Académique Documents
Professionnel Documents
Culture Documents
ET SYSTMES DINFORMATION
ENTREPRISES
LES CLS DUNE
APPLICATION RUSSIE
DU GDPR
LE MOT DES PRSIDENTS
Dans le contexte actuel de transformation numrique, linformation et son usage font lobjet
de toutes les attentions, entre valorisation et protection.
Pour lentreprise, la donne est devenue un nouvel actif stratgique majeur, elle doit
tre exploite et protge, dautant plus sil sagit dune donne sensible.
Lindividu quant lui, est grand consommateur dinformation, producteur galement, mais il
est soucieux de protger sa vie prive contre une utilisation abusive de ses donnes
personnelles, et demandeur de garanties.
La confiance dans le numrique et dans lusage de linformation est imprative, et partout dans
le monde, les rgulateurs veillent et encadrent juste titre le traitement des donnes
personnelles. Au sein de lUnion europenne, la rglementation GDPR 1 sappliquera ds
le 25 mai 2018, et les entreprises se sont dj largement mobilises pour se
mettre en conformit.
Le dploiement de ces solutions rpond dabord et avant tout des besoins daccs et de
partage de linformation, des fins doptimisation de lefficacit oprationnelle et de
dveloppement du business. Toutes les entreprises sont concernes, pour leur cur
de mtier comme pour les services gnriques de messagerie, de SIRH, de CRM, etc.
qui tous, traitent des donnes personnelles.
Le systme dinformation porte lactivit de lentreprise. Il est aussi llment central de la mise
en conformit avec le GDPR et les autres rglementations. La conformit au GDPR est un
projet dentreprise, qui engage tous les mtiers, et qui doit mesurer limpact sur les
diffrentes briques du SI, dont certaines sont en place depuis des annes, voire mme sur son
architecture.
1Rglement Gnral sur la protection des Donnes caractre Personnel (ou General Data Protection
Regulation)
3
Conscientes des enjeux, elles se sont rassembles pour lancer une initiative conjointe en
France, Donnes Personnelles et Systme dInformation (DPSI) , avec deux
objectifs :
Le rsultat est l, et nous tenons remercier vivement toutes les entreprises, la CNIL, les
cabinets davocats, et lensemble des personnes qui ont contribu donner cette initiative de
place toute sa force.
4
EXECUTIVE SUMMARY
5
c. protection des droits des personnes : non disponibilit ; dfaut dintgrit ;
perte de confidentialit ; absence de traabilit ; usages illicites ; rpudiabilit.
3) identification des mesures et recommandations potentiellement applicables en
fonction de chaque typologie de risques.
Les mesures identifies par le SG2 visent protger les composants et applicatifs, mais aussi
tous les flux qui existent entre eux. Pour chaque risque identifi, le document donne une srie
de recommandations claires, pratiques et pertinentes afin de minimiser, voire de prvenir ce
risque.
Ainsi, pour un risque - par exemple transfert non scuris de donnes personnelles - le
chapitre 2 indique les composants du SI potentiellement exposs ce risque (Cloud,
applications, base de donnes, datawarehouse, Big Data, GED Archivages, fichiers partags,
messagerie, donnes de sortie) ; et met ensuite une srie de recommandations mettre en
uvre afin de grer ce risque : intgrer les contraintes ds la phase de design (privacy by
design), dvelopper une politique sur les droits et devoirs en matire de sortie des donnes ;
chiffrement et anonymisation ; encadrement contractuel avec le partenaire (NDA, clause de
confidentialit, clause de suppression des donnes) ; etc.
Enfin, ce chapitre illustre concrtement la mise en uvre de la dmarche par un cas pratique :
lactivit dun logiciel de gestion de la relation client ou CRM.
Le systme repose aujourdhui sur une logique de contrle ex post, imposant de nouvelles
obligations de transparence auxquelles les entreprises devront se conformer par la mise en
uvre de moyens et dinstruments internaliss.
Trois principaux outils de compliance vont devoir tre utiliss par les entreprises : le registre
des activits, ltude dimpact et le DPO. En rpondant des questions concrtes et simples
(comment mener une tude dimpact ? quelles sont les qualits dun bon DPO ?...) ce
document guide pas pas votre mise en conformit juridique.
6
SOMMAIRE
INTRODUCTION 9
CHECK-LIST GDPR 21
CONCLUSION 125
ANNEXES 127
7
SOMMAIRE DES ENCARTS
FOCUS ENTREPRISE : Michal NGUYEN, Head of IT Management and Control, SCOR
p.20
8
INTRODUCTION
Avec la rvolution numrique, le monde est entr dans lre de linformation, nouvel or noir de
lconomie. Grce au dveloppement dinternet et des nouvelles technologies, la donne est
devenue plthorique, aisment accessible, et recle une richesse encore trs largement sous-
exploite.
La donne ne sera cette immense source de cration de valeur que si elle est
dment collecte, valide dans sa pertinence, mise en corrlation, travaille,
partage et analyse. Sa large circulation est reconnue, par les experts autant que par les
dirigeants dentreprises et les autorits publiques, comme un facteur cl de la croissance de
lconomie et de lemploi. Les tudes 2 voquent un impact dau moins 10 points sur le PIB,
potentiellement davantage dans les pays en dveloppement ! Elle amliore galement le
fonctionnement interne, lefficacit et la performance des entreprises de toute taille.
Nos entreprises, nos systmes dinformation, les solutions applicatives qui les
composent, ont ainsi lobligation de se mettre en conformit avec ces rgles, le
GDPR pour lUnion Europenne, et potentiellement dautres dans le monde entier pour les
socits dont lactivit est globale. Encore faut-il quelles soient raisonnables, identiques, ou
pour le moins cohrentes, et quelles ne freinent pas le dveloppement du business. Les
obligations de localisation sur le territoire ou daccs rserv aux ressortissants nationaux,
comme dans certains pays, sont de bons exemples de contraintes difficilement compatibles
avec la conduite dune activit globale. De tels excs pourraient se traduire par lobligation de
2 ICC (International Chamber of Commerce), Trade in the digital economy A primer on global data
flows for policymakers et McKinsey Global Institute, Digital globalization: The new era of global flows
9
dployer de multiples instances des diffrents services, en contradiction avec les offres
technologiques bases sur le cloud, et avec un fonctionnement oprationnel global.
Le dfi est donc bien de dvelopper la confiance et de protger les personnes, tout
en prservant lactivit conomique de lentreprise. Et ces deux enjeux ne sont pas
antinomiques : une socit rpute thique tirera vraisemblablement bnfice de sa
rputation, et renforcera son attractivit pour les consommateurs.
Cette initiative de place qui rassemble toutes les parties prenantes a fait suite ladoption du
GDPR, applicable ds le 25 mai 2018, et a pour objectif daccompagner les entreprises dans
leur mise en conformit avec cette rglementation europenne.
Le groupe de travail conjoint AFAI, CIGREF, TECH IN France sest donn deux
objectifs principaux :
10
1. Sensibiliser les entreprises, utilisatrices et
fournisseurs, sur lurgence et lampleur de ce projet de
mise en conformit avec le GDPR ;
Les cabinets davocats experts se sont attachs dcrypter et fournir une lecture explicite
et applique du GDPR :
Ce travail des avocats tait prcieux pour une comprhension commune et partage du GDPR,
et dabord et avant tout de son primtre dapplication : dfinition dune donne personnelle,
critres dapplication du rglement europen (critre dapplication territorial et matriel), etc.
Il a constitu le socle des travaux de trois chantiers mens en parallle par trois sous-groupes,
anims par une des trois associations et un ou deux cabinets davocats spcialiss. Les
membres des trois associations taient naturellement invits participer quelque chantier
que ce soit.
11
Un guide juridique, (pilot par TECH IN France et les cabinets Osborne Clarke et
SAMMAN), abordant notamment les outils de gouvernance interne, les outils au
bnfice des tiers et les outils contractuels tels que rsultant de la nouvelle
rglementation.
Les travaux, produits aprs changes avec la CNIL, ont permis de mettre en
exergue limportance dengager un projet ddi au GDPR impliquant toutes les
parties prenantes de lentreprise, et de mener les actions dvolution du SI, en
collaboration entre clients et fournisseurs selon les responsabilits de chacun.
Ce projet nest pas une option, mais un impratif, il doit tre soutenu au plus haut niveau de
lentreprise, et disposer dun budget spcifique et adquat, dont la partie SI peut reprsenter
une large partie sinon la majeure. DPSI a cependant aussi permis de dmystifier le sujet,
et de dmontrer la faisabilit dun tel projet de mise en conformit.
Des comits de pilotage ont eu lieu tous les deux mois avec les animateurs des trois sous-
groupes pour le suivi et la coordination des travaux.
Trois plnires dinformation ont t organises durant lanne, afin de partager avec
lensemble de lcosystme lavancement des travaux de chaque sous-groupe. La CNIL est
intervenue chacune de ces plnires, pour donner un regard crois, commenter les travaux
des sous-groupes, et suggrer des amliorations.
12
Contexte des diffrentes rglementations relatives aux donnes
personnelles dans le monde
Plus de 80 pays ont adopt des rglementations spcifiques relatives la protection des
donnes personnelles. Ce sujet dpasse donc largement les frontires europennes, comme le
montre la cartographie ci-dessous.
LEurope a cependant une influence trs forte en matire de rglementation sur la protection
des donnes, notamment du fait du mcanisme de reconnaissance dadquation qui permet
la Commission europenne de reconnaitre le caractre adquat vis--vis du GDPR dsormais,
des diffrents autres dispositifs rglementaires en place hors UE. Cette reconnaissance est
assure par le G29 notamment. A ce jour, des pays comme le Japon, lUruguay, lArgentine, la
Nouvelle-Zlande, Isral, le Lichtenstein et dautres prsentent un niveau de protection jug
adquat par le G29.
Il existe plusieurs sources de rfrence pour organiser la protection des donnes et leur
transfert par grandes zones gographiques. En voici quelques-unes :
13
La reconnaissance des droits des individus : droit dinformation, droit daccs,
principe du consentement pour collecter ou transfrer les donnes ;
Les garanties de scurit et de confidentialit ;
Lexistence dun dispositif de conformit (le GDPR impose lexistence dun tel
dispositif), le principe daccountability.
Les rglementations peuvent tre transversales (couvrir toutes les industries la fois), comme
Hong Kong, en Nouvelle-Zlande, en Core du Sud, en Argentine ou encore au Japon, tout
en encourageant lmergence de rfrentiels sectoriels (type codes de conduite). A linverse,
dans certains pays, les rglementations sont penses dans une approche par industrie, comme
en Chine et aux tats-Unis principalement (rglementation spcifique aux secteurs de la sant
et bancaire aux tats-Unis par exemple). Dans dautres pays enfin, plusieurs sources
juridiques (droit commercial, droit du travail et autres sources) contribuent faire merger un
corpus juridique relatif la protection des donnes, comme au Brsil par exemple.
Une difficult en matire de protection et de transfert de donnes pour les entreprises, encore
plus pour celles qui sont globales, rside notamment dans linterprtation des textes et la
comprhension des dfinitions. Par exemple, tous les pays ne dfinissent pas de la mme
manire une donne sensible : en Inde par exemple (qui ne dispose pas dune
rglementation spcifique sur la protection des donnes personnelles mais qui a un texte de
loi relatif la scurit), le mot de passe est une donne sensible. En Cte dIvoire, cest le
numro de tlphone qui est considr comme une donne sensible protger.
Une autre difficult nat de la diffrence dapproche sur la protection des donnes personnelles
entre les juridictions. LUnion europenne rige en principe le droit la vie prive et la
protection des donnes personnelles tandis que les tats-Unis ont une approche sectorielle de
la protection des donnes.
14
Focus sur le GDPR
Quoi ?
Le GDPR sapplique aux traitements de donnes caractre personnel. Ces
dernires sont dfinies de manire trs large par le rglement. Ainsi, constituent
des donnes personnelles, toute information se rapportant une
personne physique identifie ou identifiable. Cela inclut notamment : le
nom, un numro didentification, une adresse email, des informations gntiques,
les adresses IP, etc.
La notion de traitement est tout aussi tendue mais ne diffre que marginalement
de la dfinition qui figurait dans la Directive de 1995. Ainsi le traitement regroupe
toute opration ou tout ensemble d'oprations effectues ou non l'aide de
procds automatiss et appliques des donnes ou des ensembles de donnes
caractre personnel, telles que la collecte, l'enregistrement, l'organisation, la
structuration, la conservation, l'adaptation ou la modification, l'extraction, la
consultation, l'utilisation, la communication par transmission, la diffusion ou
toute autre forme de mise disposition, le rapprochement ou l'interconnexion, la
limitation, l'effacement ou la destruction . On notera que sont notamment exclus
du GDPR, les traitements nentrant pas dans le champ dapplication du droit de
lUnion, les traitements des tats membres dans le contexte des activits lies la
politique trangre et de scurit commune de lUnion ainsi que les traitements
raliss par une personne physique dans le cadre dune activit personnelle ou
domestique, etc.
Qui ?
Le GDPR fait peser en premier lieu des obligations sur les responsables de
traitement et les sous-traitants. Le responsable du traitement est la personne
physique ou morale qui dtermine les finalits et les moyens du traitement tandis
que le sous-traitant est celui qui traite des donnes caractre personnel pour le
compte du responsable de traitement.
O ?
Le GDPR se caractrise par une porte territoriale tendue. Il sapplique au
traitement de donnes personnelles effectu dans le cadre des activits d'un
tablissement d'un responsable du traitement ou d'un sous-traitant sur le territoire
de l'Union, que le traitement ait lieu ou non dans l'Union. Le GDPR sapplique
galement aux organisations qui ne sont pas tablies dans lUnion mais qui visent
ou monitorent des personnes rsidant dans lUnion.
15
Le GDPR prvoit notamment plusieurs outils daccountability pour sa mise en uvre effective
comme la documentation des traitements des donnes, la nomination dun Data Protection
Officer ou la mise en uvre des principes de privacy by design et de privacy by default. Le
GDPR encourage galement les entreprises adopter des codes de conduite et des
certifications ou labels comme cela a dj t voqu prcdemment.
Le GDPR est dcoup en 6 catgories dexigences, auxquelles sajoute une catgorie gnrale
de dfinitions et notions de bases :
Mesures juridiques
Mesures organisationnelles
Scurit et notification des
Mesures de scurit logique
violations de donnes
Mesures de scurit physique
personnelles
Privacy by design
Dispositifs de dtection
16
Ce qui change pour les entreprises :
Les analyses dimpact sur la vie prive EIVP, (ou Privacy Impact
Assessment - PIA) 3 : il sagit danticiper les impacts dun nouveau produit ou service
sur la vie prive des clients. Un PIA, men par le responsable de traitement, avec le
concours du DPO et des sous-traitants, et doit tre ralis avant la mise en uvre du
traitement susceptible dexposer les personnes un risque lev au regard de leurs
droits et liberts. Cette analyse dimpact permet de mieux mettre en uvre les
principes de privacy by design et privacy by default introduits par le GDPR. Le PIA
favorise une logique de conception respectueuse de la vie prive (Privacy by Design),
il est ainsi un moyen pour les entreprises de montrer que leurs solutions sont
3 Pour la ralisation dun PIA, voir les documents CNIL suivants : PIA, la mthode : ce document indique la marche
suivre pour faire une tude dimpact sur la vie prive. Il fournit diffrents modles et un guide de mesures conseilles,
en prcisant le domaine dapplication, les responsables de ltude, les diffrentes catgories de risques prendre en
compte par rapport la notion de vie prive, et les processus de validation du PIA. PIA, loutillage : modles et bases
de connaissances : ce document propose quant lui une chelle et des rgles pour estimer la gravit dune violation,
avec 4 niveaux de risques. Guide en 6 tapes pour se prparer au rglement europen : la 4me tape intitule Grer
les risques dcrit la dmarche de PIA en cas de traitements de donnes personnelles susceptibles dengendrer des
risques pour les droits des personnes.
17
respectueuses de la vie prive et assure un niveau de protection conforme aux
obligations du droit de lUnion. Par ailleurs, le PIA devrait permettre lentreprise de
saffranchir de la plupart des dclarations ou autorisations CNIL lies aux traitements
de donnes personnelles, et davoir une cartographie des diffrents traitements et des
risques.
Par ailleurs, les droits des personnes dont les donnes sont traites sont renforcs et les
sanctions possibles accrues (jusqu 4% du chiffre daffaires global de lentreprise, qui est un
plafond au sein de lUnion). Ainsi, au sein des entreprises, la conformit doit tre gre comme
un projet, dont la majeure partie est vraisemblablement lie lIT. Avant dtre juridique ou
lgal, ce projet est global avec une forte composante SI puisque la mise en conformit ncessite
la mise en place de mesures techniques lies la scurit des SI et la protection des donnes.
Il est donc absolument crucial dy consacrer un budget qui soit proportionnel lenjeu. Un
point dhonneur est mis sur la bonne gouvernance des donnes en interne. Pour de
nombreuses entreprises, cette rglementation est aussi loccasion de faire et/ou mettre jour
leurs cartographies de donnes.
4 Limpact oprationnel du rglement gnral sur la protection des donnes de lUnion Europenne sur
18
FOCUS ENTREPRISE
Michal NGUYEN
Head of IT Management and Control
SCOR
1. Inventaire des traitements utilisant des donnes personnelles, ainsi que les
workflows techniques qui embarquent ces donnes personnelles ;
2. Identification des risques sur les donnes personnelles SCOR, laboration dune
matrice de risques et dfinition de plans de remdiation ;
4. Revue des contrats : identification des contrats adapter avec les processeurs de
donnes externes SCOR, dfinition de clauses standards spcifiques aux donnes
personnelles, introduire dans ces contrats critiques ;
La roadmap effective du projet se termine en dcembre 2017. Tout le premier trimestre 2018
sera consacr la sensibilisation et la formation de tous les collaborateurs du Groupe, IT et
Mtiers, aux nouveaux processus de gestion des donnes personnelles.
19
FOCUS EXPERT
Jean-Sbastien MARIEZ
Avocat
De Gaulle Fleurance & Associs
Cette nouvelle obligation issue du GDPR met laccent sur le volet curatif des
politiques de scurit qui prolonge le volet prventif dj prvu par la Loi informatique et
libert 7. Sauf ce quelle ne reprsente aucun risque pour les droits et liberts des personnes
physique , le responsable de traitement devra notifier la CNIL les mesures prises pour
remdier la violation, attnuer ses consquences ngatives et apporter des garanties quant
au risque de rptition de lincident (art. 33 du GDPR).
- aux dispositifs de dtection, y compris dans le cadre des relations avec les sous-
traitants ;
- lvaluation amont du niveau de risque associ chaque traitement, y compris, au
moyen danalyses dimpact.
- la cohrence avec les autres obligations de notification prvues par les textes
- la gouvernance des incidents au moyen dune cellule de gestion de crise
interdisciplinaire (communication, technique, juridique).
5 https://questionsdetransformation.ey.com/dossiers/quel-systeme-de-securite-pour-des-entreprises-cyber-resilientes-_f-50.html
6Voir https://www.cnil.fr/fr/hertz-france-sanction-pecuniaire-pour-violation-de-donnees-personnelles et
https://www.cnil.fr/fr/violation-de-donnees-personnelles-avertissement-lencontre-de-la-societe-ouicar
7 https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee
8 http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
20
CHAPITRE 1
CHECK-LIST GDPR
21
L'objectif de ce chapitre est de fournir quelques repres par rapport l'utilisation de l'outil :
check-list GDPR - v1.0 14092017 FR (voire annexes).
L'outil de check-list est un guide dauto-valuation. Cest la 1re phase de la dmarche globale
de mise en conformit avec le Rglement Gnral de Protection des Donnes Personnelles
(GDPR).
vrifier que les diffrentes exigences du GDPR ont bien t prises en compte par les
organisations et que les mesures adquates ont t adoptes ;
renforcer la communication et le partage des informations au sein des quipes
(juridiques, mtiers, informatiques) travaillant la mise en conformit au GDPR.
L'outil est une liste de questions permettant une valuation structure du niveau de maturit
de lentreprise quant la mise en conformit au GDPR et permet ainsi didentifier plus
facilement les ventuelles lacunes et les mesures mettre en uvre dans le cadre du
Rglement. Il doit tre peru comme un outil daide et daccompagnement pour les entreprises
mais en aucun cas comme une contrainte supplmentaire. Les thmes abords sont essentiels
pour toutes les organisations et permettent de balayer la plupart des questions se poser dans
le cadre de la mise en conformit. Le groupe de travail (SG1) compos dune quarantaine de
personnes reprsentant les entreprises de tous secteurs a particip la rdaction de la check-
list GDPR. Les deux principes retenus par le SG1 ont t les suivants :
Dmarche propose
La check-list doit permettre de vrifier que toutes les obligations principales imposes par le
GDPR ont t prises en compte par les diffrentes parties prenantes de lentreprise : la
Direction Gnrale, les Directions Mtiers et la Direction des Systmes d'Information, ainsi
que les partenaires tiers externes. La check-list est subdivise en trois grands thmes
correspondant aux acteurs cits ci-dessus :
Gouvernance
Mtiers
Systmes dinformation et Cyberscurit
En complment des rponses apportes, la check-list permet aussi de collecter des lments
factuels sur les lacunes ou les points de vigilance, lorsque la rponse une question est
ngative.
22
Transversalit
Dans tous les cas, il est primordial que toutes les directions ou les quipes cites dans ce
chapitre soient impliques dans la dmarche et puissent apporter leur contribution en ce qui
concerne les pratiques relatives aux donnes personnelles. Ainsi, c'est grce linvestissement
et la collaboration efficace de tous les acteurs que lentreprise pourra acqurir une vision
complte et globale des traitements de donnes personnelles mis en uvre tout en respectant
le primtre de responsabilit de chacun des acteurs. En effet, il n'est pas rare de constater que
chacune des quipes a une vision partielle des donnes quelle utilise sous le prisme de son
domaine de comptence mais qu'aucune n'a de vision transversale (ex : SI pour les
applications, Scurit pour les mesures de scurit, Juridique pour les aspects contractuels,
Mtier pour des relations directes avec des fournisseurs de solutions, ).
Pilotage
Le DPO (Data Protection Officer) ou DPD en franais (Dlgu la Protection des Donnes),
sil est nomm, est idalement plac pour grer la check-list et la diffuser auprs des acteurs
concerns. Cette dmarche lui permet de s'approprier le primtre de la protection des
donnes en lui faisant rencontrer les quipes adquates et en lui permettant didentifier les
solutions existantes et celles mettre en uvre. Si le DPO n'est pas encore nomm ou si le
primtre couvrir requiert une dlgation, il convient d'identifier une personne positionne
un niveau transverse (contrle interne, organisation, voire un dtachement dun auditeur
interne) pour animer la dmarche auprs des diffrents acteurs identifis.
Acteurs concerns
La donne constituant un patrimoine de plus en plus stratgique pour les entreprises, tous les
acteurs et toutes les divisions de lentreprise sont susceptibles de devoir, un moment ou un
autre, manipuler de telles donnes. Ci-aprs sont identifies les diffrentes quipes
potentiellement impliques en indiquant leur principal domaine de contribution.
23
Futur dlgu la protection des donnes (DPO)
En charge des systmes d'information, cette direction est mme d'apporter ses connaissances
sur tous les aspects techniques lis aux applications dont elle a la charge. Dans l'idal, elle
dispose d'une cartographie jour des donnes traites et des applications lies l'utilisation
de ces donnes, voire des traitements de donnes eux-mmes. Il faut nanmoins rappeler que
cette cartographie, tant tablie conjointement par les DSI et les Directions Mtiers, il existe
dans beaucoup dentreprises, des traitements (automatiss ou non) qui rentrent dans le champ
de responsabilit des Directions Mtiers. Ceci implique d'aller la rencontre les Directions
Mtiers, notamment Innovation, Marketing ou Ressources Humaines pour identifier avec elles
les applications concernes (site web, jeu vocation commerciale sur internet, solution en
mode Software as a Service (SaaS), )
En fonction de l'organisation de l'entreprise, cette quipe (au sein de la DSI ou non) est en
charge de dfinir et de mettre en place les mesures de protection techniques et
organisationnelles relatives aux diffrents traitements de donnes. Lquipe scurit, habitue
grer la scurit par les risques, est en position de raliser des tudes dimpact sur la vie
prive (DPIA) telles que requises par le GDPR. Par ailleurs, le DPO ne disposant pas toujours
des comptences ncessaires la ralisation des analyses de risques, lquipe scurit est en
mesure de lassister dans lapproche et la ralisation des DPIA dans leur ensemble.
quipe juridique
Elle doit tre implique dans les dmarches de contractualisation ou de relation avec les
autorits de contrle locales. Elle est aussi consulte pour tout ce qui concerne les mentions
lgales, conditions gnrales d'utilisation, mentions dinformation, etc. Elle est donc en
mesure d'apporter sa comptence sur ces aspects lors de linventaire des traitements
(vrification de la base lgale qui fonde la licit de chacun des traitements).
Direction innovation
24
Direction marketing
En fonction de l'organisation de l'entreprise, cette direction est souvent en lien avec le client
au travers de lanalyse des habitudes de consommation dudit client, de l'envoi de newsletters
ou de toute autre collecte de donnes dans le cadre de ses activits (pour le cas du e-commerce,
voir quipe e-commerce). Au mme titre que l'innovation, le marketing peut tre amen
raliser des oprations avec des partenaires commerciaux en vue de collecter ou dchanger
des donnes personnelles.
En charge du primtre des solutions concernant la gestion des ressources humaines dans
l'entreprise, elle apporte la connaissance du primtre d'un point de vue mtier et de relation
ventuellement directe avec ses fournisseurs. Cette direction collecte la fois des donnes
personnelles des collaborateurs et celles des candidats et peut tre amene changer ces
donnes avec plusieurs partenaires diffrents.
Elle assure galement la conformit vis--vis des rgles de droit du travail, et veille notamment
ce que les obligations dinformation des salaris et des instances reprsentatives du
personnel (voire la consultation de ces dernires) soient respectes. Elle sassure enfin que les
relations avec les autres socits employant du personnel sur site (intrimaires, prestataires,
etc.) respectent les rgles applicables.
quipe e-commerce
S'il existe dans l'organisation une quipe spcifique pour la prise en charge du e-commerce,
elle doit tre consulte. Le e-commerce implique par essence la collecte et le traitement de
donnes de consommateurs et est facilement expos aux autorits de contrle. Les quipes
peuvent tre amenes avoir recours des prestations en mode SaaS permettant par exemple
de faire de la mesure de trafic.
Sur le primtre e-commerce, les problmatiques lies au dpt de cookies doivent faire lobjet
dune attention particulire afin dassurer que lensemble des rgles applicables en la matire
sont respectes. Pour cette activit, on se rapprochera des quipes en charge du trafic sur le
site et des quipes SI spcialises.
25
Check-list GDPR
Comme voqu plus haut, la check-list doit permettre de vrifier les points critiques du GDPR
et didentifier les actions mettre en uvre selon les directions concernes.
Si la rponse est Oui , votre entreprise est en bonne voie pour se mettre en conformit avec
le GDPR.
Si la rponse est Non , la question peut vous aider identifier les domaines que vous devez
amliorer.
Les tableaux ci-dessous reprennent les diffrentes questions traites dans l'outil de check-list.
La colonne THEME indique le thme du GDPR permettant de regrouper les diffrentes
questions poser.
26
Check-list gouvernance
Daprs larticle 37 1, la
nomination dun DPO est
notamment obligatoire dans le cas
Avez-vous nomm DPO ? Si non, o vos activits de base consistent
avez-vous vrifi et document que des oprations de traitement
DPO 1
vous n'tes pas soumis cette grande chelle impliquant un suivi
(dlgu la exigence ? systmatique des personnes
protection des concernes, ou des donnes
donnes sensibles au sens des articles 9 et
personnelles) 10.
Le rattachement hirarchique du
dlgu la protection des donnes
2
personnelles (DPO) garantit-il son
indpendance ?
Avez-vous dtermin le primtre
des entits / Business Unit
3
concernes par le plan de mise en
conformit ?
Le registre comporte le nom et les
Avez-vous tabli un registre des coordonnes du responsable du
traitements dont vous tes traitement, les finalits du
4
responsable, co-responsable ou traitement, les catgories de
sous-traitant ? destinataires et des personnes
concernes, etc.
27
Sous thme # Question Commentaire / Exemple
28
Check-list Mtiers
29
Sous thme # Question Commentaire / Exemple
30
Sous thme # Question Commentaire / Exemple
31
Sous thme # Question Commentaire / Exemple
32
FOCUS EXPERT
Pour tre licite, un traitement de donnes caractre personnel doit respecter lune
des six bases lgales fixes par le GDPR. Il appartiendra alors au responsable de
traitement didentifier, pour chaque traitement, la base lgale sur laquelle il se fonde et den
informer les personnes concernes.
2. Une obligation lgale : le traitement sera licite lorsquil est effectu conformment
une obligation lgale (lgislation de lUE ou de lEtat du responsable de traitement).
4. Lintrt vital : le traitement sera licite lorsque lintrt vital de la personne concerne
ou dun tiers est en jeu (question de vie ou de mort ou risque datteinte la sant).
5. Lintrt lgitime : le traitement sera licite sil rpond un intrt lgitime poursuivi
par le responsable de traitement et que cet intrt prvaut sur les intrts ou les droits et
liberts des personnes concernes.
Le consentement doit pouvoir tre retir tout moment et la personne doit tre informe de
cette facult de retrait. La charge de la preuve de lobtention du consentement repose sur le
responsable de traitement.
33
CHAPITRE 2
RECOMMANDATIONS ET
MESURES METTRE EN PLACE
POUR UN SI CONFORME
et
Sophie BOUTEILLER,
IT Governance Officer, SCOR
34
Identifier les mesures mettre en place pour un SI
conforme
Les objectifs du sous-groupe 2 (SG2) sur les mesures techniques visent identifier les
impacts des rglementations internationales sur les donnes personnelles, et du GDPR en
particulier, sur les architectures des systmes dinformation (SI) des entreprises.
Les participants ont dabord identifi les composants du SI qui gnrent ou vhiculent des
donnes personnelles (messagerie, CRM), et fait linventaire des risques affrents, quil
sagisse de risques de scurit du SI en gnral, de risques lis la protection des donnes
personnelles, ou encore de risques lis la protection des droits des personnes.
A noter, les options de chiffrement proposes par les fournisseurs ne sont en gnral pas
retenues par les clients, dune part par crainte davoir grer une complexit croissante
doutils de chiffrement (chaque fournisseur proposant sa solution), dautre part par crainte de
voir les cots lis au SI augmenter (chaque solution de chiffrement tant une option
gnralement payante). Certaines entreprises tudient donc la possibilit de dvelopper leur
propre outil de chiffrement.
Pour alimenter ses rflexions, le SG2 a galement choisi de sappuyer sur un cas dusage : le
prsent document dtaille un service de CRM, dvelopp au sein de groupe de travail par
Jrme Capirossi dUNEXX.
35
Mesures potentiellement applicables sur les SI
Approche composants SI
Par composants du systme dinformation , il faut comprendre tout ce qui supporte les
services et les flux associs : les bases de donnes, le Cloud, les datacenters, les postes de
travail, lIoT (Internet of Things), les messageries, les plateformes de traitement Big Data, etc.
Les mesures identifies visent non seulement protger tous les composants et
applicatifs, mais aussi les flux qui existent entre eux (reprsents par les flches dans
le schma ci-dessous) :
36
FOCUS ENTREPRISE
Franois CORNELY
Licensing executive
MICROSOFT
37
Typologie de risques
Une fois les composants SI identifis, le SG2 a rpertori les risques lis ces composants (voir
annexes tableau onglet 2). Trois typologies de risques ont t identifies :
38
FOCUS ENTREPRISE
Michel BENARD
Urbaniste SI
LES MOUSQUETAIRES
Il est ncessaire de dvelopper galement des vues du SI, faites selon un point de vue
"juridique" : une vue o l'on verrait par exemple les applications et les rles de "Data
Processor" et "Data Controller" qui lui sont lis (pour reprendre le vocabulaire du GDPR), ainsi
que la localisation gographique et/ou les acteurs ayant accs aux applications.
39
Mesures applicables et recommandations
Cloud
Applications
Base de Donnes
Datawarehouse
Big Data
GED-Archivage
Fichiers Partags
Messagerie
Donnes en sortie
Chiffrement et anonymisation
Audit
Sensibilisation/Formation utilisateurs et IT
40
Mesures applicables pour se protger des risques
identifis
Rappel : les composants SI sont rpertoris dans longlet 1 du tableau disponible en annexes
et les mesures techniques potentiellement applicables aux risques des 3 typologies de risques
sont rpertories dans longlet 2. Le tableau qui suit met en vidence les composants
techniques exposs au trois types de risques (Scurit SI, Protection des donnes, Droits des
personnes). A la suite du tableau sont listes les mesures techniques et recommandations
applicables, de manire non exhaustive.
41
FOCUS ENTREPRISE
Cr en 2005, Workday, lun des leaders des applications Cloud de Finance et RH a construit
une nouvelle gnration dapplication Finance et RH en prenant en compte les volutions
technologiques : architecture unique, scurise, en mode SaaS, partage par tous les clients.
Workday sattache inclure les mesures de protection des donnes dans tous ses
dveloppements dapplications, de processus ou de services qui utilisent des donnes
personnelles afin de rester en conformit avec le GDPR.
Aspects juridiques
Workday agit comme un sous-traitant sur les donnes personnelles des clients soumises
lectroniquement dans ses applications en mode software as a service ( SaaS ). Dans ce
cadre, Workday traite uniquement les donnes personnelles selon les instructions de ses
clients qui demeurent responsables de traitement tout instant.
Workday propose un accord dtaill et complet ( Data processing agreement ) qui dfinit
les engagements contractuels forts de Workday concernant le traitement des donnes
personnelles de ses clients dans le cadre de ses applications SaaS. La socit mre de Workday
est elle-mme certifie Privacy Shield frameworks EU-US et Suisse-US, maintenu par le
dpartement du commerce amricain. Workday propose galement ses clients de la
communaut europenne les clauses contractuelles types afin de lgaliser les transferts de
donnes personnelles en dehors de lEspace Economique Europen.
Aspects techniques
Pour les clients europens, Workday opre deux datacenters situs dans lEspace
Economique Europen. Actuellement, le datacenter principal se situe Dublin en Irlande
et le datacenter secondaire est situ Amsterdam aux Pays-Bas.
En tant que fournisseur dune solution SaaS, Workday assure lintgration de la gestion de
linfrastructure sur laquelle repose son service, linfrastructure sur laquelle les clients oprent
le service ainsi que la maintenance du service. Les clients sont responsables de la scurit de
leur systme dinformation et de ladministration de leur environnement applicatif, quils
alimentent avec leurs propres donnes. Workday propose une solution unifie qui permet aux
clients de gnrer directement leurs reporting. Pour Workday, les donnes disponibles dans la
plateforme restent la proprit de leurs clients.
Concernant la scurisation, ce sont les clients qui grent les authentifications afin de savoir qui
se connecte sur la plateforme. Ce sont galement les clients qui grent le niveau daccs des
collaborateurs aux donnes. Le cadre, relativement flexible, permet chaque entreprise de
rpondre des besoins spcifiques. Lensemble des activits des utilisateurs est trac par
Workday, lensemble des changements est conserv ad vitam aeternam . La traabilit de
la lecture dans le systme est galement possible.
42
Typologie 1 : Scurit SI
Les composants SI concerns par les risques touchant la scurit du SI sont les suivants :
Fichiers Partags
Rseaux Sociaux
Donnes source
GED-Archivage
Donnes sortie
Application
Messagerie
Datacenter
Workplace
Video-IoT
Types de Risques
Database
Big Data
Rseau
Cloud
DWH
Scurit du SI
Interception dchanges
Dfaut dapplication des mises
jour de scurit
Non dtection de vulnrabilits
Incapacit tracer un incident
ou des accs
Incapacit dtecter une atteinte
aux donnes
Dfaut de pilotage dun sous-
traitant / fournisseur (IoT)
Ngligence dun sous-traitant /
fournisseur (IoT)
Intervention frauduleuse dun
sous-traitant
Les mesures et recommandations sur la typologie de risque Scurit SI sont essentiellement des actions de
renforcement de la scurit globale du SI, elles ne traitent pas directement de la protection des donnes en elle-mme,
mais sattachent scuriser le systme dinformation en tant que berceau des donnes 10.
mesures
43
Mesures techniques pour chaque type de risques identifi concernant la Scurit
du SI :
44
Blocage des ports
Utilisation du chiffrement par dfaut des communications
Sauvegarde des logs rseaux
Mise en place d'un SOC (Security Operation Center)
Network Access Control
45
Usurpation dun compte administrateur
Exfiltration de donnes
Interception dchanges
46
Dfaut dapplication des mises jour de scurit
47
Dfaut de pilotage dun sous-traitant / fournisseur (IoT)
48
Typologie 2 : Protection des donnes
Les composants SI concerns par les risques touchant la protection des donnes sont les
suivants :
Fichiers Partags
Rseaux Sociaux
Donnes source
GED-Archivage
Donnes sortie
Types de Risques
Application
Messagerie
Datacenter
Workplace
Video-IoT
Database
Big Data
Rseau
Cloud
DWH
Protection des donnes
Dfaut de cartographie
(actualise) des donnes (dfaut
de tenue d'un registre des
traitements)
Localisation non autorise de
donnes personnelles
Non respect des rglementations
locales (ex. galit des chances
aux US, )
Absence de cloisonnement des
donnes personnelles
Non respect des rgles de
rtention des donnes (dure de
conservation)
Non respect des formalits
pralables applicables au
traitement
Transfert non scuris de
donnes personnelles
Transferts non encadrs de
donnes hors UE
Accs non conforme ou non
encadr aux donnes
personnelles
Propagation malveillante de
donnes personnelles
Divulgation de donnes
personnelles par inadvertance
Vol de donnes
49
Reconstitution de lidentit dune
personne et enrichissement de
son profil par corrlation entre
plusieurs sources internes ou
externes (big data)
Dfaut de PIA
Dfaut de cartographie (actualise) des donnes et des traitements (dfaut de tenue d'un
registre des traitements et/ou des violations de donnes personnelles)
Non-respect des rglementations locales (ex. galit des chances aux US, )
50
Absence de cloisonnement des donnes personnelles
51
Transferts non encadrs de donnes hors UE
Veille sur internet (web, rseaux sociaux, Dark Web ou Black Market)
Chiffrement, pseudonymisation, anonymisation
Intgration de donnes piges (fingerprinting)
Contrle des accs
Gestion des logs
Audits
Politiques et moyens de prvention, dtection, alerte, data breach, et raction
Tests d'activation de la cellule de crise
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes
Sensibilisation utilisateur et IT
Politique d'utilisation des rseaux sociaux
Contrle des accs
Gestion des logs
Audit
Filtrage IP des applications multi-tiers
Notification immdiate (lorsque ncessaire) l'autorit de contrle et/ou aux
personnes concernes
Transmission scurise des donnes (flux chiffrs)
Vol de donnes
Mesures de scurit du SI
Politique de gestion des demandes de ranon
52
Politique de notification (dont formulaire CNIL de notification)
Politique de gestion de crise
Cloisonnement des quipements
Contrle des accs
Chiffrement base de donnes
Chiffrement disques
Blocage des ports USB
Blocage des sites de transfert
Veille sur les marchs clandestins (Dark web / Black Market)
Validation contractuelle
EDRM
Gestion et corrlation des logs (mise en place d'un SIEM)
Filtrage IP des applications multi-tiers
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes
Politique de changement des mots de passe
Procdure d'inforensic
Contrle des accs (validation de la demande, sparation des tches, revue des
accs)
Sensibilisation/formation utilisateurs et IT
Alignement entre donnes dtenues et finalit du traitement
Politique de rtention des donnes
Gestion et corrlation des logs
Encadrement contractuel
Mesures de traabilit, audit, notification
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes
53
Intgration de la privacy-by-design dans la mthodologie projet
Dclaration des traitements
Minimisation des donnes (privacy by design)
Implication du dlgu la protection des donnes (CIL/ DPO) dans les projets
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes
concernes
Anonymisation permanente
Audit de la robustesse de l'anonymisation (exemple de techniques
danonymisation : valuation k-anonymat, L-diversit, t-proximit)
Utilisation de donnes agrges ou gnralises
Pas de donnes personnelles dans les traitements de Big Data
Sensibilisation/formation utilisateurs
Limitation et contrle des accs aux donnes personnelles
Mise en place d'une charte thique spcifique
Traabilit et audit
Dfaut de privacy by design (absence de rgles sur la minimisation des donnes celles
strictement ncessaires et/ou non application des rgles sur la minimisation)
54
Typologie 3 : Droits des personnes
Les composants SI concerns par les risques lis au respect des droits des personnes sont les
suivants :
Fichiers Partags
Rseaux Sociaux
Donnes source
GED-Archivage
Donnes sortie
Types de Risques
Application
Messagerie
Datacenter
Workplace
Video-IoT
Database
Big Data
Rseau
Cloud
DWH
Droits de la personne
Incapacit rpondre aux
droits des personnes
(excution des droits)
Information
Transparence du traitement
Preuve du consentement
Retrait du consentement
(opposition ou suppression)
Respect de la limite du
traitement
Accs
Rectification
Effacement
Portabilit
Profilage
Donnes des mineurs
Un focus fort au sein du groupe de travail a t fait sur le respect des droits de la personne, en
ligne avec le GDPR qui place lindividu au centre des proccupations. Le droit des personnes
est en effet renforc notamment autour des droits laccs, loubli, la portabilit, et cela
ncessite une approche globale ( la fois sur la gouvernance, la sensibilisation, les aspects
techniques de dure de conservation, de traabilit, de traitements des donnes, etc.). Les
recommandations proposes pour la typologie de risque Droits des personnes sont les
suivantes :
55
Politique pour les services existants dans lesquels la rponse aux droits des
personnes n'a pas t prvue l'origine
CIL/DPO, point de contact unique, et instructions pour le contacter
Accs libre-service pour une partie des informations, possibilit de rectification
Catgorisation des traitements
Rationalisation du processus de recueil et mise jour des consentements
Traabilit des consentements
Limitation du traitement
Limitation de la dure de conservation
Purges automatises, ou alertes avant atteinte de la limite rtention
Outil de text mining smantique (dtection des termes sensibles ou injurieux /
champs commentaires)
Rgles des possibilits de profilage
Politique de non-rfrencement des mineurs (sauf consentement formel et trac
des parents)
Information (clart sur les politiques de confidentialit, les objectifs de collecte, les
conditions gnrales de vente, valider via une case cocher)
Transparence du traitement :
Preuve du consentement
Vrifier si le traitement ne repose pas sur une autre base lgale que le
consentement (obligation lgale, sauvegarde de la vie, mission de service public,
contrat ou mesures prises avec la personne, intrt lgitime)
Sassurer que le traitement ne puisse pas tre mis en uvre sans consentement
Sassurer que le consentement sera obtenu de manire libre
Sassurer que le consentement sera obtenu de manire claire et transparente
quant aux finalits du traitement
Sassurer que le consentement sera obtenu de manire spcifique une finalit
En cas de sous-traitance, encadrer les obligations de chacun dans un document
crit, explicite et accept des deux parties
Pour un site internet : opt-in; cookies (avec un bandeau); email rcapitulatif
Pour un salari ou un partenaire commercial : contrat sign
56
Retrait du consentement (opposition ou suppression)
Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent
:
o L'exactitude des donnes caractre personnel est conteste par la
personne concerne, pendant une dure permettant au responsable du
traitement de vrifier l'exactitude des donnes caractre personnel ;
o Le traitement est illicite et la personne concerne s'oppose leur
effacement et exige la place la limitation de leur utilisation ;
o Le responsable du traitement n'a plus besoin des donnes caractre
personnel aux fins du traitement mais celles-ci sont encore ncessaires
la personne concerne pour la constatation, l'exercice ou la dfense de
droits en justice ;
o La personne concerne s'est oppose au traitement, pendant la
vrification portant sur le point de savoir si les motifs lgitimes
poursuivis par le responsable du traitement prvalent sur ceux de la
personne concerne
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit de limitation. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois pour des donnes, dans une
forme similaire celle du traitement (voie postale et/ou voie lectronique). En
outre, les dmarches ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais excdant le cot de la reproduction
57
Accs
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit daccs. Ce droit doit pouvoir tre exerc le plus rapidement
possible, sans jamais excder deux mois pour des donnes, dans une forme
similaire celle du traitement (voie postale et/ou voie lectronique). En outre, les
dmarches ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais excdant le cot de la reproduction
Vrifier que les demandes dexercice du droit daccs faites sur place permettent
de sassurer de lidentit des demandeurs et des personnes quils peuvent
mandater
Vrifier que les demandes dexercice du droit daccs faites par voie postale sont
signes et accompagnes de la photocopie dun titre didentit (qui ne devrait pas
tre conserve sauf en cas de besoin de conserver une preuve) et quelles prcisent
ladresse laquelle doit parvenir la rponse
Vrifier que les demandes dexercice du droit daccs faites par voie lectronique
(en utilisant un canal chiffr si la transmission se fait via Internet) sont
accompagnes dun titre didentit numris (qui ne devrait pas tre conserv
sauf en cas de besoin de conservation dune preuve, et ce, en noir et blanc, en
faible dfinition et sous la forme dun fichier chiffr)
Sassurer de la possibilit de fournir toutes les informations qui peuvent tre
demandes par les personnes concernes, tout en protgeant les DCP des tiers
Sassurer que lidentit des demandeurs et que la lgitimit des limitations
demandes seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs.
Sassurer que les tiers qui des donnes auraient t transmises seront informs
des demandes de limitation
Rectification
Vrifier que le traitement ne fait pas lobjet dune exception (exemple : sret de
ltat, dfense ou scurit publique)
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit de rectification. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois, dans une forme similaire
celle du traitement (voie postale et/ou voie lectronique). En outre, les dmarches
effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais
Sassurer que lidentit des demandeurs et que la vracit des rectifications
demandes seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs
Sassurer que les tiers qui des donnes auraient t transmises seront informs
des rectifications faites
58
Effacement, droit l'oubli
Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent.
Cela peut concerner les cas o :
o Les donnes caractre personnel ne sont plus ncessaires au regard des
finalits pour lesquelles elles ont t collectes ou traites d'une autre
manire ;
o La personne concerne retire le consentement sur lequel est fond le
traitement, et il n'existe pas d'autre fondement juridique au traitement ;
o La personne concerne s'oppose au traitement et il n'existe pas de motif
lgitime imprieux pour le traitement ;
o Les donnes caractre personnel ont fait l'objet d'un traitement illicite
o Les donnes caractre personnel doivent tre effaces pour respecter
une obligation lgale, etc.
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit d'effacement. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois, dans une forme similaire
celle du traitement (voie postale et/ou voie lectronique). En outre, les dmarches
effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais
Sassurer que lidentit des demandeurs et que la lgitimit de l'effacement
demand seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs
Sassurer que les tiers qui des donnes auraient t transmises seront informs
des demandes d'effacement
Portabilit
Vrifier que le traitement ne fait pas lobjet dune exception (exemple : missions
d'intrt public ou relevant de l'exercice de l'autorit publique).
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit la portabilit. Ce droit doit pouvoir tre exerc le plus
rapidement possible, sans jamais excder deux mois, dans une forme similaire
celle du traitement (voie postale et/ou voie lectronique). En outre, les dmarches
effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
leur occasionner de frais
Sassurer que lidentit des demandeurs et que la lgitimit de la portabilit
demande seront vrifies
Sassurer quune confirmation sera fournie aux demandeurs
Sassurer que les tiers qui des donnes auraient t transmises seront informs
de la portabilit faite
Profilage
Vrifier que le traitement ne fait pas lobjet dune exception (exemple : le profilage
est ncessaire la conclusion ou l'excution d'un contrat entre la personne
concerne et un responsable du traitement, consentement explicite, etc.)
Dterminer les moyens pratiques qui vont tre mis en uvre pour permettre
lexercice du droit s'opposer au profilage. Ce droit doit pouvoir tre exerc le
59
plus rapidement possible, sans jamais excder deux mois, dans une forme
similaire celle du traitement (voie postale et/ou voie lectronique). En outre, les
dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais
Les pratiques et recommandations formules prcdemment (qui nont pas vocation tre
exhaustives) sont suffisamment gnriques pour pouvoir tre dclines dans chaque
entreprise, selon leur degr davancement en matire de protection du SI et des donnes
personnelles.
Sil fallait retenir un point, on pourrait dire que tout lintrt de ce travail dinventaire repose
sur la capacit de lentreprise traiter ensemble les risques de cyberscurit et de privacy, en
tant la fois dans une dmarche de prvention, de dtection des risques, et de raction (cest-
-dire mise en uvre dun plan daction mthodique, pour savoir rpondre lensemble des
vnements de manire efficace et rapide lobligation de notification de faille est une bonne
illustration de raction).
60
FOCUS ENTREPRISE
Mylne JAROSSAY
Chief Information Security Officer
LVMH
Lapproche sur les donnes personnelles est oriente vers une logique de Security and privacy
by design dans les projets. Lide est de faire converger les approches scurit et privacy au
niveau des processus et des outils, car si les risques ne sont pas examins sous le mme angle
dans les deux cas, ils conduisent gnralement la mise en uvre de solutions communes.
Cette approche est soutenue par une formation destine aux chefs de projets, intgrant des
analyses de risques et des tudes dimpact sur la vie prive pour les projets qui le requirent.
Elle repose galement sur la formalisation dune politique de scurit vis--vis des
fournisseurs tiers, politique sur laquelle les tiers doivent sengager ds ltape de consultation.
En termes de mesures techniques de scurit, des moyens de protection sont tudier, mais
galement des mesures de surveillance et de dtection, en complment ou lorsque les mesures
de prvention ne sont pas ou ne sont que partiellement applicables
Le GDPR va ncessiter de mettre en place des solutions de chiffrement. Il faudra alors soit
choisir les outils proposs nativement par les diteurs en complment de leur offre applicative,
soit se doter de solutions transverses de type CASB pour pouvoir traiter le chiffrement de
donnes de plusieurs applications du Systme dInformation et garder le contrle sur ce
chiffrement.
61
FOCUS ENTREPRISE
LIEN CEULEMANS
Senior Director, Legal - EMEA Privacy,
Salesforce
La protection des donnes caractre personnel est une responsabilit partage entre
Salesforce et ses clients. A cette fin, Salesforce s'engage respecter les obligations issues du
GDPR dans la fourniture de ses services. Salesforce se tient galement prte assister ses
clients dans leurs efforts de mise en conformit avec le GDPR.
En ce qui concerne les relations avec les sous-traitants, Salesforce met disposition de ses
clients et prospects pour chaque service propos, la liste des sous-traitants auxquels Salesforce
peut faire appel. Cette liste comprend notamment lidentit du sous-traitant, lactivit de
traitement sous-traite (par exemple, hbergement des donnes, support client) et la
localisation du sous-traitant.
Par ailleurs, Salesforce met disposition de ses clients et prospects sa Documentation "Trust
and Compliance" dans laquelle Salesforce dcrit l'architecture et l'infrastructure des services,
les audits et les certifications lis la scurit et la confidentialit des donnes, les contrles
administratifs, techniques et physiques mis en place par Salesforce.
Dans le cadre de transferts de donnes vers des pays noffrant pas un niveau de protection
adquat, Salesforce sassure du respect de la rglementation applicable et du niveau de
protection des donnes caractre personnel en sappuyant sur ses BCR (Binding Corporate
Rules) pour sous-traitants, sur le Privacy Shield et sur les clauses contractuelles types de la
Commission europenne.
62
Illustration concrte de lapproche par le cas CRM
Objectifs du cas
Ce cas dapplication a pour objectif dillustrer la mise en uvre de la dmarche du livre blanc.
Il ne prend en compte quune partie de lactivit Gestion de la Relation Client GRC, ou
CRM en anglais, dune entreprise fictive, et encore, de faon simplifie, afin de le rendre
accessible un non spcialiste.
Lintrt de lactivit de CRM est quon la trouve dans quasiment toutes les entreprises, et
quelle soulve des questions typiques relatives la mise en conformit avec le Rglement
Gnral sur la Protection des Donnes, ou GDPR en anglais.
Contexte du cas
Entreprise : B-AS-USUAL
Dans la ligne de cette stratgie, B-AS-USUAL veut montrer quelle est digne de la confiance
que lui font ses clients et veut gagner celle de ses prospects. Elle se donne comme objectif non
seulement de se mettre en conformit avec le GDPR, lorganisation et les systmes de
gouvernance de donnes personnelles, mais galement de dmontrer que la confiance quelle
rclame de la part de ses clients, est mrite.
63
Pour cela, B-AS-USUAL souhaite raliser une premire tude dimpact pour identifier les
chantiers qui devront tre lancs. Elle dbute son tude par le domaine CRM. Cest lobjet du
cas.
Dmarche
Pendant la phase 3 on dfinit les mesures et les actions qui vont matriser, et minimiser
limpact des risques.
64
Etape 2 : Les risques communs toutes les donnes personnelles lis lefficacit de
la cyberscurit de lentreprise
Les risques sont qualifis au regard de leurs impacts et de leurs probabilits de ralisation. Des
risques avec des probabilits trs faibles et des impacts importants, doivent tre considrs.
Le plan daction permet de projeter dans le temps les mesures organisationnelles et techniques
qui vont minimiser, dtecter, prvenir les risques identifis ltape prcdente. Les mesures
sont classes comme obligatoires ou souhaitables afin dtablir le plan daction de court terme,
constitu des mesures obligatoires sur les risques critiques et de long terme, comprenant les
mesures souhaitables.
La CRM couvre toutes activits de lentreprise qui entrainent un contact avec le client ou le
prospect. Ce sont typiquement : la prospection, la vente, le service aprs-vente. Menes sur
plusieurs canaux, avec une exigence de cohrence et dexprience homogne pour le client, la
CRM peut rapidement savrer complexe.
Il sagit dans cette phase dtablir une cartographie des donnes personnelles et des systmes
qui en assurent les traitements. La dmarche de cartographie propose sappuie sur une
approche standard, diffuse et soutenue par lOpenGroup : Archimate12. Cette dmarche
flexible, permet de ne mobiliser que les concepts utiles au point de vue que lon souhaite
dvelopper et analyser, dans notre cas, il sagit des liens entre mtier, fonctions, systmes et
donnes personnelles.
Pour la GDPR, an a dfini un point de vue simple qui peut se greffer sur une cartographie
dentreprise et en rutiliser les concepts existants.
12 Voir rfrences
65
Les activits de la CRM
Lorsquon parcourt les activits de la CRM, on distingue principalement deux acteurs externes
lentreprise : les suspects et les clients. Chacun deux adopte des rles spcifiques suivant les
interactions quil mne avec lentreprise.
Le suspect
Un suspect na pas encore montr dintrt pour une offre de lentreprise. Pour une grande
partie dentre eux, lentreprise na mme pas suffisamment de donnes pour tablir si la
probabilit de manifester un intrt nest pas nulle. Lentreprise doit enrichir les donnes quil
possde son sujet et affiner la qualification. Gnralement les suspects sont obtenus par
achat de fichiers de donnes.
Plus quun rle, le suspect doit atteindre un tat, dans notre cas, qualifi qui lui permettra
de devenir prospect, ce qui le rendra cible dune prospection, do le rle qualifier . Pour
cela, un suspect mobilise les services mtier Se procure les suspects et Qualifie les
donnes
13Cross-selling, cest vendre une nouvelle offre un client existant, up-selling, cest vendre une option
supplmentaire, ou de gamme suprieure, loffre que le client possde dj
66
Cartographie des services mtier des clients lis aux campagnes
marketing
Dans le cadre du cas dapplication, on ne dveloppe que le service Proposer un produit .
67
Identification des systmes
68
Identification des donnes
Macro-service
Donnes Description Classification
applicatifs
Collecter les donnes
Cibler
Le prospect est un contact Campagne email
Identification qualifi dont on sait valuer Donnes Campagne courrier
prospect lintrt pour une offre dIdentification Campagne
Un prospect est aussi un client tlphonique
Campagne rseau
Campagne internet
On remarque que bien que les donnes clients sont issues dun traitement lgitime, dans ce
cas elles sont utilises dans un traitement non lgitime, lentreprise doit donc se mettre en
conformit avec le rglement europen.
La cartographie permet davoir une vue densemble des liens oprationnels entre donnes et
traitements, ainsi que de mettre en avant les caractristiques intressantes pour la gestion des
donnes personnelles.
Le premier paragraphe dcrit lanalyse des risques spcifiques, lis aux jeux de donnes
personnelles. On a choisi les donnes didentification prospect/client, car, si elles ne
prsentent pas comme les donnes de sant des risques majeurs de non-conformit, elles se
situent la limite et permettent ainsi dillustrer certaines particularits.
69
Risques spcifiques aux jeux de donnes
La premire opration consiste identifier les donnes personnelles qui prsentent un risque
spcifique. Ces donnes sont celles qui entrent dans le primtre dun traitement non lgitime.
A titre dexemple, la matrice ci-dessous rapporte les jeux de donnes identifis dans la
cartographie.
Gestion des
Donnes Prospection Vente
suspects
Identification prospect x
Donnes de navigation x x
Une fois que les jeux de donnes prsentant des risques spcifiques sont identifis, il faut
entrer dans le dtail et identifier les risques. Cela peut tre ralis en utilisant le framework
des risques de donnes personnelles prsent par le livre blanc et en lappliquant chaque jeu
de donnes. A titre dexemple, ce travail danalyse donne lieu ltablissement dune fiche par
jeu de donnes.
Le livre blanc montre bien que lexigence de base, avant toute exigence spcifique, est une
maturit suffisante de la cyberscurit de lentreprise. En effet, sans rpondre cette exigence
de maturit, il sera difficile pour lentreprise dassurer la confidentialit, lintgrit et la
disponibilit de ses donnes personnelles. Laudit de cyberscurit est ralis en utilisant le
framework dcrit dans le livre blanc. Ce Framework concerne lensemble du Systme
dInformation, et motivera la mise en uvre de mesures globales. Il permet de juxtaposer 3
dimensions : le droit la personne, les risques SI avec impacts sur les donnes inspirs du
Framework de lANSSI, les risques de donnes.
70
Risques SI avec impact sur les donnes Frquence Gravit
Exfiltration de donnes 1 3
Au regard des risques lis au Systme dinformation, nous avons identifi 3 risques dont les
frquences estimes sont faibles au regard des mesures dj en place, elles doivent cependant
tre mises jour pour accrotre leur efficacit.
Information
Transparence du traitement 2
Preuve du consentement
Retrait du consentement 4
Accs
Rectification 4
Effacement 4
Portabilit
Profilage
Volont post-mortem
71
Sagissant du droit la personne, on identifie une non-conformit laquelle B-AS-USUAL
rpond partiellement, donc quantifie 2, et 3 non conformits graves quantifies 4. La
frquence doccurrence est maximale puisque cest avr.
Une fois les risques identifis et qualifis, il reste dfinir le plan daction qui va conduire
lentreprise amliorer son niveau de conformit. La dmarche consiste :
identifier dabord les mesures transverses qui font faire voluer le niveau de
maturit de la cyberscurit des donnes, des risques propres aux donnes et au
droit linformation
puis les complter des mesures spcifiques, matrisant les risques lis aux jeux
de donnes
Mesures Action
Perte ou vol dun PC Portable ou support de stockage
Exfiltration de donnes
Blocage des sites internet de transferts ( dropbox, wetransfer, )
X
Certains risques, comme Dfaut de notification en cas dune atteinte aux donnes dans la
catgorie Risques de donnes , ou bien Preuve du consentement dans la catgorie
Droit linformation , peuvent conduire acqurir et dployer de nouveaux composants du
Systme dInformation, fournissant un service mutualis.
72
Dfinir les mesures spcifiques
A la diffrence des mesures prcdentes, les mesures spcifiques sont localises sur un ou
plusieurs composants du Systme dInformation.
Par exemple, reprenant la fiche sur les donnes didentification prospect , nous pouvons
voquer les mesures suivantes :
Comme nous lavons vu prcdemment, certaines mesures de matrise des risques pourraient
ventuellement lgitimer dinstruire des scnarios dvolution de larchitecture du Systme
dInformation. Ces questions sont plus dlicates traiter quune mesure ponctuelle requrant
le simple ajout dune fonctionnalit un composant applicatif.
Ainsi, il peut tre intressant de centraliser les donnes personnelles relevant du rglement
europen afin de centraliser les fonctions permettant dexercer les droits linformation
typiquement le consentement, linformation, le droit loubli.
Selon son contexte business, lentreprise peut souhaiter centraliser les donnes ou bien, juste
les liens rfrenant les donnes. En effet, la question de la localisation des donnes
personnelles dans le systme dinformation se pose frquemment aux entreprises. Cette
question est cruciale pour permettre aux personnes, clients, fournisseurs, collaborateurs,
dexercer leur droit linformation.
Dautre part, la diffusion des systmes big data qui ont la particularit de charger les donnes
telles quelles avant de les traiter, posent des problmes vis--vis du droit loubli. Ils doivent
faire lobjet de mesures spcifiques :
soit dans la politique des donnes qui tablit que ceux-ci ne doivent tre aliments que
de donnes personnelles obfusques,
soit dun dispositif technique qui permette loubli des personnes relevant de lexercice
du droit linformation, cest--dire hors traitement lgitime.
73
Il peut donc tre intressant de construire un registre centralis au sein du systme
dinformation qui rassemble les liens rfrenant les donnes personnelles et qui consolide
lensemble des preuves dinformation, de consentement, de notification etc.
Autorisation
Habilitations
Consentement
explicite dune
politique
Rfrentiel Client Dcisionnel/Big Data
Gestion de la
conformit
(cf Urba-EA)
Glossaire :
74
CHAPITRE 3
Avec le concours de :
Thaima SAMMAN, Associe-fondatrice, SAMMAN
Batrice DELMAS-LINEL, Associe grante, Osborne Clarke
Lise BRETEAU, Associe, Osborne Clarke
Marc DREVON, Avocat, SAMMAN
TECH IN France tient particulirement remercier les avocats pour leur implication dans
la rdaction de ce chapitre juridique.
75
Le GDPR renouvelle lapproche de la protection des donnes personnelles en instaurant de
nouvelles rgles et de nouveaux outils de conformit, que l'on se propose de synthtiser en
trois grands volets :
Le rglement impose aux entreprises dinternaliser les outils de la conformit et dtre, tout
moment en mesure de dmontrer leur conformit au rglement.
Thaima Samman
Associe fondatrice
Cabinet SAMMAN
coopration entre entreprises et rgulateur par la cration et la promotion
doutils de compliance obligatoires ou volontaires.
Ainsi, cette rgulation intelligente nopre pas proprement parler un transfert de pouvoirs
aux entreprises mais instaure un dialogue de coopration rgulatrice entre entreprises et
rgulateur. Cette logique se matrialise par les dispositions du GDPR selon lesquelles les tats
membres, les autorits de contrle, le comit et la Commission encouragent l'laboration de
codes de conduite et la mise en place de mcanismes de certification.
Par ailleurs, cette rgulation intelligente prend littralement chair par la mise en place du Data
Protection Officer (DPO) qui est tourn tant vers linterne, en ayant pour mission dinformer
et de conseiller lentreprise que vers lexterne en tant que coordonnateur entre lentreprise et
le rgulateur.
76
Le DPO est obligatoire pour certaines entreprises, mais il est plus gnralement indispensable
toute entreprise qui traite des donnes de s'interroger sur l'intrt d'un tel poste en son sein.
Selon l'activit et selon les traitements effectus par l'entreprise, ce DPO peut tre un vritable
atout de gouvernance interne et de confiance vis--vis des tiers.
La documentation de la conformit
Cette dfinition est assez large pour couvrir la grande majorit des entreprises et mme si
l'entreprise ne tombe pas sous le coup de cette obligation, il est bien sr recommand de tenir
un tel registre.
77
Le contenu du registre est dtaill dans le GDPR. Il doit comporter les informations suivantes :
Sagissant des dlais de conservation des donnes, on notera que le rglement parle de dlai
deffacement. Cette question est cependant plutt aborde sous langle du dlai de
conservation. La dure de conservation sinscrit dans le principe de privacy by default, et doit
tre envisage au regard des finalits pour lesquelles les donnes personnelles sont traites.
Ainsi, si une dure ne peut tre a priori dtermine, il convient nanmoins de renseigner les
modalits de dtermination de cette dure de conservation.
Par ailleurs, le responsable du traitement est tenu de documenter toute violation de donnes
caractre personnel, en indiquant les faits concernant la violation des donnes caractre
personnel, ses effets et les mesures prises pour y remdier. La documentation ainsi constitue
permet l'autorit de contrle de vrifier le respect des dispositions du GDPR.
Dans ses rcentes lignes directrices soumises consultation, le G29 suggre galement aux
responsables de traitement de documenter les actions prises la suite dune violation de
donnes personnelles et notamment de documenter les raisons qui ont conduit considrer
que la violation ne reprsentait pas un risque ou un risque lev ou pourquoi la communication
de la violation ntait pas ncessaire en application des dispositions de larticle 34 (3) du
GDPR.
De mme, le responsable de traitement devrait documenter les raisons pour lesquelles une
notification lautorit de contrle a t retarde au-del du dlai de 72h. Enfin, le responsable
de traitement, afin de remplir ses obligations en matire daccountability et de compliance,
devrait se doter des moyens lui permettant de rapporter la preuve dune notification auprs
des personnes concernes.
78
La documentation de la conformit passe galement par lenregistrement et la conservation
des lments suivants :
Ces registres et documentation doivent tre tenus en ayant en tte qu'ils devront tre
communiqus, tout moment, aux autorits de contrle qui en feront la demande. Il
conviendra d'tre vigilant sur la clart et lisibilit des informations y figurant.
Marc DREVON
Avocat
Cabinet SAMMAN
registre est ainsi particulirement utile pour raliser une valuation des
traitements qui ne sont pas soumis analyse dimpact (voir ci-aprs).
Le GDPR impose la ralisation dune analyse dimpact relative la protection des donnes (ou
DPIA pour Data Protection Impact Assessment) pour les traitements prsentant un risque
important pour la protection des donnes personnelles et leurs impacts sur les droits et liberts
des personnes concernes par ces traitements.
L'analyse d'impact est un outil introduit par le GDPR conu pour dcrire un traitement de
donnes caractre personnel, valuer la ncessit et la proportionnalit du traitement et
aider identifier les risques rsultant de ce traitement ainsi que les mesures pour y remdier.
Ralis par le responsable de traitement en amont de tout projet dans le respect de l'approche
Privacy by Design, l'analyse d'impact est un outil dynamique et efficace s'inscrivant la fois
dans une logique d'accountability et dans une logique de gestion des risques.
En effet, cet outil permet en premier lieu de btir sa conformit et de la dmontrer. Mme dans
les cas o l'analyse d'impact n'est pas strictement exige par la rglementation (cf. ci-dessous),
elle sera trs utile aux prestataires de services souhaitant proposer des produits respectueux
79
de la vie prive. Ceux-ci sont d'ailleurs vivement encourags par les autorits de contrle
communiquer au public leur analyse d'impact afin de crer une relation de confiance.
L'analyse d'impact permet galement une gestion efficace du risque puisqu'une telle analyse
demande au responsable d'valuer, en particulier, l'origine, la nature, la porte, le contexte, la
particularit et la gravit du risque engendr par le traitement de donnes caractre
personnel et de prendre des mesures pour supprimer ou limiter ces risques. Le risque rsiduel
sera soit accept par le responsable de traitement soit assur.
Pour effectuer cette analyse d'impact, le responsable de traitement pourra s'appuyer sur
diffrents acteurs internes tels que le DPO, les mtiers, le RSSI, qui seront dans la plupart des
cas l'initiative de l'analyse d'impact et dfiniront la mthodologie approprie l'entreprise
(cf. ci-dessous), ainsi que sur des acteurs externes, sans oublier les sous-traitants eux-mmes
dans le cadre du devoir d'assistance envers le responsable de traitement pesant sur eux aux
termes de la rglementation.
Au titre de l'Article 35 du GDPR, les responsables de traitement ont l'obligation d'effectuer une
analyse d'impact dans certains cas limitativement numrs et principalement lorsque le
traitement ou le produit qui sera dploy est susceptible dengendrer un risque lev pour
les droits et liberts des personnes physiques concernes .
Par ailleurs, dans le cas o l'analyse d'impact rvlerait un risque rsiduel important, le
responsable de traitement devra galement consulter l'autorit de contrle afin d'obtenir son
autorisation pralable.
Afin de faciliter la mise en uvre de cet article 35, le Groupe de l'Article 29 ("G29") a publi
des lignes directrices publies le 4 avril 2017 14.
14 Groupe de l'Article 29," Lignes directrices sur l'analyse d'impact relative la vie prive et sur la dtermination du
traitement "susceptible d'engendrer un risque lev" dans le cadre du Rglement 2016/679", 4 avril 2017 (disponible
en ligne en anglais uniquement :
http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 ). Ces lignes directrices viennent d'tre finalises le 4
octobre 2017, https://www.cnil.fr/sites/default/files/atoms/files/20171013_wp248_rev01_enpdf.pdf
80
Dans la continuit de ces lignes directrice et afin d'aider les responsables de traitement dans
la dtermination de la ncessit d'une analyse d'impact et d'une consultation de l'autorit de
contrle nous avons labor l'arbre de dcision suivant :
81
c) Comment raliser une analyse dimpact ?
Chaque responsable de traitement aura par consquent la libert soit de choisir une
mthodologie existante (cf. liste de mthodologies publie par le G29 15), soit de crer sa propre
mthodologie en fonction de son activit et de ses rgles de fonctionnement interne.
Lise BRETEAU
Associe
Osborne Clarke
dvelopper leur propre mthodologie sectorielle afin de disposer d'un outil le
plus adapt possible.
Les autorits de rgulation en Europe s'accordent pour dire que le DPO est la pierre angulaire
de laccountability. Le DPO va accompagner lentreprise pour quelle soit en conformit avec
les dispositions applicables en matire de protection des donnes caractre personnel. Il a
galement pour mission dtre lintermdiaire entre la CNIL et les entreprises afin que ces
dernires puissent adapter en temps rel leurs traitements aux exigences du GDPR.
15 Groupe de l'Article 29," Lignes directrices sur l'analyse d'impact relative la vie prive et sur la dtermination du
traitement "susceptible d'engendrer un risque lev" dans le cadre du Rglement 2016/679", 4 avril 2017 (disponible
en ligne en anglais uniquement : http://ec.europa.eu/newsroom/document.cfm?doc_id=44137 )
82
FOCUS ENTREPRISE
Elena GILOTTA,
Directrice de la conformit de la zone EMEA
BOX
La gestion de donnes est centrale l'activit de BOX, qui fournit des services de stockage, de
partage et de gestions de donnes. BOX est donc trs sensible la question des donnes
personnelles et applique depuis plusieurs annes des principes similaires ceux du GDPR, y
compris le principe d'accountability.
La stratgie de BOX en matire de donnes personnelles est dtudier les rgles des pays o
lentreprise a des activits en Europe (principalement Royaume-Uni, France et Allemagne) et
dappliquer les plus strictes ( the bar has to be high ).
La ncessit de cartographier les traitements de donnes est une des grosses difficults du
GDPR, complexifie par la diversit des systmes utiliss. BOX propose ainsi ses clients de
centraliser leurs donnes dans un systme unique (mme sil ne sagit pas dun stockage
gographique unique).
Pour permettre une meilleure scurit des donnes, BOX offre galement ses clients de
travailler avec un consultant externe afin que celui-ci propose des mesures de scurit adapte
en fonction du type de donnes stockes chez BOX.
83
a) Les critres dterminant lobligation de se doter dun DPO
Le caractre obligatoire du DPO repose sur trois critres : lactivit de base, le suivi rgulier et
systmatique, le traitement grand chelle.
1/ Activits de base : Les activits vises par le GDPR sont les activits d'un responsable du
traitement qui ont trait ses activits principales et ne concernent pas le traitement des
donnes caractre personnel en tant qu'activit auxiliaire.
Selon le G29, cette notion englobe les oprations ncessaires au responsable de traitement ou
au sous-traitant pour accomplir ses missions. Cette interprtation exclurait donc des activits
de base les activits de traitement des fonctions supports telles que les ressources humaines
ou les services informatiques.
2/ Traitement grande chelle : Cette notion nest pas dfinie par le GDPR et le G29 na
pas souhait donner une dfinition dfinitive estimant que cette notion devra tre prcise par
la pratique. Nanmoins, lapprciation du traitement grande chelle peut se fonder sur :
84
3/ Suivi rgulier et systmatique : ces termes ne sont pas dfinis par le GDPR. Le G29
interprte le terme rgulier comme comprenant les significations suivantes :
Il convient de noter que le droit de lUnion et le droit national des Etats membres pourront
prvoir des cas supplmentaires pour lesquels la dsignation dun DPO sera obligatoire.
Ainsi, par exemple, lAllemagne a tendu la dsignation obligatoire dun DPO aux cas suivants :
Par ailleurs, la nomination volontaire dun DPO oblige lentreprise respecter lensemble des
critres relatifs au DPO.
Dans lhypothse o une entreprise ferait le choix de ne pas nommer un DPO, il semble
primordial de documenter cette dcision et de la justifier au regard des critres
susmentionns.
b) Le choix du DPO
Le DPO peut tre un salari de lentreprise ou remplir sa mission en tant que collaborateur
extrieur.
Le DPO doit tre accessible, cest--dire que son accs doit tre ais tant pour les personnes
concernes que pour lautorit de protection des donnes caractre personnel. Cela suppose
que le DPO puisse rpondre dans une langue gnralement utilise par les personnes
concernes et lautorit de contrle, que les coordonnes du DPO soient facilement accessibles
tant vis--vis de lextrieur quen interne. Sil est possible de nommer un unique DPO pour un
groupe dentreprises, il conviendra de veiller que cela soit sans prjudice de son accessibilit.
85
Les comptences du DPO
Le DPO doit tre dsign sur la base de ses qualits professionnelles et, en particulier, de ses
connaissances spcialises du droit et des pratiques en matire de protection des donnes, et
de sa capacit accomplir ses missions. Le niveau dexpertise doit tre apprci en fonction de
la taille de lentreprise et des traitements raliss notamment de lexistence de traitements de
donnes sensibles ou des transferts internationaux de donnes.
Il convient de sassurer que le DPO dispose galement dune bonne connaissance du secteur
dactivit de lentreprise concerne. Il est important que le DPO puisse avoir accs aux
formations proposes par la CNIL.
Le DPO doit tre en mesure daccomplir ses missions. En plus des comptences, le
DPO doit disposer des moyens techniques et humains ncessaires. Lentreprise doit donc, le
cas chant, tablir un budget et une quipe. Elle devra galement permettre au DPO de suivre
des formations.
Le profil et la place du DPO dans lorganisation doit lui permettre de disposer de lautorit
ncessaire et de laccs aux dirigeants. Sur la base dun tat des lieux des traitements mis en
uvre, lentreprise pourrait formaliser les lments suivants :
Il convient de veiller ce que les mesures prises dans ces domaines ne viennent pas empiter
sur les missions du DPO. Il appartient galement lentreprise de mettre en place la
communication ncessaire pour asseoir lautorit du DPO.
Le DPO doit tre indpendant. Si le DPO nest pas un salari protg au sens du droit du
travail, le GDPR prcise que le DPO ne peut faire lobjet de sanctions ni ne recevoir
dinstruction pour lexercice de ses missions. Ces dispositions devraient tre reprises dans le
contrat entre le DPO et lentreprise. On notera que le DPO peut tre sanctionn pour des motifs
extrieurs sa mission. Dans une telle hypothse, il conviendra de prvoir une procdure
renforce afin quil ny ait pas de possible quivoque sur les raisons de ces sanctions.
Le DPO ne doit pas prsenter de conflits dintrts. Les fonctions de DPO ne sont pas
exclusives dautres fonctions au sein de lentreprise. Cependant, il convient de veiller ce que
ces autres fonctions ne conduisent pas un risque de conflits dintrts. Tout particulirement,
le DPO ne doit pas exercer de missions le conduisant dfinir les finalits et les moyens du
traitement de donnes caractre personnel. Ainsi, certains postes semblent par nature
prsenter des risques de conflits dintrts : directeur juridique, directeur du marketing,
86
directeur IT, etc. Les entreprises devraient raliser une valuation leur permettant de
dterminer :
Les postes qui ne peuvent tre cumuls avec les fonctions de DPO ;
Les rgles permettant dviter les conflits dintrts ;
Les stipulations contractuelles relatives aux conflits dintrts prvoir dans le contrat
avec le DPO ;
Les modalits de dclaration dabsence de conflits dintrts afin dattirer lattention
du DPO sur cette question.
Le DPO est un poste de gestion de risques qui dbouche sur des prconisations et des
recommandations en vue de la conformit avec le GDPR.
Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative
la protection des donnes. Les entreprises devraient prvoir les modalits selon
lesquelles elles consultent leur DPO en matire d'analyse d'impact notamment sur les
questions suivantes :
o La ncessit ou non de raliser une analyse d'impact ;
o La mthodologie de cette analyse d'impact ;
o Les garde-fous mettre pour circonscrire les risques datteintes aux droits des
personnes concernes ;
o La vrification du bon droul de l'analyse d'impact et lapprciation quant au
respect du GDPR.
Faire office de point de contact pour l'autorit de contrle sur les questions relatives
au traitement, notamment pour la consultation pralable des traitements dont
l'analyse d'impact relve un risque fort pour les droits des personnes concernes.
Le DPO doit adopter une approche axe sur les risques. Cest le risque qui doit dterminer la
conduite du DPO et laider prioriser ses missions.
87
A noter : les entreprises devraient galement prvoir de documenter les raisons
pour lesquelles elles dcident de ne pas suivre une recommandation du DPO.
Le GDPR ne se focalise pas seulement sur les objectifs de la protection des donnes, il dfinit
aussi les moyens de cette protection et encourage ladoption de diffrents outils permettant
aux entreprises de communiquer publiquement sur leur conformit. Ainsi, codes de conduite,
certification et rgles contraignantes d'entreprise, font l'objet d'un focus et d'une
reconnaissance marqus de la part du GDPR. Autant d'outils visant crer la confiance.
Primtre prvu au
Outils Objet
GDPR
Rserv un secteur
Codes de conduite Outil de conformit
identifi [ confirmer]
Non rserv un secteur
Certifications Outil de conformit
particulier
Outil dencadrement des
Rgles dentreprise transferts intragroupe de
Groupe dentreprises
contraignantes donnes caractre
personnel
88
FOCUS ENTREPRISE
Stanislas DE RMUR
Cofondateur et CEO
Oodrive
La mise en conformit avec le GDPR est un passage oblig pour toutes les entreprises
europennes. Et Oodrive ne fait pas exception, bien sr. Compte tenu de notre
secteur dactivit et de nos mtiers, la question de la protection des donnes personnelles
est essentielle. En effet, nous grons travers nos solutions de partage, de sauvegarde et de
signature lectronique une quantit considrable de donnes.
Ce nouveau texte europen est donc une tape importante pour nous
Nous travaillons la fois sur la conformit de nos solutions (Privacy by Design), ainsi qu la
fourniture des services requis par le rglement. Les donnes collectes via nos solutions de
sauvegarde sont chiffres de bout en bout par dfaut avec une possibilit de choisir la cl de
chiffrement. Cela nous permet dtre en accord avec certaines exigences du GDPR en matire
de scurit.
Une certification, notamment dans le domaine de la scurit, peut galement jouer un rle trs
important. Cest non seulement une vraie reconnaissance de notre travail, mais cest aussi
un gage de confiance pour un client. Certaines sont pratiquement incontournables, comme la
norme ISO 27001
La scurit tant la pierre angulaire de nos mtiers, nous nous sommes impliqus ces
dernires annes dans un certain nombre de dmarches qui nous permettent aujourdhui
dtre dj bien engags sur la voie de la conformit au RGPD.
En 2014, nous avons par exemple particip llaboration dune certification sous la bannire
Cloud Confidence. Le label Cloud Confidence, actuellement en cours de rvision pour tre en
accord avec le RGPD, nous permet aujourdhui de garantir nos clients et aux utilisateurs de
nos solutions un cadre de transparence sur la protection des donnes.
89
Les principaux outils de confiance vis--vis des tiers et
la prsomption de conformit
La notion de "code de conduite" introduite par le GDPR constitue une nouveaut par rapport
la loi franaise de 1978, mme si certaines actions de la CNIL ces dernires annes
s'inscrivaient dj dans une dmarche proche (cf. ci-dessous). Dans une acception large, un
code de conduite pour une entreprise est un ensemble d'engagements unilatraux sur des
principes, des actions, des pratiques, bref, sur une conduite que cette entreprise s'engage
adopter et respecter, le tout formalis au sein d'un document rendu public. Ainsi le code de
conduite nest pas impos par une loi ou une rglementation. Sa valeur contraignante ne vient
donc pas de la sanction prvue par la loi, mais du caractre public de l'engagement unilatral
pris par l'entreprise qui, en cas de non-respect de cet engagement se retrouve publiquement
expose et dcrdibilise. Popularis par les stratgies et plans de responsabilit socitale et
environnementale des entreprises, cet outil parfois conu et peru comme un simple
instrument de communication et de marketing est le plus souvent un vritable instrument
normatif pour les entreprises dans un contexte de "soft law", savoir d'autorgulation, de plus
en plus prgnant et encourag par le lgislateur national et europen lui-mme.
Ainsi au plan de l'Union Europenne, le concept de code de conduite fait son introduction ds
la directive 2005/29/CE relative aux pratiques commerciales dloyales des entreprises vis--
vis des consommateurs dans le march intrieur qui le dfinit comme : un accord ou un
ensemble de rgles non imposs par les dispositions lgislatives, rglementaires ou
administratives dun tat membre, qui dfinissent le comportement des professionnels qui
sengagent tre lis par lui sur une ou plusieurs pratiques commerciales ou un ou plusieurs
secteurs dactivit. 16
Il nest ds lors pas surprenant que le GDPR reprenne cette notion en matire de protection
des donnes caractre personnel, son Article 40 1 l'voquant non pas l'chelle d'une
entreprise mais d'un secteur d'activit donn, secteur qui se doterait d'un ensemble de rgles
destines contribuer la bonne application du [GDPR], compte tenu de la spcificit des
diffrents secteurs de traitement et des besoins spcifiques des micro, petites et moyennes
entreprises 17.
C'est donc un code de conduite "sectoriel" que vise le GDPR, sans pour autant dfinir ce terme,
ce qui ouvre la voie une approche de la conformit non pas limite une entreprise ou un
groupe d'entreprises mais l'ensemble des entreprises relevant du secteur concern. Si les
intrts d'une telle approche sont multiples (a), il convient de s'attarder sur les conditions de
mise en uvre de ce nouvel outil de conformit (b).
16 Article 40 1 du GDPR
17 Voir notamment le considrant (77) et les articles 24, 28, et 32 du GDPR
90
a) Les intrts lis au code de conduite sectoriel
Les codes de conduite font lobjet de deux articles ddis dans le GDPR, les articles 40 et 41,
auxquels s'ajoutent de nombreuses rfrences tout au long du texte. Les codes de conduite sont
prsents comme un outil de conformit des traitements de donnes et sinscrivent dans la
mme logique daccountability introduite par le GDPR que les certifications.
En premier lieu, il sagit dun outil de preuve de la conformit, aussi bien pour les responsables
du traitement 18 que pour les sous-traitants 19. L'adhsion un code de conduite est dailleurs
prise en compte dans les analyses d'impact 20 en ce quelle permet de minimiser les risques lis
aux traitements raliss.
Enfin, l'adhsion un code de conduite (comme cest le cas en ce qui concerne les
certifications) permet des prestataires trangers de fournir des garanties appropries
dans le cadre dun transfert de donnes, sous rserve dun engagement juridiquement
contraignant sur ces garanties 22. Cest une option intressante qui peut tre propose des
partenaires hors UE (tels que des prestataires amricains).
Pour le lgislateur, c'est le moyen de permettre au plus grand nombre d'entreprises d'accder
aux outils de conformit, mais aussi de pouvoir dialoguer directement avec les instances
reprsentatives des secteurs qui auront adopt un code de conduite, rduisant ainsi le nombre
d'interlocuteurs directs.
Les codes de conduite sectoriels, pour produire leur plein effet, doivent avoir suivi une
procdure dapprobation prcise visant garantir leur conformit la rglementation
europenne.
18 Article 24 du GDPR
19 Article 28 du GDPR
20 Article 35 du GDPR
21 Considrant (148) et article 83 du GDPR
22 Article 46 du GDPR
91
b) Les conditions de validit et d'approbation d'un code de conduite sectoriel
au sens du GDPR
Concernant la rdaction d'un code de conduite sectoriel, le GDPR fournit les indications
suivantes sur son contenu qui devra aborder les thmes suivants :
b) les intrts lgitimes poursuivis par les responsables du traitement dans des
contextes spcifiques ;
Malgr ces indications, force est de constater que le contenu dun code de conduite est encore
incertain. Il parait raisonnable de sinspirer, pour rdiger un code de conduite, du format et
contenu des BCR, sous une forme la fois plus gnrale ( savoir dpassant une seule
entreprise) et adapte au secteur concern, tout en permettant de prendre en compte les
diffrentes situations de ses signataires (par exemple selon la taille des entreprises).
23 Article 40 4 du GDPR
92
Certaines associations et fdrations ont commenc rflchir sur l'laboration d'un code de
conduite et l'on peut citer l'exemple du code de conduite du CISPE (Cloud Infrastructure
Services Providers in Europe) 24.
Cette rdaction pourra faire l'objet d'changes avec l'autorit de contrle comptente,
puisqu'en tout tat de cause tous les projets de code de conduite, ainsi que toutes les
modifications ou prorogations ultrieures de tels codes, sont soumis lautorit de contrle
comptente, qui met un avis.
En cas davis positif, si le projet ne concerne quun Etat membre (cest--dire porte sur des
traitements dans un seul Etat membre), lautorit enregistre et publie le code de conduite. Si
le projet concerne plusieurs Etats membres (sil porte sur des traitements dans plusieurs Etats
membres, ce qui sera probablement trs souvent le cas), lautorit soumet le projet au comit
europen de la protection des donnes (CEPD), qui lui-mme le consigne, le publie et le
soumet la Commission sil estime que le projet est conforme au GDPR. Aprs une procdure
dexamen, la Commission peut alors dcider que le code de conduite est dapplication gnrale
au sein de lUE. Cet aspect est important : potentiellement, un code de conduite peut devenir
un instrument normatif gnral, ce qui plaide en faveur de cet outil et invite galement la
prudence dans son laboration.
Le contrle du respect des codes de conduite sera effectu par un contrleur agr par les
autorits de contrle. Ce contrleur doit tre un organisme qui dispose dun niveau
dexpertise appropri 25, et qui pourra tre une organisation prive.
Batrice Delmas-Linel
Associe grante
Osborne Clarke
incluant la suspension ou lexclusion de lapplication du code pour lentreprise
concerne.
24 Code de conduite labor par le CISPE (Cloud Infrastructure Services Providers in Europe) disponible en ligne :
https://cispe.net/wp-content/uploads/pdf/CISPE-CodeOfConduct-160926.pdf
25 Article 41 1 du GDPR
93
FOCUS ENTREPRISE
Sylvain FOUREY
RSSI Groupe
Cegid
Cegid au mme titre que toutes les entreprises europennes est soumis au nouveau rglement
gnral sur la protection des donnes RGPD ou GDPR en anglais. Plus quune volution
rglementaire, il faut voir cette obligation comme une opportunit dapporter plus de
transparence et donc de confiance aux personnes avec qui nous sommes tous en relation.
En attendant les labels, certifications, outils et autres process qui permettront de dmontrer
la conformit dune organisation sur le sujet de la gestion des donnes personnelles, nous
pensons quil est ncessaire de faire un focus sur quelques notions.
Le point le plus important est la mise en place dune gouvernance transverse sur la gestion des
donnes. En effet la mise en place dun projet GDPR se traduit par des modifications dans les
usages des collaborateurs, les moyens mis disposition et donc doit sinscrire dans un
changement plus global de la culture de lentreprise. Les donnes doivent devenir des actifs
part entire du systme dinformation.
Afin de suivre et guider cette transformation, la fonction DPO (Data Privacy Officer) aura un
rle central. Ses domaines de comptences devant couvrir un primtre allant du juridique
loprationnel en passant par la scurit des systmes dinformation et la connaissance des
mtiers de lentreprise, les rflexions portant sur la nomination de plusieurs DPO ayant chacun
sa spcialit ne doit pas tre carte.
Un autre sujet sur lequel il est essentiel de sattarder est la documentation produire. Cette
documentation obligatoire sera demande lors dun contrle mais il faut aussi la voir comme
un lment de confiance. En effet, pourquoi ne pas capitaliser sur le travail effectu pour en
tirer des lments de communication avec lesquels nous pourrions alimenter la confiance de
toutes les personnes avec qui nous travaillons.
Enfin, le mode de distribution de certains produits comme les notre va revtir une importance
supplmentaire. Au moment o les organisations valuent leurs risques et commencent se
mettre en ordre de bataille, les diteurs de logiciel ont un rle vident jouer dans
laccompagnement -ou non !- de leurs clients. Dans cette perspective, le mode SaaS apparait
comme un outil dautant plus puissant et rassurant pour de nombreux clients et prospects ;
ceux qui ont dj opt pour ce choix stratgique sont dautant mieux placs pour se prparer.
La scurit des donnes et la confiance dans les acteurs numriques sont les piliers qui vont
construire les changes digitaux de demain, faisons-en sorte de tous contribuer ce but.
94
En France, il est intressant de signaler que la loi informatique et liberts franaise permet
dj la CNIL de donner un avis sur la conformit aux dispositions de la loi du 6 janvier 1978
des projets de rgles professionnelles tendant la protection des personnes l'gard du
traitement de donnes caractre personnel. Ces rgles professionnelles, peu rpandues
jusquici, prfigurent la notion de code de conduite. On peut citer comme exemple de code de
conduite reconnu conforme par la CNIL, le code relatif lutilisation de coordonnes
lectroniques des fins de prospection directe tabli par l'Union Franaise du Marketing
Direct 26, ainsi que le code de dontologie de la communication directe lectronique tabli par
Syndicat National de la Communication Directe 27.
Enfin, la CNIL a labor plusieurs packs de conformit 28 en concertation avec les acteurs
de certains secteurs d'activit. Ces packs de conformit dfinissent des bonnes pratiques pour
un secteur et peuvent contenir des mesures de simplification des formalits, des guides
pratiques et pdagogiques, des tests de vrification de conformit la loi. Ils illustrent la
volont de la CNIL de dvelopper de nouveaux outils de rgulation. Si ces packs sappuient sur
divers instruments juridiques aujourd'hui remis en cause par le GDPR (normes simplifies,
autorisations uniques, recommandations notamment), il est probable que la CNIL sinspire de
cette approche dans la future procdure dadoption des codes de conduite : mme si la CNIL
et les autres autorits de contrle agiront formellement par dlgation , il ne fait pas de
doute que les codes de conduite seront des outils soumis un encadrement strict de la part de
ces autorits.
26 Code relatif lutilisation de coordonnes lectroniques des fins de prospection directe, Union Franaise du
Marketing Direct (disponible en ligne : http://www.ufmd.org/file/125350/) dclar conforme la loi Informatique et
Liberts par la CNIL dans une dlibration n2005-051 du 30 mars 2005.
27 Code de dontologie de la communication directe lectronique, Syndicat National de la Communication Directe
95
Thaima Samman
Associe fondatrice
Cabinet SAMMAN
Les certifications et les labels ont vocation jouer un rle de premier ordre
dans la mise en uvre du GDPR car ils prsentent de rels avantages pour
toutes les parties prenantes : les entreprises certifies mais galement les
autorits de contrle et, plus important encore, les individus. Les mcanismes
de certification, comme les codes de conduite, sont galement une illustration
de la transformation de la protection des donnes personnelles vers des
mcanismes dauto-rgulation.
Ces outils ont pour vocation non seulement daider les entreprises se
conformer au GDPR mais galement dmontrer leur conformit ce
rglement que ce soit pour certains ou pour l'ensemble de leurs services,
produits ou activits. Par ailleurs, les certifications devraient tre adaptes
toute taille dentreprises, de la PME lentreprise multinationale. Bien que le
GDPR ne le prvoit pas expressment (contrairement ce qui existe pour les
codes de conduite), limplication des entreprises concernes dans llaboration
des certifications et labels, au ct du rgulateur, en France la CNIL, semble
indispensable au succs et leffectivit de ces dernires.
conformit existants dans dautres rgions du monde.
Conformit au GDPR ;
Dmonstration du respect des obligations du GDPR ;
Dclinaison oprationnelle du GDPR ;
Facilitation des relations contractuelles : la certification offre un cadre fiable et
vrifiable pour les oprations de traitement des donnes, particulirement pertinent
pour les oprations de cloud computing o un audit individuel ne serait pas possible ;
Communication avec les tiers, les personnes concernes et les DPA. La certification
permet de construire une relation de confiance ;
96
Transfert : les certifications constituent des garanties appropries pour les transferts
hors de lUE sous rserve de l'engagement contraignant et excutoire d'appliquer ces
garanties appropries, y compris en ce qui concerne les droits des personnes
concernes. Notamment, une telle certification ne ncessite pas une autorisation
pralable au transfert.
La certification peut tre dlivre, pour une priode maximale de trois ans, par un organisme
spcialement agr par lautorit de contrle (lorganisme national daccrditation (COFRAC)
pourrait potentiellement jouer ce rle) voire le comit de protection des donnes. Le comit
europen de la protection des donnes centralisera dans un registre disposition du public
tous les mcanismes de certification et les marques. La Commission quant elle peut, par voie
dacte dlgu, prciser les critres et exigences prendre en considration lors de
llaboration des mcanismes de certification. Elle peut, par voie dacte dexcution, fixer des
normes techniques pour les mcanismes de certification, ainsi que des marques et labels. La
CNIL souhaite ainsi tre en amont dans la production de rfrentiel, et tout fait en aval au
moment du contrle du respect des certifications, labels ou marques. Plusieurs organismes
comme l'AFNOR ou Bureau Veritas ont exprim leur intrt devenir organisme de
certification.
Il nexiste pas encore de certification GDPR. Cependant, la CNIL propose plusieurs labels, dont
le label Gouvernance Informatique et Liberts , le label Formation ou encore le label
coffre-fort numrique 30.
La CNIL a publi en septembre une mise jour des labels formation et gouvernance pour
prendre en compte les exigences du GDPR et pour permettre aux organismes labelliss
dadapter ds que possible leurs procdures et produits labelliss. La mise jour des
rfrentiels en matire de procdure daudit et de coffre-fort numrique est prvue pour fin
2017.
Le label coffre-fort numrique adopt par la CNIL par une dlibration du 23 janvier
2014 valide les services de coffre-fort numrique qui rpondent lobjectif de conversation
scurise et de protection des donnes caractre personnel contenues dans un coffre-fort de
telle sorte que ces dernires ne soient accessibles qu leur utilisateur et aux personnes
physiques spcialement mandates par ce dernier. Ladhsion un tel label peut permettre
galement de se prparer au GDPR.
30 CNIL, dlibration n 2014-500 du 11 dcembre 2014 portant adoption d'un rfrentiel pour la dlivrance de
labels en matire de procdures de gouvernance Informatique et liberts.
97
Particulirement adapt aux fournisseurs de services de cloud computing, le label EuroPriSe,
auquel la CNIL a contribu, a fait lobjet dune mise jour pour prendre en compte les
nouvelles obligations issues du GDPR.
Comprendre des incitations pour acclrer leur adoption par les entreprises ;
Etre harmoniss au niveau europen : il faut viter la multiplication des types de
certification sous peine de diminuer leur lisibilit et leur efficacit auprs des personnes
concernes. Les ventuelles certifications nationales devraient tre des dclinaisons de
certifications de niveau europen.
Prendre en compte les autres certifications ou standards existants comme les certifications
ISO ou les rgles pour les transferts internationaux de donnes de lAPEC.
Prvoir une coordination avec les BCR : ladoption de BCR devraient faciliter lobtention
dune certification et rciproquement ;
Pouvoir tre adapts en fonction de la taille de lentreprise et de son activit.
Les BCR sont des rgles contraignantes qui simposent lensemble des entits concernes
dun groupe et confrent aux personnes concernes des droits opposables en matire de
protection de leurs donnes caractre personnel. Elles sont approuves par les autorits de
contrle dans le cadre d'un processus trs encadr. Elles constituent un investissement pour
faciliter les flux de donnes au niveau mondial au sein d'un groupe.
Cependant, les BCR ne doivent pas tre vues comme tant simplement un
mcanisme de transfert, il sagit dun vritable outil de conformit au GDPR de
faon harmonise au niveau du groupe.
Les BCR peuvent tre considres comme une vritable certification de lentreprise
bnficiaire. Outil de communication, les BCR permettent de gagner la confiance des clients
et dassurer les personnes concernes du bon niveau de protection des donnes caractre
personnel par lentreprise.
Le G29 d'ailleurs travaille sur l'actualisation des rfrentiels en matire de BCR afin qu'ils
puissent aller au-del des questions de garantie offertes en matire de transfert.
98
FOCUS ENTREPRISE
Nathalie LANERET
Responsable de la protection des donnes
Capgemini
Dans ce cadre, Capgemini a tabli un socle 64 rgles minimales de scurit qui doivent tre
appliques par toutes les entits du groupe dans tous les pays et qui sont rpercutes sur les
cocontractants.
Capgemini met en place le GDPR en sappuyant sur ses BCR controller et processor, ce qui lui
permet de mutualiser les efforts. Grce aux BCR, Capgemini a mis en place une gouvernance
interne qui comporte notamment la nomination dun DPO au niveau du Groupe ainsi que la
tenue de runions de suivi rgulires sur le niveau davancement de la mise en conformit.
De faon gnrale, de par leurs prrequis organisationnels et leur approche transversale, les
BCR permettent dtablir les bases du programme de conformit interne de lentreprise en
matire de protection des donnes personnelles, lequel est rendu ncessaire dans le cadre de
la mise en uvre du principe daccountability au titre du GDPR.
A ce titre, il importe que les BCR soient considres comme un outil daccountability privilgi
au titre de la mise en uvre du rglement.
Pour russir la mise en uvre du GDPR, il convient dadopter une approche dynamique et non
statique de la compliance, tout comme cest le cas en matire de scurit.
99
Focus transferts internationaux de donnes
Les transferts internationaux de donnes sont encadrs par le GDPR. Celui-ci prvoit 5
modalits principales de transferts :
Attention !
Une dcision de justice ou une dcision administrative dun pays tiers ne peut contraindre un
responsable de traitement ou un sous-traitant divulguer des donnes caractre personnel
sauf accord entre les Etats ou lEtat et lUE.
100
Contenu des BCR
Le contenu des BCR est largement prcis par le rglement. Ainsi, les BCR doivent au moins
comprendre :
Le GDPR modifie les obligations et responsabilits des diffrents acteurs et encadre beaucoup
plus strictement les contrats devant tre conclus entre eux. Cela suppose ainsi de procder
une revue des contrats en cours comportant des traitements de donnes caractre personnel
dici le 25 mai 2018 et, le cas chant denvisager leur rengociation, voire de ngocier un
contrat spcifique pour le traitement des donnes, ce qui contraste avec la pratique actuelle
o, bien souvent, des mentions assez gnrales ou des clauses de styles figurent dans les
contrats de services, dont les contrats cloud.
Avant de pouvoir rdiger toute clause de protection des donnes caractre personnel dans
un contrat, il faudra dj s'assurer que l'on est bien en prsence d'un traitement de donnes
caractre personnel soumis au GDPR (voir Focus GDPR supra). Il faudra ensuite comprendre
et analyser le type de relation en cause : responsable de traitement responsable de traitement
? Responsable de traitement sous-traitant ? Responsabilit conjointe ? En effet la rdaction
des clauses diffre selon le type de relation.
101
FOCUS ENTREPRISE
Christian LITAUDON
Marketing Produits et Services
SAGE
Il rsulte du GDPR de nouvelles obligations pour les entreprises qui devront tre en mesure
de justifier quelles donnes elles exploitent, quelles fins et avec quels processus
dencadrement et de contrle.
Pour autant chacun en aura-t-il les moyens ? Comment les plus petites entreprises vont-elles
pouvoir apprhender ce changement de paradigme ? Linversion de la charge de la preuve est-
elle tenable pour tous- hier dclaration pralable, demain dmonstration de la conformit
tout moment jusqu des amendes de 2 4% du CA ? Enfin tous les domaines ont-ils la mme
exposition ? (Comptabilit-Finance / Paie-RH /)
Autant de questions sur lesquelles notre entreprise porte sa rflexion. De manire plus globale,
Sage examine et value les problmatiques poses par la mise en conformit avec le GDPR et
vulgarise le dispositif auprs de ses partenaires et clients pour proposer des outils et services
qui favoriseront et soutiendront la dmarche de conformit mene par ses utilisateurs.
102
Les outils contractuels et les responsabilits
En dehors des personnes dont les donnes sont traites, les parties peuvent agir en tant que
responsable de traitement, sous-traitant ou, nouveaut du GDPR, en tant que responsables
conjoints de traitement.
Ces notions doivent tre interprtes de manire la fois autonome, en ce sens que leur
interprtation relve principalement de la loi et non du choix des parties, et fonctionnelle, car
la qualification vise attribuer les responsabilits aux personnes selon leur rle de fait et
repose par consquent sur une analyse factuelle. Le risque est de "mal" qualifier une partie.
Ceci pourra tre le cas lorsque le rgime de responsabilit retenu pour encadrer son
intervention ne sera pas celui retenu ni appliqu par les autorits. Ces dernires pourraient
alors statuer sur la responsabilit de l'intervenant a posteriori sur la seule base des textes et de
la jurisprudence, en dcalage complet avec ce que les parties auront prvu, crant ainsi une
inscurit juridique rendant vains les efforts des parties encadrer leur relation par le contrat.
Si les dfinitions paraissent simples, la mise en pratique est plus dlicate face des scnarios
divers, dans lesquels des responsables du traitement et des sous-traitants interviennent des
degrs dautonomie et de responsabilit varis.
Lorsqu'une socit fait appel une socit tierce pour prendre en charge un traitement de
donnes, on a tendance considrer, par rflexe, cette dernire comme sous-traitant. Mais en
pratique les situations ne sont pas aussi binaires. L'mergence du cloud et de services
techniquement complexes ont vu apparatre des offres en ligne, standardises et non
ngociables, ou encore requrant la matrise de technologies particulires, qui ont modifi
l'quilibre des rles. Le client peut tre un simple bnficiaire de services dont il n'a pas la
matrise et n'est pas ncessairement en position de donner des directives son prestataire ou
d'exercer un contrle sur le service rendu. De son ct, le prestataire peut tre contraint de
31 Article 4, 7 du GDPR
103
fortement standardiser son offre pour prenniser un modle conomique requrant expertise,
souplesse et puissance oprationnelle.
Le G29 a publi un long avis en fvrier 2010 sur les notions de responsable de traitement et
de sous-traitant 32 selon lequel le responsable de traitement est lorganisme qui exerce une
influence de fait sur les finalits poursuivies par le traitement de donnes et un contrle rel
sur ses modalits de mise en uvre : la dtermination de la finalit du traitement est
rserve au responsable du traitement . Toute personne qui prend cette dcision est donc
un responsable du traitement (de fait) .
104
Expertise : Un prestataire qui Le prestataire utilise Le prestataire expert dans son
dispose dune expertise peut linfrastructure technique du domaine impose des outils au
dcider des moyens mettre en client pour raliser sa client qui na pas de pouvoir de
place dans le cadre de la prestation. ngociation, ne peut les
ralisation des prestations. modifier parce quil na pas les
comptences, ou parce que
loutil est un outil qui ne fait
pas lobjet dun dveloppement
spcifique.
Source : CNIL
En plus d'influer sur la responsabilit des acteurs, la qualification des parties permet de
ventiler les obligations pesant sur chacune d'elles.
Loc Rivire
Dlgu gnral
TECH IN France
Tous peuvent tre concerns par le GDPR, les contrats B2B n'chappant pas de
ce seul fait la rglementation de protection des donnes personnelles. Le
primtre d'application peut nanmoins diffrer. En B2B, il pourrait tre
ncessaire de mettre l'accent sur les relations entre intervenants (partage des
responsabilits) et les questions techniques (qualit de service, scurit et
confidentialit, gestion des risques de violations de donnes, etc.). Cependant,
mme en prsence d'une pure relation B2B, il s'avrera le plus souvent
ncessaire de clarifier les rles des parties vis--vis des personnes dont les
donnes sont traites : qui centralise et rpond aux demandes d'exercice des
droits, qui les met en uvre, documente et rapporte l'autre partie, etc.
Mme hors cloud (i.e., un diteur de logiciel qui ne traite pas de donnes, mais
se limite livrer un logiciel un client), le sujet des donnes personnelles ne
doit pas tre ignor. Mme si le prestataire n'intervient en rien dans les
traitements effectus par son client, l'obligation d'information, de conseil et
d'alerte peut nanmoins s'appliquer si le logiciel permet d'effectuer ou
d'interagir avec des traitements de donnes caractre personnel effectus par
ailleurs. Il pourrait tre ncessaire de permettre au client de traiter les donnes
de manire conforme au GDPR, le cas chant par application du principe de
privacy by design (par exemple, un logiciel CRM doit contenir un dispositif de
gestion des dures de conservation et de gestion des consentements), ou encore
de l'informer des exigences de conformit, selon les circonstances. du
rglement.
dynamique et non statique de la compliance, tout comme cest le cas en matire
de scurit.
105
L'introduction d'un rgime de responsables conjoints d'un traitement
La notion de responsables conjoints d'un traitement ne figure pas dans la loi Informatique et
Liberts, bien qu'elle apparaisse dans la directive europenne de 1995 et qu'elle ait t utilise
par la CNIL. 34
Elle n'est pas explicite ou illustre dans le GDPR, qui se contente de poser que "lorsque deux
responsables du traitement ou plus dterminent conjointement les finalits et les moyens du
traitement, ils sont les responsables conjoints du traitement" et qu'ils doivent prciser leur
relation par voie d'accord. 35
La structuration de leur relation est donc libre, sous rserve d'un repre majeur : la
transparence vis--vis des personnes concernes. Le GDPR leur impose en effet de dfinir "de
manire transparente leurs obligations respectives aux fins d'assurer le respect des exigences
du prsent rglement", notamment en ce qui concerne l'information et les droits des personnes
concernes.
Batrice Delmas-Linel
Associe grante
Osborne Clarke
Le GDPR ouvre la voie une nouvelle faon d'envisager les partenariats pour
l'analyse et l'exploitation de donnes qui ne se limitent pas une relation
responsable sous-traitant, parfois artificielle. Cette ouverture se double d'une
grande libert sur l'conomie contractuelle mettre en place, ds lors que les
droits des personnes concernes sont assurs.
On peut imaginer que ces relations contractuelles se construiront sur la base de l'existant,
savoir les relations entre responsable et sous-traitant, et en faisant varier les responsabilits
de chacun en fonction de leur implication fonctionnelle ou technique dans un projet. Par
exemple, en prsence d'un contrat d'adhsion pour des services cloud (software as a service,
platform as a service, etc.) pour lesquels le client n'a aucune marge de ngociation ni les
comptences et moyens pour exercer une quelconque influence sur les services, y compris sur
des questions fondamentales comme la scurit des donnes, il ne peut tre exclu que le
34Dlibration nSAN 2017-006 du 27 avril 2017 dans laquelle la CNIL qualifie les socits Facebook Inc. Et
Facebook Ireland de responsables conjoints de traitement.
35 Art. 26.
106
prestataire soit considr comme responsable conjoint de traitement, comme le confirme la
CNIL dans ses recommandations pour les entreprises qui envisagent de souscrire des
services de cloud computing (prcit). Cette qualification ne correspond pas ncessairement
la pratique contractuelle dominante. Un travail de sensibilisation et de refonte des contrats est
donc ncessaire.
Pour ouvrir davantage de configurations que les seuls services en nuage, des situations de
coresponsabilit pourraient tre mises en uvre en intragroupe, lorsqu'une entit commune
gre des projets globaux forte dimension technique ou stratgique au bnfice de l'ensemble
des entits du groupe. Il pourrait encore s'agir de contrats conclus entre socits non lies,
permettant de dmarrer des projets communs d'analyse et d'exploitation de donnes -- avant
de consolider la relation dans le cadre d'une joint venture.
Par ailleurs, il convient de noter que les situations de coresponsabilit doivent tre dtectes
suffisamment en amont pour pouvoir les organiser par contrat.
Or, c'est une analyse relativement nouvelle en droit franais, et qui n'a sans doute pas t
envisage dans les contrats en cours ou dans les projets en discussion actuellement. Il convient
donc par prcaution, dans les partenariats troits o le rle du sous-traitant est plus large
qu'une simple excution d'instructions ou pourrait voluer en ce sens d'tre vigilant sur
une telle volution afin d'adapter le cadre contractuel en tant que de besoin, voire de prvoir
dans le contrat mme des clauses de revoyure ou de rvaluation priodique des rles et
responsabilits.
Enfin et pour finir, le GDPR prvoit que le droit national puisse qualifier les droits et
obligations des responsables conjoints, disposition qui pourrait permettre aux autorits
nationales de prvoir des rgles spcifiques certains secteurs ou certains contrats, comme la
CNIL l'avait fait pour le cloud par le pass. Il conviendra donc de suivre les lgislations
nationales cet gard.
Le GDPR contraint ainsi reprendre les contrats comportant des traitements de donnes
personnelles et les rvaluer au regard des nouvelles rgles, afin d'en adapter les termes aux
nouvelles obligations, voire redistribuer les rles en prsence d'une situation de
responsabilit conjointe.
Contrats de sous-traitance
107
Avant lentre en vigueur du rglement :
Sous l'empire de la loi du 6 janvier 1978 (article 35 alina 4), le contrat entre responsable de
traitement et sous-traitant doit prciser les obligations du sous-traitant en matire de :
Pour les contrats cloud, la CNIL a publi fin 2012 un guide dtaill dans lequel la Commission
recommande l'insertion de nombreuses clauses dans les contrats liant entreprises clients aux
prestataires cloud, au titre desquelles figurent les informations relatives aux traitements, la
remonte des plaintes et failles de scurit, le recours la sous-traitance, les procdures
permettant de respecter les droits des personnes concernes, la dure de conservation des
donnes, l'audit du prestataire par le client, etc.
De plus, la CNIL n'hsite pas imposer des obligations dtailles cette relation sur le
fondement des obligations gnrales prcites, en sanctionnant les violations de donnes ds
avant l'entre en vigueur du GDPR, les sanctions ayant t renforces en la matire par la loi
Rpublique Numrique du 7 octobre 2016. 37
37 Dlibration n SAN-2017-010 du 18 juillet 2017 prononant une sanction pcuniaire l'encontre de la socit
HERTZ France ; dlibration nSAN-2017-011 du 20 juillet 2017 prononant un avertissement public l'encontre de
la socit Ouicar.
108
Le contrat conclu entre le responsable et le sous-traitant doit dfinir les modalits du
traitement 38 :
Lobjet du traitement,
La dure du traitement,
La nature du traitement,
La finalit du traitement,
Le type de donnes caractre personnel traites,
Les catgories de personnes concernes.
En plus de ce descriptif, qui oblige lui seul un travail de recensement dtaill qui n'tait pas
requis auparavant, le GDPR prvoit une liste novatrice de clauses obligatoires 39.
Doivent ainsi tre prvues contractuellement les obligations suivantes la charge du sous-
traitant :
n'tre autoris traiter les donnes que sur instruction documente du responsable
de traitement, sauf en cas d'obligation lgale, auquel cas il doit en informer au
pralable le responsable ;
veiller ce que les personnes autorises traiter les donnes soient engages,
contractuellement ou lgalement, une obligation de scurit ;
aider le responsable du traitement, dans toute la mesure du possible, pour que celui-
ci puisse donner suite aux demandes d'exercice de leurs droits par les personnes
concernes (accs, rectification, suppression, portabilit, etc.) ;
38 Article 28 3 du GDPR
39 Article 28 3 du GDPR
109
Lise BRETEAU
Associe
Osborne Clarke
avenant un contrat en cours et, pour les nouveaux contrats, annexe au
contrat principal, voire contrat spar.
Les contrats organisant les relations entre responsables conjoints devront aborder l'ensemble
des sujets soulevs dans les contrats de sous-traitance : application des principes de privacy
by design et by default, tudes d'impact, audits, notification des violations, recours des sous-
traitants, instructions, confidentialit, coopration et assistance la conformit, etc. Chacun
de ces sujets devra toutefois tre rsolu de manire spcifique, les parties ne pouvant ici se
reposer sur la logique des contrats de sous-traitance "contrle vs. instructions".
En outre, un lment est plus particulirement cibl par le GDPR et devra recevoir une rponse
claire dans les accords de coresponsabilit, savoir l'information et l'exercice des droits des
personnes concernes. C'est le point fondamental de la conformit de ces contrats.
Les parties doivent clairement organiser entre elles le "circuit" de l'exercice des droits par les
personnes concernes. Ils doivent mettre leur disposition "les grandes lignes" de leur accord.
Ils peuvent enfin dsigner un point de contact commun pour elles, sans que cela empche les
personnes d'exercer leurs droits " l'gard de et contre" chacun d'eux. 40
40 Art. 26.
110
Les obligations pesant sur les acteurs
La question de la personne qui encourt la sanction nest pas non plus traite par le texte du
rglement. En labsence de prcision, il parat prudent de considrer que le responsable de
41 Civ. Com. 25 juin 2013, Bulletin 2013, IV, n 108 : "tout fichier informatis contenant des donnes caractre
personnel doit faire l'objet d'une dclaration auprs de la CNIL et () la vente par la socit X d'un tel fichier qui,
n'ayant pas t dclar, n'tait pas dans le commerce, avait un objet illicite."
111
traitement et le sous-traitant pourraient tre sanctionns aussi bien l'un et l'autre en labsence
dune clause faisant porter la responsabilit sur l'une d'entre elles.
Le sujet de la mise en conformit des contrats en cours est, cet gard, pineux.
En principe, tous les contrats doivent tre conformes le 25 mai 2018. Il convient, dans ce
contexte, de rdiger des avenants circulariser auprs de l'ensemble des partenaires
commerciaux, avec lesquels l'organisme est en contrat, afin de mettre en conformit les clauses
en matire de donnes personnelles avec la nouvelle rglementation.
A minima, il convient de procder avec ces contrats de la mme manire que dans les efforts
actuels de mise en conformit des traitements et des processus, savoir auditer les contrats,
cartographier et prioriser les efforts sur les relations les plus stratgiques et/ou risques et
mettre en place des tapes de mise en conformit, qu'il convient toujours de documenter et de
tracer, dans la perspective de l'obligation d'accountability.
Certaines clauses imposes par le GDPR font peser un certain nombre d'obligations assez
vagues sur le sous-traitant (par exemple, aider au respect des obligations du responsable de
traitement en matire d'analyse d'impact , aider au respect des obligations du responsable
de traitement en matire de consultation pralable des autorits de contrle , etc.). Il pourra
tre tentant, pour le sous-traitant, dencadrer strictement ses obligations et den limiter au
maximum le primtre et, pour le responsable, de les formuler de la manire la plus large
possible. Reste savoir comment des clauses gnrales seront interprtes par les autorits.
La scurit des parties sera mieux assure si elles parviennent mettre en uvre ces principes
par des obligations prcises, identifies et mesurables.
Une autre question est de savoir si le sous-traitant est en droit de faire payer cette assistance.
A notre sens, rien ne s'y oppose, ds lors qu'il ne s'agit pas pour le sous-traitant de se soustraire
ses obligations ni d'exiger une rmunration disproportionne pour ses services.
De plus, de quels recours et quelle protection dispose le sous-traitant qui conseillerait au client
de mettre en place ou d'opter pour certaines mesures de scurit ou procdures si jamais le
client s'y refusait ? Pour limiter ses risques en termes de responsabilit, le sous-traitant devra
veiller bien documenter ses changes avec le client.
112
FOCUS ENTREPRISE
Jawaher ALLALA
CEO
Systnaps
Notre lecture du GDPR avec notre prisme de spcialiste de la gouvernance de la donne depuis
10 ans, nous a confort dans lide que les autorits comptentes souhaitaient que les
entreprises reprennent de faon loyale et transparente, le contrle des donnes caractre
personnel quelles dtiennent afin de mieux rpondre aux droits fondamentaux du citoyen
europen.
Ce nest pas un exercice facile, dans la mesure o les acteurs internes et externes impacts sont
nombreux (responsable de traitement, DPO, directeur des systmes d'information, sous-
traitant) et au vu du nombre dapplications htroclites dtenues au sein de lorganisation.
Acteur dans la gestion du cycle de vie de la donne, cest tout naturellement que nous avons
impliqu lensemble de nos collaborateurs et fournisseurs dans une dmarche de conformit
au RGPD en 2016 en choisissant de se faire lablis CNIL - Gouvernance de la donne /GDPR.
Quoi de plus vident pour rpondre aux exigences dune autorit de contrle que de se
confronter au rfrentiel dune lablisation et en mme temps, faire reconnaitre la qualit de
nos procdures, et proposer en totale conformit mthodologies et solutions nos clients.
Une mise en conformit nest pas un projet ponctuel mais une obligation permanente qui doit
sinscrire naturellement dans un processus plus large quest celui de la gouvernance de la
donne devenue incontournable dans toutes organisations.
Contrainte pour certains, opportunits pour dautres, ce rglement nest rien de moins quun
tremplin vers un niveau dexigence plus lev de protection face aux nouvelles menaces et la
cyberscurit.
113
Cas pratiques et exemples de clauses
L'entreprise A traite des donnes caractre personnel de ses clients pour les besoins de la
relation commerciale. Sa solution de CRM lui est fournie par un prestataire B, en mode SaaS,
depuis 2010.
Dans un tel scnario, il est probable que l'entreprise A soit qualifie de responsable de
traitement et que le prestataire B soit qualifi de sous-traitant. En vertu de l'article 28 du
GDPR, sa relation avec le prestataire B doit tre contractualise.
Un exemple de clauses devant tre incluses dans un contrat conclu entre un responsable de
traitement et un sous-traitant est propose en exemple 1. Ces clauses sont rdiges pour
favoriser le responsable du traitement.
b) Je suis sous-traitant
Un exemple de clauses "donnes personnelles" qui pourrait tre incluses dans des conditions
gnrales d'un prestataire sous-traitant est propose en exemple 2. Cette proposition est le
miroir de l'exemple 1, mais dans une approche qui se veut plus favorable au sous-traitant.
L'entreprise C exploite une place de march en ligne ouverte des vendeurs tiers et leurs
acheteurs. L'entreprise C souhaite analyser les donnes des internautes et visiteurs de sa
plateforme, pour vendre ses vendeurs D ces rsultats d'analyse marketing, et leur proposer
de cibler plus finement leur clientle en envoyant des publicits et offres promotionnelles
personnalises. Pour ce projet, elle travaille avec un prestataire E qui dveloppe un outil
d'analyse de donnes (data analytics).
Selon les rles et responsabilits des diffrents intervenants, il peut y avoir une
coresponsabilit sur les traitements entre l'entreprise C oprant la place de march et les
vendeurs D, voire avec le prestataire E, selon son degr d'implication.
Comment rdiger la clause de donnes caractre personnel dans le contrat entre la place de
march C et ses partenaires D et E ?
Un exemple de clauses pouvant tre incluses dans un contrat conclu entre des responsables
conjoints est propos en exemple 3.
114
EXEMPLE 1 : "Je suis responsable de traitement"
( Osborne Clarke)
Ces clauses sont proposes titre purement indicatif et ne sont qu'une illustration de ce qu'il
serait possible de rdiger. Elles devront tre adaptes chaque situation en fonction de la
ralit des donnes collectes et des traitements. Elles devront en outre tre articules avec
les autres clauses du contrat principal, notamment objet, obligations, responsabilit, etc.
1. Statut du prestataire
Les parties reconnaissent que le prestataire, afin dexcuter ses obligations aux termes du
prsent contrat, aura accs et traitera des donnes caractre personnel du client figurant aux
prsentes en qualit de sous-traitant au sens de la rglementation.
2. Description du traitement
[Commentaire : lister les types de donnes caractre personnel traites. Exemple : noms,
prnoms, adresse, tlphone des salaris du client ; noms, prnoms, adresse e-mail, adresse
IP, produits achets par les clients du client.]
[Commentaire : lister les catgories de personnes concernes, par exemple salaris du client ;
clients et prospects ; fournisseurs du client ; etc.]
Le prestataire sengage :
(i) respecter la rglementation dans le cadre du prsent contrat, et notamment ne traiter les
donnes caractre personnel du client que sur instruction documente du client afin de
fournir les services et remplir ses obligations au titre du contrat ;
(ii) sabstenir dagir dune manire qui constituerait ou entrainerait une violation de la
rglementation par le client et alerte le client sans dlai en cas de dtection par le prestataire
d'une conformit ou d'un risque de non-conformit ;
(iii) garantir et indemniser le client en cas d'action, rclamation, demande de toute tierce
partie rsultant de son manquement ou de sa dfaillance lgard de la rglementation dans
le cadre du prsent contrat ;
(iv) tenir un registre de toutes les catgories d'activits de traitement effectues pour le compte
du client. Ce registre contient au moins les informations obligatoires requises par le GDPR. Le
prestataire met ce registre la disposition de toute autorit de contrle qui en fait la demande
;
(v) mettre en uvre les ressources humaines, techniques et organisationnelles suffisantes pour
oprer les traitements en conformit avec la rglementation, telles que et sans que cette liste
115
soit limitative : former son personnel, nommer un DPO, le cas chant, appliquer les principes
de privacy by design et by default, etc.
4. Responsabilit
4. Coopration et assistance
Le prestataire assiste le client et coopre activement avec ce dernier pour lui permettre
d'assurer la conformit du traitement la rglementation, en particulier pour ce qui est des
demandes d'exercice des droits des personnes concernes. [Commentaire : Dcrire dans cette
clause, de manire non limitative afin de scuriser le responsable de traitement, les obligations
en matire de coopration et d'assistance, notamment en ce qui concerne :
- les demandes d'exercice des droits des personnes concernes : conditions de gestion des
demandes, rle respectif des parties,
5. Scurit et confidentialit
6. Sous-traitance ultrieure
prvoir la facult pour le client d'auditer ce sous-traitant ultrieur dans les conditions
prvues au 7 ci-aprs afin de s'assurer de son respect des obligations prvues aux prsentes.
Le prestataire communique au client, dans les meilleurs dlais, une copie du contrat conclu
avec le sous-traitant ultrieur.
116
Nonobstant la dsignation d'un sous-traitant ultrieur, le prestataire demeure pleinement
responsable lgard du client pour tout traitement effectu par le sous-traitant ultrieur en
violation des obligations des prsentes.
Le prestataire s'assure que le sous-traitant ultrieur ne peut pas lui-mme confier ses
prestations un sous-traitant sans l'autorisation crite pralable et expresse du prestataire
et/ou du client.
7. Audits
Le prestataire s'engage se conformer aux demandes du client ou des auditeurs qu'il aurait
mandat de :
accder ou d'inspecter (i) les locaux, (ii) les systmes d'information, (iii) les
registres ainsi que (iv) tout documents et informations, et
interroger le personnel du prestataire,
Les frais de l'audit sont la charge du client. Par exception ce qui prcde, si l'audit rvle
des manquements du prestataire, le prestataire rembourse le client les frais de l'audit, sans
prjudice de toute indemnisation qui pourrait tre rclame par le client.
Le prestataire s'assure que le contrat conclu avec tout sous-traitant ultrieur permet au client
de procder ou faire procder aux audits prvus au prsent article, chez ce sous-traitant
ultrieur et ses propres sous-traitants.
[Commentaire : dcrire dans cette clause les transferts de donnes et les garanties apportes
pour les protger, par exemple : clauses contractuelles types, Privacy Shield, rgles
d'entreprise contraignantes.]
[Commentaire : dcrire dans cette clause les conditions de renvoi ou de destruction des
donnes caractre personnel au terme ou la rsiliation du contrat, ou l'arrt d'un
traitement.]
117
EXEMPLE 2 : "Je suis sous-traitant"
( Osborne Clarke)
Ces clauses sont proposes titre purement indicatif et ne sont qu'une illustration de ce qu'il
serait possible de rdiger. Elles devront tre adaptes chaque situation en fonction de la
ralit des donnes collectes et des traitements. Elles devront en outre tre articules avec
les autres clauses du contrat principal, notamment objet, obligations, responsabilit, etc.
1. Statut du prestataire
Les parties reconnaissent que le prestataire, afin dexcuter ses obligations aux termes du
prsent contrat, aura accs et traitera les donnes caractre personnel fournies par le client
en qualit de sous-traitant au sens de la rglementation. Le client s'engage alerter sans dlai
le prestataire en cas d'volution des services demands par le client, entranant ou risquant
d'entraner un changement de statut du prestataire au regard de la rglementation.
2. Description du traitement
Si le client utilise les services pour traiter d'autres donnes ou catgories de donnes
caractre personnel ou pour d'autres traitements ou finalits que listes ci-avant, le client le
fait ses risques et prils et le prestataire ne peut tre tenu pour responsable en cas de
manquement la rglementation.
[Commentaire : lister les types de donnes caractre personnel traites. Exemple : noms,
prnoms, adresse, tlphone des salaris du Client ; noms, prnoms, adresse email, adresse
IP, produits achets par les clients du Client.]
[Commentaire : lister les catgories de personnes concernes, par exemple salaris du client
; clients et prospects ; fournisseurs du client; etc.]
Chacune des parties s'engage respecter la rglementation dans le cadre du prsent contrat.
Le client reconnat que les ressources mises en uvre dans le cadre du prsent contrat par le
prestataire constituent des garanties suffisantes de la conformit du prestataire et de ses
services la rglementation.
Le prestataire s'engage traiter les donnes caractre personnel listes aux prsentes pour
les seules finalits et dans les conditions convenues dans ce contrat afin de fournir les services
et remplir ses obligations au titre du prsent contrat. Le client reconnat notamment que le
prestataire se limite suivre les instructions documentes du client en matire de traitements,
sous rserve d'alerter le client en cas d'instructions donnes non conformes la
rglementation. Toute demande du client excdant ou modifiant les instructions de
118
traitement font l'objet d'un devis spar. Toute instruction non documente par crit ou non
conforme la rglementation n'est pas prise en compte.
Chacune des parties tient un registre de toutes les oprations de traitement effectues par elle.
Ce registre contient au moins les informations obligatoires requises par la rglementation.
Les parties mettent ce registre la disposition de toute autorit de contrle qui en fait la
demande.
4. Responsabilit
5. Coopration et assistance
[Commentaire : Dcrire dans cette clause les diligences du prestataire s'agissant notamment
:
- des demandes d'exercice des droits des personnes concernes : conditions de gestion des
demandes, rle respectif des parties,
En cas de ncessit de mettre en uvre des diligences additionnelles, les parties conviennent
de se runir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront
l'objet d'un avenant aux prsentes.
6. Scurit et confidentialit
119
En cas de ncessit de mettre en uvre des diligences additionnelles, les parties conviennent
de se runir et discuter de bonne foi des conditions de ces diligences additionnelles, qui feront
l'objet d'un avenant aux prsentes.
7. Sous-traitance ultrieure
Le client accepte que le prestataire puisse faire appel des sous-traitants ultrieurs agissant
en son nom et pour son compte afin de l'assister dans les oprations de traitement des
donnes caractre personnel du client. Le prestataire informe le client de tout changement
prvu concernant l'ajout ou le remplacement d'un sous-traitant ultrieur.
Le prestataire conclut un contrat crit avec tout sous-traitant ultrieur contenant les mmes
obligations que celles fixes aux prsentes, notamment en imposant au sous-traitant ultrieur
de ne traiter les donnes caractre personnel du client que conformment aux instructions
crites du prestataire ou du client. Nonobstant la dsignation d'un sous-traitant ultrieur, le
prestataire demeure pleinement responsable lgard du client pour tout traitement effectu
par le sous-traitant ultrieur en violation des obligations des prsentes.
Le client peut s'opposer un tel ajout ou remplacement en notifiant le prestataire par crit
dans les dix (10) jours suivant la rception de l'avis d'ajout ou de remplacement envoy par le
prestataire. Dans le cas o le Client s'oppose la dsignation d'un sous-traitant ultrieur, le
prestataire peut rsilier le contrat.
8. Audits
A la demande du client, le prestataire met disposition du client les rapports d'audit effectus
par des organismes d'audit indpendants tiers et toutes informations pertinentes fournies par
ces organismes.
A dfaut pour le prestataire de fournir au client une preuve de sa conformit aux dispositions
des prsentes via les rapports susmentionnes et/ou si le Client estime raisonnablement
ncessaire d'effectuer un audit complmentaire conformment la rglementation, pour
pleinement vrifier la conformit des services fournis la rglementation et au contrat, le
prestataire accepte de se soumettre un audit effectu par un auditeur indpendant rput,
ne concurrenant pas les activits commerciales du prestataire, dans la limite d'un audit par
an. Cet auditeur indpendant est choisi par le client et accept par le prestataire. Il possde
les qualifications professionnelles requises et est soumis un accord de confidentialit. Les
parties reconnaissent que tous rapports et information obtenues dans le cadre de cet audit
sont des informations confidentielles.
La date de dbut de l'audit, la dure et le primtre de l'audit sont dfinis d'un commun accord
par les parties avec un pravis minimum de 15 jours ouvrs. L'audit ne peut tre effectu que
durant les heures d'ouverture du prestataire et d'une faon qui ne perturbe pas l'activit du
prestataire. L'audit ne comporte pas d'accs tous systmes, information, donnes non lies
aux traitements effectus en vertu de ce contrat ni d'accs physique aux serveurs sur lesquels
est sauvegarde la solution.
Le client prend sa charge tous les frais occasionns par l'audit, incluant de manire non
limitative les honoraires de l'auditeur et rembourse au prestataire toutes les dpenses et frais
occasionns par cet audit, y compris le temps consacr l'audit en fonction du taux horaire
moyen du personnel du prestataire ayant collabor l'audit.
120
[Commentaire : dcrire dans cette clause les transferts de donnes et les garanties apportes
pour les protger, par exemple : clauses contractuelles types, Privacy Shield, rgles
d'entreprise contraignantes.]
[Commentaire : dcrire dans cette clause les conditions de renvoi ou de destruction des
donnes caractre personnel au terme ou la rsiliation du contrat, ou l'arrt d'un
traitement.]
121
EXEMPLE 3 : "Nous sommes responsables conjoints"
( Osborne Clarke)
Ces clauses sont proposes titre purement indicatif et ne sont qu'une illustration de ce qu'il
serait possible de rdiger. Elles devront tre adaptes chaque situation en fonction de la
ralit des donnes collectes et des traitements. Elles devront en outre tre articules avec
les autres clauses du contrat principal, notamment objet, obligations, responsabilit, etc.
Les parties reconnaissent traiter les donnes caractre personnel en qualit de Responsables
Conjoints au sens de la rglementation, dans les conditions dfinies aux prsentes. Chacune
des parties s'engage respecter la rglementation dans le cadre du contrat.
2. Description du traitement
Les parties s'engagent traiter uniquement les Donnes Caractre Personnel listes et pour
les finalits dcrites ci-aprs.
[Commentaire : dcrire l'objet, la dure, la nature et la finalit des traitements effectus par
chaque Responsable Conjoint.]
[Commentaire : lister les types de donnes caractre personnel traites par chaque
Responsable Conjoint. Exemple : noms, prnoms, adresse, tlphone des salaris ;
noms, prnoms, adresse email, adresse IP, produits achets par les clients.]
[Commentaire : lister les catgories de personnes concernes, par exemple salaris ; clients et
prospects; fournisseurs; etc.]
[Commentaire : Dcrire ici les obligations respectives des parties sur les oprations effectues
dans le cadre du traitement, en particulier:
- quel partage des rles dans les obligations de conformit et daccountability : qui tient le ou
les registres des traitements, qui met en uvre l'accountability/les tudes d'impact/les
formalits/etc., l'autre partie lui apportant aide et assistance, comment les parties s'alertent
sur les risques de non-conformit, qui nomme un DPO, etc. ;
122
4.1. Information des personnes concernes
Le Responsable Conjoint qui collecte les donnes caractre personnel auprs des personnes
concernes a l'obligation d'informer celles-ci des traitements effectus par les Responsables
Conjoints dans le respect des dispositions de l'Article 13 du GDPR.
4.2. Gestion de l'exercice des droits des personnes concernes et point de contact
Le Responsable Conjoint qui collecte les donnes caractre personnel est la personne
dsigne comme point de contact auprs de celles-ci pour l'exercice de leurs droits, notamment
dans toute politique de confidentialit et sera le gestionnaire des demandes des personnes
concernes.
A rception par le gestionnaire prcit d'une demande concernant des donnes traites par
l'autre Responsable Conjoint, le gestionnaire informe l'autre Responsable Conjoint dans un
dlai de 3 jours. Ce dernier apportera dans les meilleurs dlais toute son assistance pour
permettre au gestionnaire de rpondre la demande.
Le gestionnaire des demandes rpond la personne concerne dans un dlai maximum de [x]
jours, sous rserve de la bonne excution de ses obligations par l'autre Responsable Conjoint.
4.3. Mise disposition des grandes lignes de la prsente annexe aux personnes
concernes
[Commentaire : Dcrire dans cette clause les modalits de mise disposition des grandes
lignes de la prsente annexe aux personnes concernes : article ou annexe dans des conditions
gnrales de service, privacy policy, choix du wording valid en annexe aux prsentes, etc.]
5. Scurit et confidentialit
Chaque Responsable Conjoint assure la scurit des traitements effectus par lui. En cas de
manquement du Responsable Conjoint son obligation de scurit entrainant une violation
de donnes personnelles, celui-ci est seul tenu responsable des consquences de cette violation
auprs des personnes concernes, des autorits de contrle et de tout tiers et en garantit
intgralement l'autre partie.
Le Responsable Conjoint ayant identifi une violation de donnes notifie l'autre partie dans
un dlai de 3 jours calendaires. Les correspondants de chaque Responsable Conjoint se
rencontrent dans les meilleurs dlais afin de dterminer d'un commun accord s'il convient de
notifier cette violation l'autorit de contrle comptente et le cas chant aux personnes
concernes.
123
6. Localisation des donns et transferts hors UE
[Commentaire : Dcrire dans cette clause le lieu o seront traites les donnes et les ventuels
transferts en dehors de l'UE, ainsi que les mesures de conformit prises cet gard et, le cas
chant, prciser les rles respectifs de chaque partie.]
[Commentaire : Dcrire dans cette clause les possibilits pour chacune des parties d'avoir
recours des sous-traitants ou non et les obligations et responsabilits des parties en
dcoulant]
8. Correspondants
Les parties dsignent chacune un correspondant qui les reprsente et prend toutes les
dcisions ncessaires la bonne excution des prsentes l'gard des personnes concernes.
Les correspondants de chaque partie doivent tre investis d'une autorit suffisante pour
prendre des dcisions au jour le jour.
[Commentaire : dcrire dans cette clause le sort des donnes caractre personnel au terme
ou la rsiliation du contrat.]
124
CONCLUSION
Lannonce de lentre en vigueur du GDPR, qui tait en discussion au sein des instances
europennes depuis de longs mois, a suscit inquitudes, questionnements et volont
daction au sein des entreprises et notamment au sein des directions juridiques, des
responsables de la scurit des SI, des responsables de la conformit, et des directions de
laudit interne.
Depuis, ces acteurs se sont employs sensibiliser leurs directions gnrales afin de
fdrer lensemble de lentreprise autour des problmatiques lies la protection des donnes
caractre personnel. En effet, avec le GDPR, la protection des donnes caractre personnel
doit dsormais tre un sujet trait par lensemble des parties prenantes de
lentreprise et non plus seulement par le Correspondant Informatique et Liberts (CIL) ou
par la direction juridique.
Mme si la plupart des concepts du GDPR ne sont pas nouveaux et se trouvaient dj dans la
rglementation existante, les entreprises staient principalement concentres sur les aspects
dclaratifs de la loi Informatique et Liberts (dclarations CNIL, autorisations CNIL, etc.)
ainsi que sur la prise en compte des droits des personnes concernes ; elles navaient en
revanche gnralement pas mis en place de dispositifs labors de management des donnes
permettant ainsi une exploitation et une valorisation optimises de leur patrimoine
informationnel.
Avec le GDPR, les entreprises doivent laborer un dispositif complet de protection des
donnes, dont les principales caractristiques sont :
125
Linitiative DPSI lance par lAFAI, le CIGREF et TECH IN France vise
permettre aux entreprises dacclrer leurs projets de mise en conformit avec
le GDPR au travers de :
Une fois que le cadre de gestion de la protection des donnes caractre personnel aura t
mis en place, il sera ncessaire doutiller la dmarche pour pouvoir assurer la prennit des
mesures prises et leur mise jour de manire efficace.
126
ANNEXES
127
thme
Le rattachement hirarchique du
dlgu la protection des
2
donnes personnelles (DPO)
garantit-il son indpendance ?
Gouvernance
votre entreprise ?
Le programme de formation inclut des
Avez-vous intgr le GDPR dispositifs comme du E-learning, des
15 votre programme de formation formations rgulires (Manager, SI,
RH ? mtiers), des actions de communication,
etc
Assurance
traitant.
Limiter par dfaut le traitement de
Avez-vous vrifi la donnes caractre personnel ce qui est
proportionnalit des donnes strictement ncessaire, en ce qui concerne
18
collectes aux finalits des la quantit de donnes traites, leur
traitements ? accessibilit et leur priode de
conservation
Le traitement doit tre fond sur une base
lgale prvue l'article 6 du rglement
(licit), qui peut tre : une obligation
Pouvez-vous justifier la base lgale, l'intrt lgitime du responsable de
19 lgale de chacun de vos traitement, l'excution d'un contrat, le
traitements ? consentement exprim par la personne
concerne, la protection des intrts vitaux
d'une personne concerne, une mission
d'intrt ou de service public
Lorsque la base lgale du
traitement est le consentement,
Gestion = recueil, modification,
20 avez-vous mis en place des
enregistrement, rvocation, etc
mcanismes de gestion de ces
consentements ?
Si vous
- effectuez des croisements entre plusieurs
Pour les traitements impliquant
catgories de donnes collectes
le croisement entre plusieurs
sparment, ou
catgories de donnes
- rutilisez des donnes collectes pour un
(interconnexion de fichiers), la
autre traitement, ou
rutilisation de donnes
21 - utilisez des donnes fournies par une
collectes lors d'un autre
tierce partie,
traitement ou lenrichissement
vous devez vrifier que votre traitement
des donnes, avez-vous consult
est conforme aux finalits pour lesquelles
le DPO et vrifi la conformit au
les donnes ont t collectes ou, le cas
GDPR ?
chant, aux consentements donns par
les personnes concernes
conformit au GDPR ?
relatifs une personne physique
Pour les traitements soumis des Exemples de traitement :
hauts risques potentiels sur la vie vidosurveillance, golocalisation,
24 prive, avez-vous consult le DPO whistleblowing, coute sur le lieu de
et vrifi le respect des conditions travail, contrle d'accs aux locaux,
spcifiques ? biomtrie, etc
Catgories des
particulires de donnes
25 (donnes sensibles), avez-vous Cf. articles 9 et 10 du GDPR
vrifi la licit de leur collecte et
de leur traitement ?
bnficient-elles dune
26 information claire et
comprhensible lors de la collecte
des donnes ?
Avez-vous une procdure valide
et teste pour rpondre aux Y compris la notification des demandes de
demandes dexercice des droits rectification ou de suppression aux sous-
27
prvus par le GDPR ? En traitants ou autres tierces parties
particulier droits d'accs, de destinataires des donnes
rectification, de suppression des
donnes de droit l'oubli, de
droit la portabilit ou de
limitation de traitement ?
Avez-vous dfini
traitants
Economique Europen
33
Etude d'impact sur la vie prive
(DPIA)
Cartographie des
systmes
36
politique de scurit des systmes
d'information ?
Utilisez-vous des standards ou Exemples de rfrentiels de scurit =
37 des guides de bonnes pratiques ISO27001, NIST, guide d'hygine ANSSI,
Security by design ? CIS critical security controls,
Avez-vous dfini et mis en place
Conception des habilitations,
des procdures de gestion des
38 ajout/suppression des droits, revues
accs aux systmes contenant de
rgulires des droits d'accs)
donnes personnelles ?
Avez-vous dfini et mis en place
des mesures de scurisation des Bastion, enregistrement de sessions des
39
accs administrateurs privilgis comptes privilges sur les serveurs, ...)
?
Avez-vous mis en place des
Donnes stockes sur les serveurs (Data at
mcanismes de protection des
Rest) et pour le transport de ces donnes
40 donnes personnelles
sur le rseau (Data in transit), (exemples :
(notamment chiffrement ou de
outils de tokenisation, ...)
pseudonymisation) ?
Avez-vous mis en place des
mcanismes d'archivage et de
Protection de la vie prive ds
41
suppression des donnes
( privacy by design )
personnelles ?
Ces mcanismes sont-ils aligns
la conception
mcanismes de traabilit et de
information
notification
Avez-vous dfini
Exemples = questionnaire de scurit,
contractuellement des exigences
clauses contractuelles lies la protection
en termes de protection des
46 des donnes, clause d'audit de scurit,
donnes avec vos sous-traitants
suppression des donnes la fin de la
informatiques (prestataires ou
prestation, etc.
fournisseurs) ?
Codes de conduite et
Certification
Effectuez-vous rgulirement des
Exemples : vrification de la mise en place
contrles / audit de scurit de
47 des clauses de scurit, audit technique de
vos sous-traitants informatiques
scurit, tests d'intrusion, etc.
(prestataires ou fournisseurs) ?
Comptes "administrateur" (privilges forts) spars des comptes "utilisateur" (usage bureautique) 61
Contrle d'accs renforc 62
Politique de mots de passe renforce 63
Outil de gestion des accs et renouvellement automatique sur des comptes gnriques (type CyberArk) 64
Notification automatique des accs IP suspects 65
Usurpation dun compte administrateur
Gestion nominative des accs administrateurs 66
Limitation des administrateurs de domaines au strict minimum, et sparation complte de leurs environnements de travail et de leur
67
environnement d'administration de l'Active Directory
Utilisation de connexion centralise et trace des comptes administrateurs (Bastion type Wallix, Centrify...) 68
Revue des comptes administrateurs (et de leur droits) 69
SIEM : qualification des incidents, contrle dintgrit (signature cryptographique, hash, CRC), logs sur les accs aux donnes 111
Audit de scurit 112
Incapacit dtecter une atteinte aux donnes Tests d'intrusion 113
Sensibilisation la remonte dincidents/doutes de compromission 114
Veille sur internet pour recherche de traces de compromission ou de revente des donnes 115
Encadrement contractuel (clauses contractuelles types approuves par la Commission et/ou la CNIL, BCR) 116
NDA 117
SLA 118
Reporting 119
Audit physique et logique 120
Dfaut de pilotage dun sous-traitant / fournisseur (IoT) Obtention d'un rapport d'audit d'un tiers de confiance, i.e. un auditeur indpendant attestant la bonne excution des services (ISAE
121
3402, SSAE16...)
Validation des procdures de backup 122
Vrification de la bonne gestion/corrlation des logs 123
Mise en concurrence 124
Bilan de conformit annuel 125
Contrles pralables la contractualisation (clauses contractuelles types approuves par la Commission et/ou la CNIL, BCR) 126
Intgration de clauses contractuelles de rupture en cas de ngligence 127
Revue oprationnelle rgulire avec le sous-traitant 128
Ngligence dun sous-traitant / fournisseur (IoT) Utilisation de la stganographie (dissimulation de donnes dans d'autres donnes) ou de donnes piges pour identifier la source du
129
problme
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 130
Audit rgulier sur sous-traitant 131
Information/sensibilisation sur les contraintes de localisation des donnes dans les pays concerns 143
Matrise des donnes et traitements des services concerns 144
Localisation non autorise de donnes personnelles Dploiement d'une solution de data management 145
Revue des contrats des sous-traitants 146
Insertion de clauses spcifiques 147
Dfinition et validation officielle de rgles contraignantes d'entreprise (ou Binding Corporate Rules - BCR ) 187
Clauses contractuelles types 188
Transferts non encadrs de donnes hors UE Accord explicite et clair des individus 189
Marquage et traabilit des donnes 190
Contrle des accs 191
Politique de gestion des habilitations, de gestion des accs, et de gestion des identifications 192
Sensibilisation utilisateur et IT 199
Accs non conforme ou non encadr aux donnes
Audits rguliers 200
personnelles
Cloisonnement des donnes 201
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 202
Veille sur internet (web, rseaux sociaux, dark web ou black market) 203
Chiffrement, pseudonymisation, anonymisation 204
Intgration de donnes piges (fingerprinting) 205
Contrle des accs 206
Propagation malveillante de donnes personnelles Gestion des logs 207
Audits 208
Politiques et moyens de prvention, dtection, alerte, data breach, et raction 209
Tests d'activation de la cellule de crise 210
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 211
Contrle des accs (validation de la demande, sparatiion des tches, revue des accs) 247
Sensibilisation/formation utilisateurs et IT 248
Alignement entre donnes dtenues et finalit du traitement 249
Politique de rtention des donnes 250
Dtention ou utilisation abusive de donnes personnelles
Gestion et corrlation des logs 251
Encadrement contractuel 252
Mesures de traabilit, audit, notification 253
Gestion des incidents et notification l'autorit de contrle et/ou aux personnes concernes 254
Audit de la robustesse de l'anonymisation (exemple de techniques d'anonymisation : valuation k-anonymat, L-diversit, t-proximit) 262
Reconstitution de lidentit dune personne et Utilisation de donnes agrges ou gnralises 263
enrichissement de son profil par corrlation entre plusieurs Pas de donnes personnelles dans les traitements de big data 264
sources internes ou externes (big data) Sensibilisation/Formation utilisateurs 265
Limitation et contrle des accs aux donnes personnelles 266
Mise en place d'une charte thique spcifique 267
Traabilit et audit 268
Procdure de notification prcisant notamment quand une notification est ncessaire et qui ( l'autorit de contrle, la personne) 279
Dfaut de notification dune atteinte aux donnes
Suivi et valuation des consquences 280
Implication du dlgu la protection des donnes (CIL/ DPO) 281
Formation des quipes 282
Politique de confidentialit et de donnes caractre personnel (comprenant les informations sur l'identit et les coordonnes du
RP, les coordonnes du DPO, la nature des donnes collectes, les finalits, la dure de conservation, les destinataires, les ventuels 296
Information (clart sur les politiques de confidentialit, les
transferts vers des pays tiers, etc.)
objectifs de collecte, les conditions gnrales de vente,
Information par un message au moment de la collecte des donnes (nature des donnes collectes, finalits, destinataires, comment
valider via une case cocher)
exercer ses droits d'accs, d'opposition et de modification des donnes, etc.):par exemple, sur internet: via un message facilement 297
accessible sur le site; salari: dans son contrat de travail, etc.
Transparence du traitement Information de la personne concerne de la nature des donnes collectes et des finalits de traitement, identit du RP, etc. 298
Vrifier si le traitement ne repose pas sur une autre base lgale que le consentement (obligation lgale, sauvegarde de la vie, mission
299
de service public, contrat ou mesures prises avec la personne, intrt lgitime).
Sassurer que le traitement ne puisse pas tre mis en oeuvre sans consentement. 300
Sassurer que le consentement sera obtenu de manire libre. 301
Preuve du consentement Sassurer que le consentement sera obtenu de manire claire et transparente quant aux finalits du traitement. 302
Sassurer que le consentement sera obtenu de manire spcifique une finalit. 303
En cas de sous-traitance, encadrer les obligations de chacun dans un document crit, explicite et accept des deux parties 304
Pour un site internet: opt-in; cookies (avec un bandeau); email rcapitulatif
305
Pour un salari ou un partenaire commercial: contrat sign
Vrifier que le traitement ne fait pas lobjet dune exception interdisant la personne de sopposer au traitement (obligation lgale,
306
exclusion dans lacte portant cration du traitement)
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit dopposition. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie postale
et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne doivent pas
307
leur occasionner de frais.
Ex: Pour un site internet, crer un formulaire, facilement accessible, avec des cases dcocher (dit opt-out ) ou prvoir la
possibilit de se dsinscrire dun service (suppression de compte).
Retrait du consentement (opposition ou suppression)
Vrifier que les demandes dexercice du droit dopposition faites par voie postale sont signes et accompagnes de la photocopie
dun titre didentit (qui ne devrait pas tre conserve sauf en cas de besoin de conserver une preuve) et quelles prcisent ladresse
laquelle doit parvenir la rponse.
308
Vrifier que les demandes dexercice du droit dopposition faites par voie lectronique (en utilisant un canal chiffr si la transmission
se fait via Internet) sont accompagnes dun titre didentit numris (qui ne devrait pas tre conserv sauf en cas de besoin de
conservation dune preuve, et ce, en noir et blanc, en faible dfinition et sous la forme dun fichier chiffr).
Sassurer que le motif lgitime des personnes exerant leur droit dopposition est fourni et apprci 309
Sassurer que tous les destinataires du traitement seront informs des oppositions exerces par des personnes concernes 310
Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent:
- l'exactitude des donnes caractre personnel est conteste par la personne concerne, pendant une dure permettant au
responsable du traitement de vrifier l'exactitude des donnes caractre personnel;
- le traitement est illicite et la personne concerne s'oppose leur effacement et exige la place la limitation de leur utilisation;
311
- le responsable du traitement n'a plus besoin des donnes caractre personnel aux fins du traitement mais celles-ci sont encore
ncessaires la personne concerne pour la constatation, l'exercice ou la dfense de droits en justice;
Respect de la limite du traitement - la personne concerne s'est oppose au traitement, pendant la vrification portant sur le point de savoir si les motifs lgitimes
poursuivis par le responsable du traitement prvalent sur ceux de la personne concerne.
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit de limitation. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois pour des donnes, dans une forme similaire celle du
312
traitement (voie postale et/ou voie lectronique). En outre, les dmarches ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais excdant le cot de la reproduction.
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit daccs. Ce droit doit pouvoir tre
exerc le plus rapidement possible, sans jamais excder deux mois pour des donnes, dans une forme similaire celle du
313
traitement (voie postale et/ou voie lectronique). En outre, les dmarches ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais excdant le cot de la reproduction.
Vrifier que les demandes dexercice du droit daccs faites sur place permettent de sassurer de lidentit des demandeurs et des
314
personnes quils peuvent mandater.
Vrifier que les demandes dexercice du droit daccs faites par voie postale sont signes et accompagnes de la photocopie dun
titre didentit (qui ne devrait pas tre conserve sauf en cas de besoin de conserver une preuve) et quelles prcisent ladresse
Accs laquelle doit parvenir la rponse.
315
Vrifier que les demandes dexercice du droit daccs faites par voie lectronique (en utilisant un canal chiffr si la transmission se fait
via Internet) sont accompagnes dun titre didentit numris (qui ne devrait pas tre conserv sauf en cas de besoin de
conservation dune preuve, et ce, en noir et blanc, en faible dfinition et sous la forme dun fichier chiffr).
Sassurer de la possibilit de fournir toutes les informations qui peuvent tre demandes par les personnes concernes, tout en
316
protgeant les DCP des tiers.
Sassurer que lidentit des demandeurs et que la lgimitimit des limitations demandes seront vrifies. 317
Sassurer quune confirmation sera fournie aux demandeurs. 318
Sassurer que les tiers qui des donnes auraient t transmises seront informs des demandes de limitation. 319
Vrifier que le traitement ne fait pas lobjet dune exception (Ex: sret de ltat, dfense ou scurit publique). 320
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit de rectification. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie
321
postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
Rectification
doivent pas leur occasionner de frais.
Sassurer que lidentit des demandeurs et que la vracit des rectifications demandes seront vrifies. 322
Sassurer quune confirmation sera fournie aux demandeurs. 323
SG2 Mesures et recommandations potentiellement applicables pour tre conforme au GDPR
ONGLET 2 : Mesures par types de risques
Types de Risques Mesures techniques possibles
Scurit du SI Scurit du SI #
Sassurer que les tiers qui des donnes auraient t transmises seront informs des rectifications faites. 324
Vrifier que le ou les motifs pour lesquels l'effacement est demand s'appliquent:
- les donnes caractre personnel ne sont plus ncessaires au regard des finalits pour lesquelles elles ont t collectes ou traites
d'une autre manire;
- la personne concerne retire le consentement sur lequel est fond le traitement, et il n'existe pas d'autre fondement juridique au
325
traitement;
- la personne concerne s'oppose au traitement et il n'existe pas de motif lgitime imprieux pour le traitement
- les donnes caractre personnel ont fait l'objet d'un traitement illicite
- les donnes caractre personnel doivent tre effaces pour respecter une obligation lgale, etc.
Effacement, droit l'oubli
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit d'effacement. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie
326
postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais.
Sassurer que lidentit des demandeurs et que la lgimitimit de l'effacement demand seront vrifies. 327
Sassurer quune confirmation sera fournie aux demandeurs. 328
Sassurer que les tiers qui des donnes auraient t transmises seront informs des demandes d'effacement. 329
Vrifier que le traitement ne fait pas lobjet dune exception (Ex: missions d'intrt public ou relevant de l'exercice de l'autorit
330
publique).
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit la portabilit. Ce droit doit pouvoir
tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement (voie
331
Portabilit postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais.
Sassurer que lidentit des demandeurs et que la lgimitimit de la portabilit demande seront vrifies. 332
Sassurer quune confirmation sera fournie aux demandeurs. 333
Sassurer que les tiers qui des donnes auraient t transmises seront informs de la portabilit faite. 334
Vrifier que le traitement ne fait pas lobjet dune exception (Ex: le profilage est ncessaire la conclusion ou l'excution d'un
335
contrat entre la personne concerne et un responsable du traitement; consentement explicite, etc.).
Dterminer les moyens pratiques qui vont tre mis en oeuvre pour permettre lexercice du droit s'opposer au profilage. Ce droit
Profilage doit pouvoir tre exerc le plus rapidement possible, sans jamais excder deux mois, dans une forme similaire celle du traitement
(voie 336
postale et/ou voie lectronique). En outre, les dmarches effectuer ne doivent pas dcourager les personnes concernes et ne
doivent pas leur occasionner de frais.
Vrifier lge du mineur (si + ou - de 16 ans). Si - de 16 ans, le traitement n'est licite que si, et dans la mesure o, le consentement est
Donnes des mineurs 337
donn ou autoris par le titulaire de la responsabilit parentale l'gard de l'enfant
REMERCIEMENTS
Ce document est le fruit de linitiative des trois organisations professionnelles AFAI, CIGREF,
TECH IN France et des travaux des trois groupes de travail quelles ont co anims pendant un
an avec le concours dexperts (cabinet August Debouzy, De Gaulle Fleurance & Associs,
Osborne Clarke, SAMMAN) et des adhrents des associations qui ont bien voulu participer.
diteurs :
AFAI, association loi 1901 Centre dAffaires Alac Etoile, 3 rue du Colonel Moll, 75 017 PARIS
Tl : +33 1 40 08 47 81 https://www.afai-isaca.fr
CIGREF, association loi 1901 21 avenue de Messine, 75008 PARIS Tl. : +33 1 56 59 70 00
http://www.cigref.fr/
TECH IN France, association loi 1901 - 13 Rue La Fayette, 75009 Paris - Tl. : +33 1 40 32 45
90 - http://www.techinfrance.fr/
Directeurs de publication : Pascal Antonini, AFAI ; Rgis Delayat, CIGREF ; Loc Rivire,
TECH IN France.
Groupe de travail : Sous-groupe 1 prsid par Pascal Antonini (AFAI), coordonn par
Bertrand Helfre (EY), avec le concours de Florence Chafiol et Stphanie Lapeyre (August
Debouzy) ; Sous-groupe 2 prsid par Rgis Delayat (CIGREF), coordonn par Flora Fischer
(CIGREF) et Sophie Bouteiller (SCOR), avec le concours de Jean-Sbastien Mariez et Marie-
Mathilde Deldicque (De Gaulle Fleurance & Associs) ; Sous-groupe 3 prsid par Loc Rivire
(TECH IN France), coordonn par Camille Parra (TECH IN France) avec le concours de
Thaima Samman et Marc Drevon (Cabinet Samman) et Batrice Delmas-Linel et Lise Breteau
(Osborne Clarke).
Relations Presse :