Un point sur le Règlement général sur la protection des données

Le règlement européen UE 2016/679 du 27 avril 2016, dit RGPD pour Règlement général sur la protection des données, est entré en vigueur le 25 mai 2018. Il renforce les droits des personnes par rapport à la collecte de leur données (consentement) et à leur traitement (information, rectification).

Trois grands principes sont mis en avant :

• l’accountability (principe de responsabilité), selon lequel les structures concernées (entreprises, associations, administrations, etc.) doivent pouvoir prouver qu’elles ont mis en place ce qu’il fallait pour assurer un traitement des données personnelles en adéquation avec la législation ;
• le privacy by design, selon lequel les produits doivent être conçus et les services mis en place en tenant compte de la législation relative aux données personnelles ;
• le privacy by default, selon lequel les options proposées par défaut sont celles qui assurent le plus haut niveau de sécurité par rapport aux données personnelles.

Le RGPD et la loi Informatique et Libertés

En tant règlement, le RGPD s’applique directement en droit français. Il prévoit, sur certains points appelés « marges de manœuvre », des possibilités d’adaptations nationales pour lesquelles s’applique la législation française.

Afin de mettre en conformité le droit français avec celui européen :

• la loi 2018-493 du 20 juin 2018 relative à la protection des données personnelles modifie la loi 78-17 relative à l’informatique, aux fichiers et aux libertés, dite loi Informatique et Libertés ;
• le décret no 2018-687 du 1er août 2018 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles modifie le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Le RGPD et la protection des données de vos usagers et de vos salariés

Le RGPD vise à renforcer le droit des citoyens par rapport à la collecte et au traitement des données personnelles. Il concerne, par-là, les droits de vos usagers et de vos salariés.

Le RGPD implique notamment :

• le recueil libre et univoque des données qui doit donc marqué par un acte positif clair,
• le droit à l’information sur la finalité et le traitement des données collectées,
• le droit à la limitation selon lequel des données peuvent être marquées en vue de limiter leur traitement futur,
• le droit d’accès aux données traitées,
• le droit à la portabilité permettant de transférer aisément ces données,
• le droit de rectification en cas d’erreur,
• et, sous conditions, le droit à l’effacement (ou droit à l’oubli).

Il renforce des notions qui existaient déjà dans les versions antérieures de la loi Informatique et Libertés 78-17 et en introduit de nouvelles, reprises dans les modifications induites par la loi 2018-493.

Le RGPD et votre responsabilité

Le RGPD introduit la logique de responsabilité (accountability) pour les structures. Elles sont motrices dans leur mise en conformité par rapport aux législations relatives au traitement des données personnelles et doivent pouvoir prouver cette conformité.

Le responsable des traitements doit être capable de justifier des actions menées pour se conformer au règlement UE 2016/679 du 27 avril 2016. Il doit notamment pouvoir montrer comment il s’assure : que ne sont collectées que des données personnelles justifiées par la finalité, qu’elles resteront strictement confidentielles et que leur conservation est limitée dans le temps strictement nécessaire.

Les procédures mises en place peuvent être formalisées dans un registre des activités de traitement, obligatoire pour les grosses structures (plus de 250 salariés).

La confidentialité des données collectée est un point primordial du RGPD, et le responsable des traitements doit s’assurer des mesures organisationnelles et techniques permettant de la respecter. De plus, en cas de violation des données personnelles, la CNIL doit être prévenue le plus rapidement possible, si possible dans les 72 h.

Les organismes publics et ceux traitant des données sensibles (comme celles relatives à la santé) doivent désigner un délégué à la protection des données personnelles, le DPO pour Data Protection Officer, qui peut être l’ancien correspondant informatique et libertés. Ce référent pour la mise en place du RGPD a pour mission de sensibiliser, de conseiller et de stimuler, mais il n’a pas de pouvoir décisionnaire. Il n’est pas personnellement responsable en cas de violation du règlement. La charge de la preuve reste au responsable de traitement.

Vos sous-traitants pris en compte dans le RGPD

Dans de nombreux cas, les données personnelles sont transférées à des sous-traitants tels que les hébergeurs de bases de données. En cas de non-conformité par rapport au règlement RGPD, la responsabilité pourra être conjointe entre l’entreprise responsable du traitement des données personnelles et ses sous-traitants.

Il convient donc que le responsable du traitement s’assure de la prise en compte et du respect du RGPD par ses sous-traitants par rapport aux actions concernant les données personnelles qu’il leur confie. Les relations avec les sous-traitants doivent être clairement formalisées et le périmètre des actions défini, depuis la récupération des données jusqu’à leur restitution ou effacement.

Quelles pénalités en cas de non-respect du RGPD ?

La CNIL a des missions d’information et de conseil, mais aussi un pouvoir d’enquête et de sanction. Les pénalités doivent être « effectives, proportionnées et dissuasives ». Elles peuvent aller d’un simple rappel à l’ordre à la suppression d’un traitement de données. Des pénalités financières sont prévues. Elles peuvent atteindre, dans les cas graves, jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel de l’exercice précédent, le montant le plus élevé des deux étant retenu.

Dans ces mois qui suivent la mise en place du RGPD, la CNIL est encline à une certaine souplesse, particulièrement en cas de bonne foi du contrevenant.

Vos logiciels Dir IPS et le RGPD

Dir IPS développe des logiciels de gestion budgétaire, de gestion de ressources humaines et de suivi des usagers pour les secteurs sanitaire, social et médico-social. Ces progiciels collectent des données personnelles des intervenants d’une part et des usagers d’autre part. Ils se doivent donc de respecter le RGPD.

Depuis de nombreuses années, Dir IPS a fait de la sécurité de ses logiciels un de ses axes de réflexion prioritaires. Chaque logiciel intègre : un accès sécurisés par des mots de passe suivant les recommandations de la CNIL, une gestion fine des utilisateurs avec des périmètres d’action attribués, une traçabilité des accès et des actions, une anonymisation des données lors des transferts et des clés de cryptage, des sauvegardes régulières pour le mode SaaS.

Dir IPS va aujourd’hui plus loin avec le RGPD. Une mise à jour du logiciel Gestionnaire de gestion budgétaire est prévue. Quant à la solution Dir Facturation de facturation des usagers et au nouveau logiciel DirIgami de suivi des usagers, ils sont conçus selon le principe du privacy by design mis en avant par le RGPD :

• le paramétrage des champs de saisie permet de s’assurer que ne sont collectées que les données utiles ;
• les usagers ou leurs responsables légaux peuvent avoir accès à leurs données personnelles (en respect de la loi du 2 janvier 2002) et éventuellement en demander la rectification ou la suppression par les personnes responsables de leur dossier ;
• la portabilité des données est garantie par des exports sous différents formats ;
• la transparence et la traçabilité sont assurées par un enregistrement et une visualisation aisée des modifications ;
• des éléments peuvent être définis pour déclencher l’archivage et la suppression définitive des données personnelles.

Dir IPS et son DPO vous conseillent afin que vous évitiez tout paramétrage de vos progiciels qui iraient à l’encontre du RGPD. N’hésitez pas à les contacter.

Par Dir IPS, le 5 octobre 2018.