RGPD

Dans le cadre de la collecte de données et de leur utilisation, les établissements d'enseignement supérieur font appel à un certain nombre de sous-traitants. Il s'agit par exemple des plateformes vous permettant l'acquisition de leads mais également des logiciels que vous utilisez pour leur exploitation. Ce sujet est clairement défini dans le le Règlement.  

Qu'est-ce qu'un sous-traitant au sens du RGPD ?

L'article 4 donne une définition qui est la suivante : «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement (donc vous). Ce qui caractérise le sous-traitant est qu'il agit pour votre compte, et sur votre instruction. Cela implique qu'il ne peut en aucun car traiter les données personnelles sans votre instruction. Il a une obligation d'assistance, d'alerte et de conseil vis à vis de vous. Autre obligation (qui incombe également au responsable de traitement) :  la transparence et la traçabilité. Le sous-traitant doit ainsi être lié avec votre structure par un contrat écrit. Ce contrat doit prévoir plusieurs obligations telles que :

• l’objet du traitement
• la durée du traitement
• la nature et la finalité du traitement
• le type de données à caractère personnel et les catégories de personnes concernées
• les obligations et les droits du responsable du traitement

Il doit aussi garantir la sécurité des données en mettant en place les mesures nécessaires et notifier toute violation des données.  

Quelques bonnes pratiques

1/ Nommer un DPO ou un référent (en interne ou via un cabinet juridique) 2/ Mettre en place un registre afin d'identifier tous les moyens de collecte de données à caractère personnel 3/ Mettre à jour les outils de collecte afin que les mentions nécessaire soient bien apparentes 4/ Mettre à jour les outils de stockage afin de vérifier que la durée de conservation des contacts n'est pas arrivée à échéance. Vérifier également la possibilité d'anonymiser els contacts que vous souhaitez garder à des fins statistiques. 5/ Demander des conseils à vossous-traitants   Vous utilisez Oscar Campus CRM et vous avez besoin d'aide sur ce sujet ? Contactez votre chef de projet :)

Lorsque l’on parle collecte de données, on entend souvent parler du RGPD (Règlement général sur la protection des données), mais qu’est-ce que c’est exactement ? A quoi sert-il ? Pourquoi a-t-il été mis en place ?  

Qu’est-ce que le RGPD ?

Le RGPD ou « Règlement Général sur la Protection des Données » est un règlement Européen qui vise à protéger les données à caractère personnelles des citoyens. Ce règlement pousse les écoles et autres organismes à être les plus transparents possibles quant à l’utilisation des données qu’ils collectent (finalité) et leur durée de conservation.  

Pourquoi ?

La France a toujours été vigilante en matière de protection des données à caractère personnel. C’est d’ailleurs depuis 1978 que la loi dite « Informatique et libertés » est en vigueur. Elle a connu un certain nombre de modifications, dont sa dernière en date le 1^er juin 2019 suite à l’application du RGPD. Le RGPD est appliqué depuis le 25 mai 2018. Il a été mis en place au niveau européen suite à la présence d’internet dans notre quotidien et du traitement abusif des données collectées qui l’accompagne. Il s’applique à tout organisme publique ou privé traitant des données à caractère personnel (nom, prénom, email, téléphone, adresse …). Son but : responsabiliser les organisations afin de protéger les droits et libertés de tous.  

Comment réussir sa mise en conformité ?

Saviez-vous que l'un des rôles majeurs d'un sous-traitant est d'accompagner les écoles dans leur projet RGPD ? ? Participez à notre prochain webinar organisé par Data Legal Drive et découvrez comment Oscar Campus CRM accompagne les écoles et établissements supérieurs à protéger leurs données personnelles.  

La mise en conformité avec le RGPD nécessite un certain travail au sein de toute structure collectant des données personnelles. Tout le monde est concerné ! Des associations aux entreprises du CAC 40 en passant par les TPE ou PME. Par où commencer ?  

Etape 1 : nommer un délégué à la protection des données

Comme pour tout projet, la mise en conformité demande un minimum d’organisation. Il est donc fortement recommandé de nommer une personne qui pourra piloter le projet au sein de la structure : le Délégué à la Protection des Données (DPD). Cette personne aura pour mission de faire l’inventaire de tous les fichiers existants qu’il s’agisse de fichiers commerciaux mais également de fichiers RH, comptables …  

Etape 2 : constituer un registre

La première mission du DPD pour entrer dans la démarche, et répondre ainsi aux nouvelles obligations, est de mettre en place une cartographie. Il doit constituer un registre regroupant les fichiers présents votre établissement. Un modèle de registre est proposé par la CNIL : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles. La cartographie va permettre d’identifier où sont collectées et stockées les données. Toute organisation doit tenir une documentation interne complète sur le traitement de ces données en fonction de leur finalité. Elle doit répondre aux questions suivantes :

• Qui : qui est le responsable du traitement et qui sont les sous-traitants ?
• Quoi : quelles sont les données traitées et leur sensibilité ?
• Pourquoi : pourquoi l’organisme collecte-t-il ces données ?
• Où : où ces données sont-elles stockées ? Sont-elles transférables dans d’autres pays ?
• Jusqu’à quand : combien de temps sont-elles conservées ?
• Comment : quelles sont les mesures de sécurité prises pour garantir leur sécurité ?

 

Etape 3 : se conformer aux obligations actuelles et à venir

Une fois le registre effectué et tous les canaux d’alimentation des fichiers de données identifiés, il est essentiel d’identifier les actions à mettre en place afin d’être en conformité. La CNIL met en avant 6 points de vigilance :

1. S’assurer que seules les données nécessaires à la poursuite des objectifs déterminés sont collectées et traitées
2. Identifier la base juridique sur laquelle le traitement se fonde (consentement de l’individu, intérêt légitime, contrat, obligation légale)
3. Réviser les mentions légales, CGV ….
4. Vérifier que les sous-traitants répondent à leurs obligations
5. Prévoir les modalités d’exercice des droits des individus pour lesquels les données sont collectés (droit d’accès, de rectification, droit à la portabilité, retrait du consentement …)
6. Vérifier les mesures de sécurité

 

Etape 4 : gérer les risques

Une fois la cartographie réalisée et les moyens de collectes mis en conformité, l’heure est à la gestion des risques. Vous devrez mener pour chacun des traitements une étude d’impact sur la protection des données. On entend également parler, en anglais, de Privacy Impact Assessment ou PIA. L’étude d’impact doit être menée sur les traitements existants et pour tout nouveau traitement. La CNIL propose un outil pour aider les structures à réaliser leur PIA : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.  

Etape 5 : mettre en place des processus internes

Afin de garantir la protection des données personnelles de manière durable, il est essentiel que l’organisation mette en place des processus, par exemple :

• Que faire en cas de faille de sécurité ?
• Comment gérer les demandes d’accès ou de rectification ?
• Comment modifier les données collectées ?
• Que faire en cas de changement de prestataire ?

Dès la conception d’un site web, d’une application mobile, … la protection des données personnelles doit donc dorénavant être prise en compte. Il est également essentiel de sensibiliser l’ensemble des collaborateurs sur cette problématique afin que chacun puisse mesurer l’importance du sujet.  

Etape 6 : Documenter la conformité

Afin de pouvoir prouver sa conformité, l’organisme doit mettre en place une documentation démontrant que le traitement des données personnelles est conforme au règlement. Il devra notamment comporter les pièces suivantes (source : CNIL - https://www.cnil.fr/fr/documenter-la-conformite) :

• Le registre des traitements
• Les analyses d’impact sur la protection des données pour les traitements susceptibles d’engendrer des risques élevés
• L’encadrement des transferts de données
• Les mentions d’information des personnes dont l’organisme détient les données
• Les modèles de recueil du consentement
• Les procédures mises en place pour l’exercice des droits des individus
• Les contrats avec les sous-traitants
• Les procédures internes en cas de violation des données
• Les preuves que les personnes concernées ont donné leur consentement

 

Le RGPD s’applique à tout établissement faisant de la collecte de données au sein de l’Union Européenne. Ainsi les établissements dont le siège est situé en dehors de cette zone mais qui ciblent des contacts résidant dans l’un des 28 états membres sont concernés. Il apporte 6 dispositions majeures :

• Un cadre juridique unifié pour l’ensemble de l’Union Européenne
• Un renforcement du droit des personnes
• Une conformité basée sur la transparence et la responsabilisation
• Des responsabilités partagées et précisées
• Une mise à jour du cadre pour les transferts de données hors Union Européenne
• Des sanctions encadrées, graduées et renforcées

Un cadre juridique unifié pour l’ensemble de l’Union Européenne

Depuis le 25 mai 2018, l’ensemble des Etat membres de l’Union Européenne respecteront le même cadre juridique en matière de protection des données personnelles. Le règlement concerne les organismes qui traitent les données personnelles collectées mais également (et c’est la grande nouveauté) les sous-traitants de ces organismes. Le règlement s’applique dès lors que le responsable du traitement ou le sous-traitant est établi sur le territoire de l’Union Européenne mais également dès lors que le responsable du traitement ou le sous-traitant met en œuvre des traitements ciblant les citoyens européens. La CNIL reste le guichet unique de toute entreprise située en France.

Renforcement du droit des personnes

Le principal objectif du RGPD est le renforcement des droits des individus. Le dispositif implique un consentement « explicite » et « positif » des individus ainsi qu’un droit à l’effacement. Les individus doivent donc être clairement informés de l’usage de leurs données et doivent donner leur accord pour ce traitement. La charge de la preuve du consentement incombe désormais au responsable du traitement. Le RGPD va apporter de nouveaux droits aux personnes :

• Le droit de portabilité, c’est-à-dire que chaque individu peut récupérer ses données sous une forme facilement réutilisable
• Pour les moins de 16 ans, la rédaction en termes simples du traitement des données
• L’introduction du principe des actions collectives
• Un droit à réparation des dommages matériel ou moral

Une conformité basée sur la transparence et la responsabilisation

Le RGPD repose sur une logique de conformité et de responsabilité. Les responsables du traitement doivent tout mettre en œuvre pour garantir la protection des données personnelles et veiller à limiter la quantité de données traitées dès le départ. On parle de protection des données dès la conception et par défaut (privacy by design). Le responsable du traitement et les sous-traitants doivent pouvoir à tout moment démontrer qu’ils ont mis en place les mesures appropriées pour protéger les données. Des nouveaux outils de conformité sont donc à mettre en place :

• La tenue d’un registre des traitements mis en œuvre
• La notification de failles de sécurité (aux autorités et personnes concernées)
• La certification de traitements
• L’adhésion à des codes de conduites
• Le DPO (délégué à la protection des données)
• Les études d’impact sur la vie privée (EIVP)

Au sein de l’établissement, le RGPD vient renforcer l’organisation avec la nomination d’un délégué à la protection des données. Cette personne est garante de leur protection.

Des responsabilités partagées et précisées

Le sous-traitant est désormais responsabilisé dans le dispositif. Cela signifie qu’il doit respecter des obligations spécifiques en matière de sécurité, de confidentialité et d’accountability. Il a également une obligation de conseil auprès du responsable du traitement.

Une mise à jour du cadre pour les transferts de données hors Union Européenne

Les données personnelles peuvent être transférées en dehors de l’Union Européenne avec les outils adéquats. Les données transférées restent toutefois soumises au RGPD.

Des sanctions encadrées, graduées et renforcées

Le RGPD renforce les sanctions en cas de non-respect du règlement. Les autorités de protection peuvent notamment :

• Prononcer un avertissement
• Mettre en demeure l’entreprise
• Limiter temporairement ou définitivement un traitement
• Suspendre les flux de données
• Ordonner de satisfaire aux demandes d'exercice des droits des personnes
• Ordonner la rectification, la limitation ou l'effacement des données

Le responsable du traitement et le sous-traitant peuvent également être sanctionnées d’amendes qui peuvent s’élever de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.  

Le RGPD vient renforcer la loi informatique et libertés. L’autorisation préalable de la CNIL en matière de collecte ne sera plus obligatoire, au profit du principe de responsabilité.  

Sur le site web

Vous devez informer les individus en leur expliquant dans quel but vous leur demandez leurs données et leur expliquer ce que vous allez en faire. Le consentement doit être clair, y compris pour les cookies téléchargés sur l’ordinateur de l’internaute. Ainsi, si un individu rempli un formulaire pour avoir accès à votre brochure, il faut lui préciser de manière claire ce que vous ferez ensuite avec ses coordonnées et lui permettre de refuser leur utilisation dans un autre but que la réception de ladite brochure. De même au niveau des emailings, il est toujours important de proposer un lien permettant le désabonnement. Il en va de même pour les SMS qui doivent intégrer une fonctionnalité similaire.

Les impacts du règlement sur la segmentation

Le RGPD n’interdit en rien la segmentation et le profilage des individus. Les règles usuelles de protection des données personnelles s’appliquent : les individus doivent donc être informés si un tel profilage est effectué. La difficulté pour l’organisme collecteur réside dans le fait que les données utilisées doivent être exactes et à jour. Le responsable de la protection des données doit donc mettre en place des outils qui vont lui permettre de s’en assurer. Si le profilage va très loin dans la connaissance des personnes, il pourra être considéré comme comportant un risque élevé pour la vie privée des personnes. Dans ce cas le RGPD va imposer une étude d’impact préalable (voir 3.4.).  

Comment gérer les abonnés inactifs ?

Dans la plupart des bases de données commerciales, des contacts sont inactifs. Ces derniers peuvent être conservés tant que la finalité déterminée n’a pas été atteinte. La CNIL continue toutefois de recommander de garder ces données dans une limite de 3 ans suivant le dernier contact émanant de l’individu (formulaire en ligne, clic sur un lien … l’ouverture d’un email n’étant pas considérée comme un contact). Si on le souhaite, il reste possible de relancer la personne avant l’expiration de ce délai afin de solliciter un nouveau consentement.

Le RGPD – Règlement Général sur la Protection des Données (GDPR en anglais) est appliqué depuis le 25 mai 2018. Il a pour objectif de renforcer et d’unifier la protection des données à caractère personnel des individus dans les 28 états membres de l’Union Européenne.

Qu’est-ce qu’une donnée à caractère personnel ?

Une donnée à caractère personnel correspond, en droit français, à toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Les données à caractère personnel ont une valeur économique qui résulte de leur exploitation. Elles sont au cœur de ce que l’on peut appeler « l'économie de la donnée ». Plusieurs modèles économiques s'appuient sur l'exploitation de données personnelles. Par exemple, ceux consistant à fournir des services gratuits en échange des données fournies par les utilisateurs. Ces données sont ensuite exploitées à des fins de personnalisation marketing et ciblage comportemental. Ces données renseignant sur l’identité, le comportement et les habitudes des individus, on comprend aisément qu’un encadrement soit nécessaire et important afin d’éviter tout risque (par exemple usurpation d’identité).

Que dit actuellement la loi ?

En France, pays dans lequel le droit au respect de la vie privée est prédominant, la loi stipule que « toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant ». Les citoyens sont donc protégés depuis de nombreuses années sur cette thématique. Tout d’abord par la loi Informatique, fichiers et libertés de 1978 puis par la directive sur la protection des données personnelles de 1995. A partir du 25 mai 2018, ce sera le RGPD qui viendra remplacer cette dernière. L’autorité qui régule la protection des données est la CNIL. A l’instar de la France, beaucoup de pays disposent aujourd'hui d'autorités chargées de la protection des données à caractère personnel, qui sont souvent des autorités administratives indépendantes, chargées de faire appliquer le droit de la protection des données à caractère personnel.

Qu’apporte le RGPD ?

Il est important de comprendre que si le RGPD vient enrichir le dispositif qui existait, les principes fondamentaux de la loi actuelle restent d’actualité. La réforme de la protection des données a trois objectifs majeurs :

1. Renforcer le droit des personnes
2. Responsabiliser les acteurs traitant les données
3. Crédibiliser la régulation