/RGPD : les DPO prennent de la maturité

RGPD : les DPO prennent de la maturité

Structurer la gouvernance, gérer le registre des données et traitements, scruter les contrats de sous-traitance… les DPO ont fait du chemin. Mais il semble plus aisé d’intégrer la protection des données dès la conception d’un nouveau projet que dans les systèmes d’information existants.

Deux ans et demi après l’entrée en vigueur du Règlement général sur la protection des données personnelles en Europe (RGPD), où en sont les PME et ETI ? En toute logique, elles ont architecturé la gouvernance de leurs données à caractère personnel (DCP) autour d’un responsable dédié, le DPO. Citons, entre autres, les données relatives aux salariés, clients, utilisateurs, partenaires et fournisseurs. Cette année, la CNIL en recense 21 000 – contre 11 000 en 2019. « Ce n’est pas si mal ! Mais nous ne sommes qu’aux deux tiers du chemin », estime Nathalie Krief, responsable du groupe de travail RGPD à la Fédération nationale des tiers de confiance (FNTC). Selon une étude 2020 du ministère du Travail, 31 % des DPO opèrent dans des structures de 1 000 salariés et plus. À peine 10 % d’entre eux exercent dans des structures de moins de 10 salariés. C’est dire s’il reste de la marge…

Inscrire la suppression des données dans la culture de l’entreprise

Rattachés à 61,4 % au N-1, les DPO opèrent dans le cadre d’un comité de pilotage qui rassemble au minimum la direction générale, la direction informatique et le service juridique. « Nous nous réunissons deux fois par an, décrit Laetitia Reina, DPO chez le bailleur social Alpes Isère Habitat qui fait partie des 25,8 % des DPO exerçant leur mission à temps plein. À chaque nouveau projet, par exemple les bâtiments connectés expérimentaux, la conformité au RGPD intervient dès la conception. Les métiers ne disposent que des données dont ils ont besoin. Une fois l’expérimentation terminée, nous détruisons les DCP. Cette pratique est désormais bien inscrite dans notre culture d’entreprise. »

Former des relais

Pour diffuser cette culture, le DPO doit parfois donner de sa personne. En témoigne Dominique Bricot, DPO pour les 2 700 entités juridiques du réseau Aide à domicile en milieu rural (ADMR) qui emploie 35 personnes au niveau national. « Soins infirmiers, aide au ménage, à la toilette… nos 95 000 salariés et 85 000 bénévoles s’occupent d’environ 800 000 personnes au quotidien, explique-t-il. Pendant six ans, j’ai fait le tour de France pour accompagner localement la mise conformité au RGPD chacune de nos 87 fédérations départementales. Après quatre ans d’audit, j’ai formé 233 relais départementaux salariés et bénévoles. »

Des données mieux gérées

Au cœur de sa mission, le DPO instaure et actualise en permanence le registre des données et des traitements. Lequel pose de nombreuses questions. Quelles applications génèrent quelles données ? Où sont-elles stockées ? Quels traitements leur applique-t-on ? Sur quelles bases juridiques ? Qui en est responsable ? Quels en sont les moyens de protection ? Quelle doit être leur durée de vie ? « Le registre ne fait pas toute la conformité mais il donne une vision claire sur les données », souligne Nathalie Krief. Résultat : « Nous minimisons ainsi nos DCP et nous les protégeons mieux, confie Dominique Bricot. Mais cela requiert un travail quotidien énorme ! »

Des adaptations de logiciels parfois nécessaires

Quant aux prestataires et sous-traitants informatiques, leurs contrats respectent les clauses RGPD. À ceci près : bon nombre d’applications professionnelles ne sont pas conçues pour gérer le cycle de vie des données. « Nous avons demandé à notre prestataire un système qui limite la collecte d’informations au strict nécessaire par les personnes idoines », précise Dominique Bricot. L’éditeur a dû également découper la durée de vie des données en quatre temps : celui de la donnée active tant que le dossier est ouvert, celui de l’archive courante (le dossier est clos mais on a encore besoin d’y accéder). Vient ensuite l’archive intermédiaire réservée à un nombre limité d’accédants. Enfin, l’archivage définitif prévoit soit l’anonymisation des DCP soit leur suppression. « Très compliqué et coûteux, ce travail est toujours en cours », poursuit le DPO d’ADMR. Du coup, tous les nouveaux développements prévoient d’analyser leur impact sur les DCP, d’intégrer une collecte différenciée des données en fonction des utilisateurs ainsi qu’une gestion de leur cycle de vie.

Valérie Aumage : « L’employeur doit faciliter l’identification des cas contact »

Associée au cabinet d’avocats Taylor Wessing, cette avocate est responsable du département informatique et données personnelles. Elle nous éclaire sur la protection des données de santé (RGPD) en situation de Covid-19.

L’employeur peut-il collecter et traiter des données de santé ?

En principe, non. L’employeur ne peut se fonder sur l’exception qui serait tirée du consentement de ses salariés pour collecter leurs données de santé. En revanche, il peut traiter des données de santé si c’est strictement nécessaire à l’exécution de ses obligations de sécurité notamment vis-à-vis de ses salariés et agents.

Qu’en est-il de ses obligations face au Covid-19 ?

En lien avec le service de santé au travail, l’employeur (ou le référent Covid-19) doit sans délai mettre en place une procédure de prise en charge sans délai des personnes symptomatiques. Si un cas est avéré, il doit être en mesure de faciliter l’identification des contacts par les autorités en réalisant une matrice fondée sur les déclarations du salarié concerné et l’historique de son activité dans l’entreprise. Pour cela l’employeur doit collecter certaines données de santé.

Doit-il avertir les autres salariés ?

Non. Ils n’ont pas à connaître les données de santé des autres salariés car elles sont hautement confidentielles. Cependant, comme pour les autres traitements, l’employeur doit informer ses salariés des traitements relatifs à leurs données de santé et répertorier le traitement dans le registre de traitements.

L’employeur peut-il demander à ses salariés de se faire tester ?

Non, il ne peut que relayer les messages des autorités sanitaires : inviter toute personne symptomatique à ne pas se rendre sur son lieu de travail, consulter un médecin, se faire dépister et s’isoler dans l’attente des résultats. Il n’aura pas accès au résultat du test.

Que penser du cahier de rappel que doivent tenir les restaurateurs ?

Ce registre concerne les clients. Face à l’échec de l’application Stop Covid, il est maintenant obligatoire en zone d’alerte maximale. Les données du registre (identité, date et heure d’arrivée, téléphone ou e-mail) sont conservées 14 jours et ont pour seul objet d’être transmises sur demande aux autorités sanitaires. Ces données ne peuvent être utilisées à des fins de prospection commerciale.

Valérie Aumage est avocate, associée au cabinet d’avocats Taylor Wessing en charge dudépartement informatique et données personnelles
©Taylor Wessing

Trois points délicats pour gérer les données personnelles

Objectifs de traçage, clarté des processus de consentement, modalité d’archivage… le respect des données personnelles réclame des cadres d’utilisation très précis.

Indiquer pourquoi les données personnelles seront tracées

Cookies, pixels invisibles, API, identifiants publicitaires (IDFA), identifiant Android ou iOS, accès au GPS, identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC…)… l’opérateur doit fournir une information claire sur l’ensemble des finalités concernant les traceurs qu’il utilise. Ces finalités doivent être présentées au moment où l’utilisateur va faire son choix. Pour des raisons de clarté et de concision, une première description peut se limiter à une brève présentation des objectifs poursuivis par les traceurs, les détails étant précisés dans une seconde présentation, plus complète. La liste des objectifs et des destinataires des traitements de données personnelles doit être régulièrement actualisée et accessible à l’internaute.

Le consentement doit passer par un acte clair

Pas question de forcer la main de l’internaute ni d’employer un design trompeur pour obtenir son consentement. À cet égard, il est recommandé que l’utilisateur puisse donner son consentement de façon indépendante et spécifique pour chaque finalité. Par exemple au moyen de cases à cocher. En revanche, l’internaute peut également consentir de manière globale à un ensemble de finalités. Notamment grâce à des boutons « Tout accepter » ou « Tout refuser ». À condition, toutefois, d’avoir préalablement présenté l’ensemble des finalités. En principe, l’opérateur doit conserver les choix de l’utilisateur durant sa navigation sur le site. L’idée étant que le choix de l’internaute, qu’il s’agisse d’un consentement ou d’un refus, ne soit pas à nouveau sollicité pendant un certain laps de temps – par exemple six mois. Dans le même esprit, l’opérateur doit fournir à l’utilisateur le moyen de retirer à tout moment son consentement. Entre autres, avec un lien en pied de page.

Trois phases pour la durée d’archivage

En fonction de l’objectif ayant conduit à collecter les données personnelles, le responsable de traitement devra déterminer une durée de conservation. Pour un même traitement, le cycle de vie de la donnée personnelle connaît trois phases. À commencer par la conservation en base active. Celle-ci concerne, par exemple, les données d’un candidat non retenu. La durée de conservation s’étale sur deux ans maximum – sauf si le candidat en demande l’effacement. Dans l’archivage intermédiaire, les données personnelles ne sont plus utilisées pour atteindre l’objectif fixé. En revanche, certaines données, comme la gestion d’un contentieux potentiel, sont susceptibles de revêtir un intérêt administratif. D’autres répondent à une obligation légale d’archivage, comme les données de facturation (dix ans). Dans les deux cas, les données ne seront consultées que de façon ponctuelle par des personnes habilitées. Enfin, certaines informations seront archivées de manière définitive et pérenne. Pour les identifier de manière sûre, mieux vaut se référer au référentiel des durées de conservation élaboré par la CNIL. Dans toutes les autres données personnelles devront être supprimées.

©Erick Haehnsen