Qualité, traçabilité et protection des données

Le Règlement général sur la protection des données (RGPD) constitue peut-être le texte de droit le plus important dans l’environnement professionnel et est applicable partout en Europe depuis le 25 mai 2018.

En France, la loi du 20 juin 2018 relative à la protection des données personnelles a modifié la loi « Informatique et Libertés » du 4 janvier 1978 afin de se conformer à ce texte européen.

Le RGPD renforce les droits de chaque citoyen européen sur la protection de ses données personnelles. En même temps, il responsabilise les acteurs traitant ces données.

Le RGPD s’applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité dès lors qu’ils traitent des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement. Il s’applique également aux entreprises ayant leur siège en dehors de l’UE qui traitent les données de citoyens européens.

Les principaux droits consacrés par le RGPD sont les suivants :

1. Droit d’information : un organisme qui collecte des informations sur vous doit vous proposer une information claire sur l’utilisation des données et sur vos droits.
2. Droit d’opposition : vous pouvez vous opposer à tout moment à ce qu’un organisme utilise certaines de vos données.
3. Droit d’accès et de vérification des données : vous pouvez obtenir et vérifier les données qu’un organisme détient sur vous.
4. Droit de rectification des données : vous pouvez rectifier les informations inexactes vous concernant.
5. Droit au déréférencement d’un contenu (droit à l’oubli) : vous pouvez exiger qu’on n’associe plus vos nom-prénom à un contenu visible dans un moteur de recherche.
6. Droit à l’effacement des données : vous pouvez demander l’effacement des données vous concernant.
7. Droit à la portabilité des données : vous pouvez récupérer vos données personnelles, dans un format utilisé et lisible par machine, pour un usage personnel ou pour les transférer à un autre organisme.
8. Droit de demander une intervention humaine : vous pouvez demander que les décisions fondées sur un traitement automatisé qui vous concernent et fondées sur vos données à caractère personnel soient prises par des personnes physiques et non uniquement par des ordinateurs.
9. Droit d’opposition au profilage (cookies) : vous pouvez exiger le gel de l’utilisation de vos données.

Le RGPD s’applique aux entreprises, aux organismes publics et aux associations quelles que soient leur taille ou leur activité dès lors qu’ils traitent des données personnelles de personnes physiques se trouvant sur le territoire de l’Union européenne. Le critère d’applicabilité n’est donc pas celui du lieu d’établissement du responsable du traitement. Il s’applique également aux entreprises ayant leur siège en dehors de l’UE qui traitent les données de citoyens européens.

Les principales obligations des entreprises, en matière de protection des données personnelles, sont les suivantes :

1. Respecter le principe de protection des données personnelles et de la vie privée imposé par le règlement, dès la conception de tout projet (by design).
2. Recenser les traitements qu’elles mettent en œuvre dans un registre.
3. Être en capacité de prouver que les traitements de données à caractère personnel mis en œuvre respectent les règles applicables, notamment via l’adhésion à des codes de conduite et l’obtention d’une certification.
4. Notifier toute violation de données à caractère personnel par le responsable de traitement et le sous-traitant aux autorités et aux personnes concernées.
5. Désigner un délégué à la protection des données pour les organismes publics et les entreprises dont l’activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle.
6. Informer, de manière claire et concise, les utilisateurs de la durée de conservation des données, de l’existence de profilage, de leurs droits et des voies de recours disponibles.
7. Permettre aux personnes dont les données sont traitées d’exercer leurs droits (à l’oubli, à la portabilité des données, de limitation, etc.).

La CNIL (Commission nationale de l’informatique et des libertés) est, en France, l’institution publique de référence en matière de droit des données personnelles. Elle préconise 6 étapes à suivre afin de s’adapter au RGPD :

• Étape 1 : Nommer un délégué à la protection des données. Disposer d'un pilote est indispensable pour gérer les données personnelles collectées par une entreprise. Celui-ci est chargé d'un rôle d'information, de conseil et de contrôle interne.
• Étape 2 : Recenser les traitements des données. Un registre des traitements des données personnelles est une documentation qui permet de faire le bilan sur l'effet du règlement.
• Étape 3 : Définir les actions correctives. Afin de respecter les règles en matière de droits et libertés personnels, il est nécessaire de déterminer quelles sont les actions prioritaires à mettre en œuvre. La priorisation est déterminée en fonction du niveau de risque et grâce au registre des traitements.
• Étape 4 : Analyser les risques. Il convient de gérer au mieux les risques pouvant avoir des conséquences sur la sécurité des données.
• Étape 5 : Établir des procédures internes. Les procédures internes permettent de constamment assurer la protection des données personnelles. Il faut ici anticiper les événements éventuels pouvant impacter les traitements en cours.
• Étape 6 : Tenir une documentation. La documentation permet de justifier la conformité d'une entreprise au règlement. Il est également essentiel de fréquemment reconsidérer et ajuster les actions et documents afin de garantir une protection des données durable.

Afin de concevoir un dossier de sécurité, il est important de préciser comment la prestation de sécurité est réalisée et comment la démarche qualité est conçue. Il convient également d’assurer le suivi de la traçabilité et de la protection des données.

Ensuite, un dossier de sécurité doit être réalisé, ainsi que des rétroplannings. L’essentiel est à tout moment de garantir une démarche qualité de la prestation.

C’est pourquoi il convient de mettre tout en œuvre dans le but de rendre la démarche qualité la plus élevée possible. Il faut, tout d’abord, s’interroger sur ce que l’on entend à travers la notion de qualité. Puis, il importe d’identifier les outils de la qualité, ainsi que les instruments permettant le contrôle de la qualité. On doit également s’informer au sujet des normes et certifications qualité.

En définitive, les critères d’évaluation sont les suivants :

• La veille réglementaire et technologique est assurée avec régularité et efficacité.
• Les besoins du client sont identifiés avec pertinence.
• Le diagnostic de sécurité est pertinent.
• Les choix des moyens sont cohérents au regard de la prestation de sécurité.
• La prestation est finalisée dans le respect de la démarche qualité.