RGPD : Tout savoir sur la formation à la protection des données !

Après un délai de grâce de deux ans, le Règlement général sur la protection des données, mieux connu sous le nom de RGPD, est entré en vigueur le 25 mai 2018 et a généré d’importants besoin de formation des personnels à cette nouvelle réglementation.

Pour autant, selon une enquête menée par le cabinet Cordium, il apparaît que seulement 2% des organisations financières étaient prêtes à faire face à l’entrée en vigueur du RGPD. Ce manque de préparation peut entraîner de lourdes pénalités pour les organisations et entreprises qui ne sont pas en conformité avec la réglementation.

La mise en place d’une formation RGPD est nécessaire pour les entreprises qui collectent ou traitent les données à caractère personnel de clients ou d’utilisateurs. Adaptée à chaque niveau de responsabilité, une formation à la protection des données doit permettre à l’organisation de respecter la conformité de ses activités avec le cadre du RGPD.

Qu’est-ce que le RGPD ? Les principes de bases du règlement

Avant la création de RGPD, les législations en matière de protection de la vie privée dans l’UE étaient disparates et manquaient d’unité. Aujourd’hui, tous les États membres ont le même ensemble de règles de base réglementant le traitement et la collecte de données à caractère personnel.

Le RGPD s’applique également à toute entreprise basée en dehors de l’UE dès lors qu’elle traite les données personnelles de citoyens de l’UE. L’article 3 du RGPD stipule explicitement que « le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union » et s’applique donc également aux personnes concernées qui séjournent temporairement dans l’UE ainsi qu’aux entreprises situées en dehors de l’Union qui traitent des données à caractère personnel de personnes concernées dans l’UE.

Les besoins de formation au RGPD

La nouvelle législation est extrêmement complexe et tous les employés n’ont pas besoin d’assimiler toute la réglementation du RGPD. Néanmoins, il est essentiel que tous les employés qui traitent les données des citoyens de l’UE comprennent son fonctionnement. Ils doivent également être en mesure de l’intégrer dans leur routine quotidienne de travail.

Le RGPD n’énonce pas d’exigences spécifiques en matière de formation, de sorte que les organisations doivent concevoir elles-mêmes des parcours de formation adaptés à leurs employés. Cet article développe un exemple de cours de formation RGPD qui peut être utilisé et adapté aux besoins spécifiques de l’entreprise et de l’employé.

Que risque l’entreprise en cas d’absence de formation de ses employés au RGPD ?

Les organismes de contrôle chargés d’appliquer la RGPD n’acceptent pas l’erreur humaine ou l’ignorance comme excuse en cas de violation de la réglementation sur la protection des données. Dès lors, les organisations sont directement responsables des manquements constatés dans l’application du RGPD.

Alors que l’erreur humaine reste presque inévitable, le manque de connaissance de la réglementation et ses implications peut facilement être corrigée par des cours de formation RGPD adéquats. Si les employés ne reçoivent pas une formation adaptée et qu’une atteinte à la protection des données s’ensuit, les conséquences pourraient être graves pour l’entreprise concernées.

La partie négligente peut se voir infliger des amendes de plusieurs dizaines de millions d’euros, soit 2 à 4 % du chiffre d’affaires financier annuel de l’entreprise. En outre, si la personne concernée par la violation des données subit un préjudice du fait du manquement de l’organisation, elle peut demander une indemnisation financière.

La personne concernée peut également choisir d’intenter une action en dommages-intérêts devant les tribunaux, ce qui amplifie souvent les dommages causés à la réputation de l’organisation.

Le parcours type d’une formation RGPD

Compte tenu des conséquences potentielles, il est essentiel que toutes les organisations qui collectent ou traitent des données personnelles mettent en place des programmes de formation au RGPD pour leurs employés. Idéalement, les cours de RGPD doivent avoir lieu sur une base annuelle ou semestrielle et chaque employé doit avoir accès à des cours spécifiques adaptés à sa fonction dans l’organisation.

Certains modules proposés dans ce programme de formation au RGPD – en particulier le cours d’introduction – conviennent à tous les employés, tandis que d’autres sont plus spécifiquement attaché à un rôle ou une fonction.

Une formation idéale au RGPD doit aborder les différents points suivants en fonction de l’activité de votre entreprise :

1 – Où, quand et comment fonctionne le RGPD ?

De nombreux employés auront certainement déjà une idée de ce qu’est le RGPD. Ce module donne une vue d’ensemble de la nouvelle réglementation mais il ne sert à rien de se concentrer inutilement sur l’historique juridique du RGPD et ses origines législatives… Présentez plutôt des informations pertinentes pouvant servir d’exemples d’application dans l’actualité (du type « scandale cambridge analytica ») et adoptez une vue d’ensemble sur la politique de gestion des données.

1. Qu’est-ce que le RGPD ? – Certains employés peuvent considérer le RGPD comme un obstacle « inutile » à leur travail. D’autres peuvent simplement ne pas savoir ce que c’est. Il est donc important de souligner pourquoi le RGPD est nécessaire et les conséquences pour la vie privée si la réglementation est ignorée.
2. Champ d’application du RGPD – le RGPD a une large portée puisque toute organisation en dehors de l’UE doit s’y conformer dès lors qu’elle traite les données de personnes concernées sur le territoire de l’UE ou de citoyens européens. Tout employé qui traite des données privées doit être informée de la portée géographique du RGPD.
3. Introduction à la protection des données – Avant même la mise en place du RGPD, les entreprises disposaient déjà de mécanismes de protection des données, prévus par l’ancienne directive 95/46/CE. Toutefois, les réglementations étaient antérieures à l’ère numérique, et le RGPD a permis une mise à niveau des connaissances relatives aux moyens d’assurer la protection des données (par exemple, les garanties physiques et administratives), ainsi que sur les moyens d’intégrer la protection des données dans le flux de travail quotidien.
4. Quand le RGPD s’applique-t-il ? – La grande majorité des employés ne seront confrontés qu’à des cas courants de gestion des données qui relève tous du RGPD. Il existe cependant certaines situations rares dans lesquelles il ne s’applique pas (p. ex. en cas de menace pour la sécurité nationale).
5. Lexique du RGPD– Comme dans tout texte juridique, la terminologie du RGPD est une source courante de confusion. Après avoir introduit la législation, définissez quelques termes clés pour faciliter le reste du cours (par exemple, « responsable du traitement », « sous-traitant », « personne concernée », « délégué à la protection des données »).

2 – RGPD : les principes de base de la protection des données

Le RGPD a été écrit pour protéger la vie privée des citoyens et résidents de l’UE. Tous les employés doivent donc acquérir une compréhension approfondie de la nature des données à caractère personnelle et des moyens de les protéger.

Le RGPD présente six « Principes fondamentaux » qui définissent son approche en matière de protection des données. Ils sont brièvement détaillés ci-dessous :

1. Qu’est-ce qu’une donnée à caractère personnel ? – La définition des données privées est intuitive, mais il existe de nombreuses catégories de données à caractère personnel. Elles concernent toutes une personne physique et peuvent être utilisées pour l’identifier. Certains types de données (p. ex. sexe, sexualité, antécédents médicaux) sont plus sensibles que d’autres. Ces classes de données sont traitées différemment et les spécificités de la réglementation à leur endroit doivent être expliquées. En outre, le RGPD stipule de nouvelles lignes directrices pour le traitement des données criminelles ou de santé.
2. Légalité, équité et transparence – Premier principe de la protection des données : les employés doivent s’assurer que toutes les données sont traitées d’une manière légale, équitable et transparente. Cela signifie également qu’ils doivent recevoir suffisamment d’informations sur le traitement des données. La protection des données repose sur six bases juridiques : le consentement, l’exécution du contrat, l’intérêt légitime, la protection de l’intérêt vital, le traitement des données dans l’intérêt public et l’exécution des obligations légales. Les personnes concernées conservent le droit de retirer leur consentement et il est essentiel que le responsable du traitement de données ait défini un intérêt légitime à son action et soit transparent quant à cet intérêt.
3. Limitation du traitement des données – Avant la collecte de données, le responsable du traitement doit définir la manière dont celle-ci seront traitées. Les données ne doivent être utilisées que de cette manière.
4. Limitation de la collecte des données – Lors de la collecte des données, les employés ne doivent recueillir que la quantité de données nécessaires à l’accomplissement de la tâche à accomplir et pas plus.
5. Exactitude – Toutes les données recueillies doivent être exactes, précises et à jour.
6. Limite de conservation – Avant la collecte des données, la personne concernée doit être informée de la durée de conservation des données. Il y a différentes limites de temps de conservation possible en fonction des types de données. Il existe d’autres exceptions où les données peuvent être conservées pendant de longues périodes.
7. Intégrité et confidentialité – Toute donnée recueillie doit être protégée de façon adaptée et ne doit pas être accessible à des personnes non autorisées.

  3 –  RGPD : Les droits de la personne concernée

La « personne concernée » désigne la personne dont les données à caractère personnel sont collectées. Les responsables de la collecte et du traitement des données doivent respecter ses droits et répondre aux besoins de la personne concernée.

1. Droit d’accès aux données collectées – Droit d’obtenir des données du responsable du traitement ou d’accéder d’une autre manière à ces données.
2. Droit de rectification des données – Droit de modifier les données personnelles si elles s’avèrent incorrectes. Il ne devrait y avoir aucun retard dans la rectification des données une fois la demande formulée.
3. Droit d’opposition – Droit d’empêcher les responsables du traitement et les sous-traitants de poursuivre le traitement ou le stockage des données.
4. Droit de limiter le traitement – Les personnes concernées peuvent demander que leurs données ne soient pas traitées d’une certaine manière ou empêcher la poursuite du traitement.
5. Droit de suppression des données – Droit de demander que les données à caractère personnel détenues par les responsables du traitement soient effacées dès que possible.
6. Droit à la transférabilité des données – Les personnes concernées ont le droit d’accéder à leurs données dans un format numérique compatible avec les outils courants.
7. Droit de plainte – S’ils ne sont pas satisfaits de la manière dont leurs données sont traitées ou s’ils estiment que leurs droits ne sont pas respectés, les personnes concernées ont le droit de porter plainte auprès de l’autorité de contrôle.
8. Droit de représentation – La personne concernée a droit d’être représenté par un organisme sans but lucratif lorsqu’il dépose une plainte ou reçoit une indemnisation…

 4 –  RGPD : Le contrôle des données

Le « responsable du traitement » – l’organe qui supervise le traitement des données – est chargé de se concentrer sur sa conformité au RGPD. Il a plusieurs responsabilités qui ont trait principalement à la conformité des activités au RGPD et au maintien de l’intégrité des données privées, bien qu’elles concernent également la protection des droits des personnes concernées.

1. Transparence – Le responsable du traitement doit être en mesure d’expliquer clairement et simplement à la personne concernée comment et pourquoi ses données sont collectées, utilisées et stockées.
2. Modalité de stockage des données – Toutes les données doivent être conservées de manière à pouvoir être facilement transférées à d’autres tiers.
3. Responsabilisation – Pour être conforme au RGPD, le responsable du traitement doit tenir des registres clairs sur la façon dont les données sont protégées. Il doit également consigner qui a accès aux données et quand elles ont été consultées.
4. Respect des droits de la personne concernée – Le responsable du traitement est responsable des données de la personne concernée et doit également veiller à ce que celle-ci puisse faire valoir les droits qui lui sont accordés par le RGPD.

5 –  RGPD : Traitement des données et responsabilité de la sous-traitance

Le responsable du traitement est désigné comme principal contact pour la personne concernée, bien qu’il fasse souvent appel à un tiers pour la collecte, le traitement et le stockage effectifs des données. Ces sous-traitants doivent adhérer au RGPD et faire tout ce qui est en leur pouvoir pour assurer la confidentialité des données.

1. Sécurité des données – Tout comme les responsables du traitement, les sous-traitants doivent s’assurer que toutes les données sont protégées de manière adéquate par diverses mesures.
2. Traitement des données – Les données doivent être traitées d’une manière conforme au RGPD. Les mêmes restrictions quant à l’utilisation des données s’appliquent au responsable du traitement et au sous-traitant.
3. Obligations contractuelles – Il est impératif qu’il existe un contrat légal entre le responsable du traitement et le sous-traitant établissant comment les données seront collectées, traitées et stockées. Le sous-traitant n’est pas autorisé à utiliser les données pour un autre objet qui n’a pas été convenu avec le responsable du traitement. Le contrat doit également garantir la confidentialité des données.

6 – RGPD : La collecte des données

La collecte des données est la première étape avant leur traitement. Bien qu’elle soit encore souvent effectuée par un employé en personne, la collecte automatisée des données est de plus en plus courante et se développe avec les nouveaux usages numériques. Cependant, elle pose certaines difficultés inhérentes.

Une bonne formation RGPD doit nécessairement détailler les deux méthodes de collecte des données, en insistant particulièrement sur les différences entre celles-ci et leurs implications en termes de protection des données.

1. Information de la personne concernée – Avant la collecte des données, le responsable du traitement doit fournir à la personne concernée des informations sur les droits que lui confère le RGPD, ainsi que des détails sur le traitement et la conservation de ses données. Les employés doivent également être prêts à répondre aux questions de la personne concernée.
2. Collecte automatisée ou manuelle ? – Comme mentionné ci-dessus, le développement du numérique et les progrès technologiques impliquent que de plus en plus d’acteurs utilisent des moyens automatisés de collecte de données. Cette collecte automatisée doit respecter les mêmes règles que la collecte manuelle.
3. Consentement – Les personnes concernées donnent leur consentement éclairé à la collecte de leurs données, ce qui signifie qu’elles ont reçu suffisamment d’informations et comprennent comment celles-ci seront utilisées. Or, les mineurs et d’autres groupes de personnes concernées ne sont pas en mesure de donner leur consentement éclairé. Par conséquent, les employés doivent recevoir une formation sur la façon de traiter ces cas particuliers.
4. Intérêt légitime – Comme mentionné précédemment, les responsables du traitement doivent avoir un intérêt légitime au traitement des données collectées. Avant de collecter des données, les organisations doivent s’assurer qu’elles disposent d’une base juridique appropriée pour leur traitement. Dans le cas contraire, la personne concernée aura des motifs légitimes de retirer son consentement. Il est donc important que les employés n’essaient pas de prendre un raccourci ou choisissent simplement l’option la plus pratique.

7 – Stockage et traitement des données : les garanties du RGPD

Après la collecte, le RGPD exige que les données soient protégées à toutes les étapes de leur traitement.

L’intégrité des données doit être maintenue et leur accès doit être protégée contre toute personne non autorisée, quelle que soit son intention. Les employés chargés du stockage et du traitement des données doivent obligatoirement protéger les données et respecter les droits de la personne concernée.

1. Cryptage des données – Le cryptage garantit que, même si des personnes non autorisées accèdent aux données, celles-ci ne peuvent pas être lues sans une clé de déchiffrement. C’est donc une garantie technique fondamentale pour la protection de la vie privée des personnes concernées.
2. Mots de passe – Les exigences en matière de mots de passe sont vagues et le RGPD définit peu d’obligations en la matière, mais il est impératif qu’un système de protection par mot de passe soit en place.
3. Mesures de protection physiques – L’importance des mesures de protection physiques ne doit pas être sous-estimée, car le vol de disques durs et de clés USB peut permettre à des criminels, même de faible technicité, de voler de grandes quantités de données. Tous les employés doivent être tenus d’adopter des politiques claires en matière d’accès aux bureaux et de verrouillage des armoires.
4. Garanties administratives – Les garanties administratives comprennent la tenue de registres sur la façon dont les données sont protégées, l’établissement d’une chaîne de commandement claire lors de la communication des données et la consignation des personnes qui ont accédé aux données et à quel moment.
5. Base juridique du traitement – Un principe fondamental de la protection des données : avant que le traitement puisse avoir lieu, le responsable du traitement doit s’assurer qu’il est légalement autorisé à le faire.
6. Tenue des registres – Les dossiers devraient être accessibles, exacts et à jour, et conservés sous forme de copie électronique. Ils devraient également être transférables à d’autres parties si nécessaire et donc fonctionner avec la norme de systèmes d’exploitation.

8 – RGPD : Que faire en cas d’atteinte à la protection des données

Malheureusement, il est presque impossible d’éviter les atteintes à la protection des données, quelles que soient les politiques mises en place par l’organisation. Celles-ci sont dues en grande partie à la menace des cybercriminels et à l’évolution des technologies, car les données privées ont une valeur énorme sur le marché noir.

Quelle que soit la qualité des politiques de sécurité de l’entreprise, des atteintes à la protection des données peuvent parfois se produire. Le personnel d’encadrement de l’organisation doit obligatoirement recevoir une formation RGPD sur le traitement des atteintes à la protection des données.

1. Délais de signalement – Une fois qu’une atteinte à la protection des données a été constatée, elle doit être signalée dans les 72 heures à l’autorité de surveillance. Le rapport de signalement doit inclure des détails sur la nature de l’infraction, ce qui a été fait pour en atténuer les conséquences et également tous les registres dont dispose le responsable du traitement concernant le traitement et le stockage des données.
2. Autorités de surveillance – Dans le cadre du RGPD, tous les États membres de l’UE doivent avoir désigné une ou plusieurs autorités de surveillance. Il s’agit d’organismes indépendants qui surveillent l’application du RGPD et s’occupent de toute atteinte à la protection des données. Ces autorités décident de la marche à suivre en cas de violation de données, ainsi que des sanctions qui pourraient être imposées au responsable du traitement.
3. Information de la personne concernée – Toutes les personnes concernées par l’atteinte à la protection des données doivent être informées. Elles devraient être informés de l’impact que l’atteinte peut avoir sur elles ainsi que de leurs options pour la suite des opérations et procédures engageables.

9 – Analyse d’impact relative à la protection des données (AIPD) dans le cadre du RGPD

Tirée de l’anglais DPIA pour Data Protection Impact Assessment, l’analyse d’impact relative à la protection des données (AIPD) est un audit des activités du responsable du traitement pour vérifier comment la pratique de l’organisation s’intègre dans sa politique de confidentialité.

Les AIPD doivent être menées en concertation avec le Délégué à la Protection des Données (DPD, voir ci-dessous) et être complètes. Elles sont menées régulièrement et doivent également viser à déterminer le besoin de nouvelles technologies ou politiques à mettre en place en matière de protection de la vie privée.

1. Risques d’atteinte à la vie privée – D’abord et avant tout, l’AIPD doit identifier les domaines clés où la politique de protection de la vie privée fait défaut et où les données sont en danger.
2. Nouveaux types de traitement – La technologie de traitement des données progresse rapidement. Une AIPD doit être en mesure d’évaluer comment ces technologies peuvent être utilisées par le responsable du traitement pour protéger les données.
3. Consultation préalable – Si l’AIPD indique qu’il peut y avoir un risque pour les données, le responsable du traitement doit consulter l’autorité de contrôle compétente. Ils recevront en retour des conseils sur la façon de gérer la situation et d’y donner suite avant le début du traitement.

10 – Quel est le rôle du Délégué à la protection des données (DPD) ?

Les organisations qui traitent des données à caractère personnel doivent désigner en interne un délégué à la protection des données (DPD).

Cet employé cadre supervise la conformité de RGPD au sein de l’organisation et a charge de conseil auprès des autres employés sur la façon dont ils doivent traiter les données. Le délégué à la protection des données doit être la personne ressource pour tous les employés, ainsi que pour les personnes concernées qui souhaitent contacter le responsable du traitement pour corriger ou supprimer leurs données personnelles.

1. Rôles d’un DPD – Le travail du DPD peut se résumer en trois actions principales : éduquer, conseiller et superviser. Le DPD devrait être en mesure d’apprendre à tous les employés à respecter les règles du RGPD et les conseiller sur la meilleure ligne de conduite à adopter face aux différentes situations qui peuvent se présenter. Par conséquent, il doit établir des canaux de communication clairs au sein de l’organisation pour faciliter les échanges d’informations. Le DPD peut également être impliqué dans la conception de campagnes ou de cours de formation à destination des personnels.
2. Contrôle de la conformité – Le DPD doit contrôler les activités au sein de l’organisation qui l’emploie pour s’assurer qu’il n’y a pas de violations – intentionnelles ou non – du RGPD. Pour que ce travail soit effectué de manière équitable, il doit être en mesure d’agir indépendamment du responsable du traitement ou de la sous-traitance des données.

11 – Quels risques en cas de non-conformité au RGPD ?

Le RGPD est un texte législatif majeur et il serait bon de penser que les responsables du traitement et les sous-traitants s’y conformeraient naturellement dans l’intérêt de la personne concernée. Toutefois, il est certain qu’en l’absence de sanctions appropriées, le taux de conformité au RGPD resterait très faible. Le règlement prévoit ainsi les peines auxquelles peuvent être soumis les collecteurs et responsables du traitement des données en cas de non-conformité ou de négligence.

1. Amendes administratives – Des amendes peuvent être infligées à la partie négligente, de 10 à 20 millions d’euros ou 2 à 4 % de son chiffre d’affaires global sur l’année. Le montant exact à payer dans une situation donnée sera déterminé par les autorités de contrôle.
2. Sanctions infligées par les États membres – Outre les amendes ci-dessus, les États membres de l’UE peuvent également décider d’ajouter des sanctions supplémentaires en cas de non-respect du RGPD. Il peut s’agir de sanctions financières ou de peines d’emprisonnement dans les cas les plus graves.
3. Indemnisation des personnes concernées – Les personnes concernées ont le droit de demander réparation si elles subissent un préjudice – matériel ou immatériel – du fait d’une violation du RGPD.
4. Sanctions juridiques – Dans certains cas, les parties négligentes peuvent être traduites en justice pour violation du RGPD. La procédure est engagée lorsque le responsable du traitement ou le sous-traitant a un établissement dans l’UE. Si cela n’est pas possible, la procédure se déroulera dans l’État membre où réside la personne concernée.
5. Arrêt des activités – En cas de négligence grave, le Commissaire aux données peut ordonner à un responsable du traitement et/ou à un sous-traitant de cesser immédiatement le traitement des données.

12 – Principaux axes de mise en conformité pour respecter le RGPD

1. Cartographie et inventaire des données – Toute organisation doit commencer par examiner les données personnelles dont elle dispose déjà et effectuer une cartographie des systèmes de données. Il s’agit notamment de classer les données par catégories et de noter leur flux à l’intérieur et à l’extérieur de l’organisation. Ces éléments sont indispensables pour décider de la ligne de conduite appropriée pour l’organisation en matière de RGPD.
2. Analyse des risques et planification – L’organisation doit effectuer une « analyse des risques » permettant d’identifier les risques potentiels auxquels elle est exposée et ce qu’elle doit mettre en œuvre pour se conformer au RGPD.
3. AIPD et DPD – L’organisations doit décider si elle a besoin de désigner en son sein un Délégué à la protection des données. Il est essentiel que le DPD soit indépendant. L’organisation doit ensuite identifier la nature des analyses d’impact relative à la protection des données qui sont nécessaires à ses activités.
4. Respect de l’article 30 – L’organisation doit tenir un registre des traitements des données. Il faut toutefois noter que les organisations de moins de 250 employés en sont exemptées.
5. Formation et sensibilisation des personnels – Tous les employés doivent recevoir une formation RGPD adaptée à leur rôle au sein de l’organisation. Certaines formations doivent être spécialisées pour répondre aux demandes spécifiques relative aux fonctions des employés ou aux demandes possibles des personnes concernées.
6. Transferts internationaux de données – L’organisation doit disposer de politiques et de garanties appropriées pour transférer des données en dehors de l’UE dans le respect du RGPD.
7. Documents de gestion interne – L’organisation doit mettre à jour toutes les politiques de gestion interne relative aux données (gouvernance, conservation, protection de la vie privée et atteinte à la protection des données) à la lumière du RGPD.
8. Protection de la vie privée par défaut et par conception – Ces deux concepts intègrent la protection des données dans les technologies et les politiques dès le début, en mettant l’accent sur la vie privée.
9. Systèmes informatiques – Des processus tels que l’anonymisation et la pseudonymisation peuvent être mis en place pour assurer la conformité de l’organisation au RGPD et protéger les données en sa possession.

Conclusion de la formation RGPD

Deux ans après son instauration, beaucoup se réjouissent que l’UE ait enfin harmonisé sa politique en matière de données avec la mise en place du RGPD. Cependant, ses nombreuses implications peuvent inquiéter de nombreuses organisations qui se sentent mal préparées à ce changement.

La formation RGPD des employés est un moyen simple d’aborder la question et constitue une étape essentielle pour assurer le respect des règles du RGPD par le personnel d’une organisation/entreprise.

Une formation régulière des employés au RGPD permet le contrôle et la mise à jour des informations en fonction de l’avancée des progrès technologiques et de l’évolution des activités de l’organisation.