PME, leurs systèmes étant souvent perfectibles. A ce jour, n’importe quelle entreprise qui est victime d’une cyberattaque est immédiatement paralysée. Les rançons réclamées par les hackers sont en moyenne de 20 000 €.
La mise en conformité RGPD permet de protéger les données personnelles des entreprises contre une perte, un vol ou un piratage de ses données. Le socle en est les registres de traitement.
Une mise en conformité RGPD permet aux entreprises de réaliser un audit exhaustif sur tous les sujets qui touchent aux données personnelles et à toutes les données de façon générale.
• Répondre à l’obligation légale en cas de contrôle de la CNIL
• Rassurer les clients et sous-traitants concernant la protection des données qu’ils traitent pour leur
compte.
• Prévenir les failles informatiques afin d’éviter une cyberattaque.
De quoi parle t on exactement ? Données personnelles ? Registres de traitement ? Responsables de traitement ?
Repassons ensemble les principales notions avant d’aller plus loin …
La loi Informatique et Libertés et le RGPD s’appliquent à tout traitement de données personnelles mis en œuvre par un responsable de traitement ou un sous-traitant.
Une brève définition de chacun de ces termes est proposée ci-après afin de vous permettre d’avoir une bonne compréhension de vos droits et obligations dans le cadre d’un contrôle effectué par la CNIL.
Qu’est-ce qu’une donnée personnelle ?
Il s’agit de toute information qui permet d’identifier une personne de manière directe (exemples : un nom et un prénom) ou indirecte (exemples : un numéro de sécurité sociale, une adresse de domicile, une image renvoyée par un dispositif de vidéosurveillance, etc.).
Qu’est-ce qu’un traitement de données personnelles ?
Un traitement de données personnelles correspond à toute opération ou tout ensemble d’opérations portant sur de telles données, que le procédé utilisé soit automatisé ou non, et indépendamment du nombre de données traitées. Le traitement est ainsi constitué, par exemple, par la collecte, l’enregistrement, l’organisation, la conservation, la modification, l’extraction, la consultation, l’utilisation, la communication, le rapprochement ou bien encore l’effacement de données.
Qu’est-ce qu’un responsable de traitement ?
Le responsable d’un traitement de données personnelles est la personne, l’autorité publique, le service ou encore l’organisme qui, seul ou avec d’autres, détermine les finalités et les moyens du traitement. Par exemple, une société ou un organisme public sont responsables du traitement de gestion de leurs ressources
humaines, dès lors qu’ils en définissent la finalité (gestion du personnel, de la carrière, de la formation, etc.) et les moyens (mise en œuvre d’outils dédiés à ces finalités, par exemple).
Qu’est-ce qu’un sous-traitant ?
C’est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données personnelles pour le compte du responsable du traitement.
En quoi consiste la mise en conformité RGPD ?
Plusieurs actions précises doivent être réalisées, à commencer par la mise en place des « Registres des activités de traitements », ils sont la base, le socle et permettent de mettre en application les préconisations juridiques et techniques de la CNIL.
Pour chaque ensemble d’opérations traitant des données personnelles, différents registres doivent être réalisés (clients, sous-traitants, salariés, site internet, géolocalisation, vidéosurveillance, badges, etc…). Ces registres consistent à cartographier les activités principales de l’entreprise qui nécessitent la collecte et le traitement de données.
La mise en conformité RGPD permet de protéger les données personnelles des entreprises contre une perte, un vol ou un piratage de ses données.
Quels seront les points particulièrement contrôlés par la CNIL ?
L’objectif des missions de contrôle est de vérifier que les données sont traitées par l’organisme en conformité avec la loi Informatique et Libertés et le RGPD et notamment :
– de s’assurer que le traitement mis en œuvre ne porte pas atteinte aux droits et libertés des personnes dont les données personnelles sont traitées ;
– de s’assurer que les organismes répondent au principe de responsabilisation (« accountability ») impliquant notamment la mise en place d’un registre recensant les traitements mis en œuvre et en ayant effectué, lorsque c’est nécessaire, une analyse d’impact relative à la protection des données.
Lors d’un contrôle, la CNIL s’intéresse notamment :
- à la finalité du traitement de données personnelles et sa base légale ;
- à la nature des données collectées ;
- aux modalités d’information des personnes concernées, en particulier s’agissant de leurs droits ;
- aux durées de conservation et aux mises à jour des données personnelles traitées ;
- aux destinataires des données personnelles ;
- aux moyens mis en œuvre afin de préserver la sécurité des données personnelles ;
- aux transferts des données personnelles, le cas échéant.
Ce sont donc tous les éléments qui doivent être retrouvés dans le registre de traitement.
Qu’apporte aux entreprises la mise en conformité RGPD ?
L’actualité témoigne d’un nombre en forte hausse d’attaques informatiques dues aux failles de sécurité. Ces dernières peuvent avoir des conséquences désastreuses sur l’activité des entreprises.
La réalisation des « Registres des activités de traitements », permet d’évaluer tous les risques liés à la protection des données personnelles de façon exhaustive. Ce sont également les Registres qui doivent être présentés à la CNIL en cas de contrôle.
Ce sont les « Registres des activités de traitements » qui permettent de se prémunir contre les risques de pertes de données ou de piratage à condition qu’un certain nombre d’actions soient mises en place de façon précise. Chaque salarié doit se référer aux « Registres des activités de traitements » afin de prendre connaissance des mesures de préventions mises en place pour assurer la protection desdites données.
Charte informatique et sensibilisation des collaborateurs
La sensibilisation des employés à la sécurité informatique de leur poste peut leur éviter d’être vulnérables face à une attaque, un problème de sécurité ou une perte/vol de leur matériel. Il est donc conseillé de rédiger une charte informatique et lui donner une force contraignante.
Cette charte doit comporter un certain nombre d’éléments comme le rappel des règles de protection des données et les sanctions encourues en cas de non-respect de celles-ci.
La charte informatique tient compte des ressources informatiques, des services internet, des messagerie et téléphonie, ainsi que tout autre moyen de connexion à distance.
Le cadre règlementaire de la sécurité de l‘information est complexe et peut générer des failles de sécurité si les membres du personnel ne respectent pas les règles juridiques qui doivent être appliquées. Elle définit ce que chaque collaborateur peut faire ou ne pas faire.
Bon à savoir
La question suivante est souvent posée :
Est-ce que mon informaticien peut me mettre en conformité ?
La réponse est : Absolument pas car une mise en conformité permet d’aborder tous les thèmes en cartographiant les activités de l’entreprise, y compris l’insertion des clauses RGPD comme les CGV, la politique de confidentialité CGU, les mentions légales, les avenants aux contrats de travail, les clauses de sous-traitance, badges, vidéosurveillance, géolocalisation, charte informatique, etc. Lorsqu’il est fait mention de protection des données, il faut traiter de la même façon les données sur support papier. Ainsi une mise en conformité RGPD dépasse largement le cadre de la mission informatique.
Ce n’est qu’à l’issue de l’audit RGPD qu’il est judicieux de solliciter l’informaticien en charge de la maintenance de tout le système, de cette façon il interviendra une seule fois de façon globale.