Articles récents Toute l'actualité du Cabinet BRJ Avocats

PME, BRJ vous simplifie le RGPD, et vous présente l’étape n°4 « Gérer les risques »

Actualités actualite

Nous vous avons présenté lors d’une précédente publication l’étape n°3 « Définir les ordres de priorité » (pour accéder à l’article, cliquez ici ).

Une fois l’identification des actions à mener sur chaque traitement des données réalisée, l’étape suivante consiste à gérer les risques.

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données.

  • QUELS SONT LES TRAITEMENTS DE DONNÉES PERSONNELLES DEVANT OBLIGATOIREMENT FAIRE L’OBJET D’UNE ANALYSE D’IMPACT ?

Devront faire l’objet d’une analyse d’impact les traitements qui remplissent au moins deux des critères suivants :

– Evaluation (profilage, analyse de navigation Web pour créer des profils comportementaux par exemple) ;

– Surveillance systématique (vidéosurveillance) ;

– Décision automatique avec effet légal ou similaire ;

– Collecte de données sensibles ;

– Collecte de données personnelles à grande échelle (non chiffrée par le Règlement) ;

– Croisement ou combinaison d’un ensemble de données;

– Personnes vulnérables (salariés, patients, personnes âgées, enfants, etc.) ;

– Utilisation d’une nouvelle technologie ;

– Exclusion du bénéfice d’un droit/contrat.

A titre d’exemple, si vous mettez en place un contrôle de l’activité de vos salariés, ce traitement remplit le critère de la surveillance systématique et celui des données concernant des personnes vulnérables : la réalisation d’une analyse d’impact sera obligatoire.

L’analyse d’impact ne sera toutefois pas nécessaire :

– Lorsque la nature, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel une analyse d’impact a déjà été menée ;

– Lorsque le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public, sous réserve que :

   – ce droit réglemente cette opération de traitement,

   – qu’une analyse d’impact ait déjà été menée lors de l’adoption de cette base juridique.

  • A QUEL MOMENT DEVREZ-VOUS MENER UNE ANALYSE D’IMPACT ?

L’analyse d’impact doit être menée avant la mise en œuvre du traitement et devra être mise à jour tout au long du cycle de vie du traitement.

  • QUI PARTICIPE A L’ÉLABORATION DE L’ANALYSE D’IMPACT ?

Le responsable du traitement 

En tant que chef d’entreprise, et donc de responsable de traitement, vous êtes tenu de vous assurer de la conformité du traitement à la réglementation. Vous devez en conséquence valider l’analyse d’impact et mettre en œuvre le plan d’action défini dans celle-ci.

Le Délégué à la Protection des données

Le Délégué à la Protection des données élabore le plan d’action et se charge de vérifier son exécution.

Le sous-traitant

Le sous-traitant fournit son aide et les informations nécessaires à l’élaboration de l’analyse d’impact.

Les personnes concernées

Vous devrez demander l’avis des personnes concernées, par le biais, par exemple, d’un sondage, d’une question formelle aux représentants du personnel.

  • COMMENT RÉALISE-T-ON UNE ANALYSE D’IMPACT ?

Votre analyse d’impact devra contenir les éléments suivants :

– Une description des opérations de traitement envisagées et les finalités du traitement ;

– Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;

– Une évaluation des risques sur les droits et les libertés des personnes concernées ;

– Les mesures envisagées pour faire face aux risques, à savoir, notamment, les garanties et les mécanismes de sécurité visant à assurer la protection des données et à apporter la preuve du respect du Règlement.

Imaginons que vous souhaitiez équiper les véhicules de fonction de vos salariés de dispositifs de géolocalisation afin de pouvoir déterminer la durée d’utilisation du véhicule, le kilométrage parcouru ou les vitesses de circulation.

Différentes étapes vont se succéder afin de réaliser l’analyse d’impact :

  • Il s’agira en premier lieu de décrire le contexte, c’est-à-dire le traitement, les données à caractère personnel, les supports sur lesquels elles reposent.

          Le traitement, qui correspond à la géolocalisation, peut, à titre d’exemple, avoir pour finalité l’optimisation des itinéraires de vos salariés, afin de réduire leur longueur et leur coût en carburant.

          Les données à caractère personnel en jeu seront les données de géolocalisation associées à chaque véhicule, lui-même affecté à un salarié.

         – Enfin, concernant les supports, il peut, à titre d’exemple, être prévu que le traitement repose sur un boîtier GPS embarqué dans les véhicules. Ce boîtier communiquerait par GSM avec un serveur hébergé chez un prestataire. Vous seriez ainsi en mesure de visualiser les données à partir d’une application du prestataire.

  • Il sera ensuite opportun d’identifier les mesures de sécurité existantes. Dans notre cas, l’accès à l’application du prestataire est contrôlé par un identifiant et un mot de passe.
  • Il conviendra ensuite de procéder à une évaluation des risques sur les droits et les libertés de vos salariés. Dans notre cas, les risques peuvent correspondre à :

         – L’accès illégitime à des données par l’employeur : la vie privée de vos salariés sera éventuellement atteinte dans le cadre de l’utilisation par ces derniers du véhicule en dehors du temps de travail ;

         – L’accès illégitime à des données par un concurrent ou un tiers intervenant sur les véhicules : un concurrent ou un tiers pourrait récupérer les données dans l’objectif de démarcher votre clientèle ;

  • Il conviendra enfin de déterminer un ensemble de mesures pour faire face aux risques identifiés. Dans notre cas, ces mesures pourront être les suivantes :

          Limiter la collecte des données. Il sera important de limiter la collecte :

        – à l’identification du salarié (nom, prénom, coordonnées professionnelles, matricule, numéro de plaque d’immatriculation du véhicule),

        – aux données relatives aux déplacements des salariés,

        – aux données complémentaires associées à l’utilisation du véhicule, telle que la vitesse de circulation, le nombre de kilomètre parcouru, le nombre d’arrêts etc.

          Déterminer une procédure pour détruire les données à l’issue de leur durée de conservation. En matière de géolocalisation, la durée de conservation des données est fixée par la CNIL à deux mois. Toutefois, la durée de conservation est fixée à 1 an lorsque la conservation est rendue nécessaire à des fins de preuve de l’exécution d’une prestation ou lorsqu’elle est effectuée pour conserver un historique des déplacements à des fins de d’optimisation des tournées. Dans le cadre du suivi du temps de travail, seules les données relatives aux horaires effectués peuvent être conservées pendant 5 ans.

          Informer les salariés préalablement à la mise en œuvre du traitement de :

               – de l’identité du responsable de traitement ou de son représentant ;

              – de la finalité poursuivie par le traitement ;

              – des destinataires ou catégories de destinataires des données ;

          – de l’existence d’un droit d’accès aux données les concernant, d’un droit de rectification et d’un droit d’opposition pour motif légitime, ainsi que des modalités d’exercice de ces droits.

Pour ce faire, il vous sera conseillé de formaliser une note de service et de placer une mention d’information dans l’habitacle des véhicules.

          Préciser dans le contrat avec le prestataire différents engagements contractuels, à savoir :

               – La finalité poursuivie par le traitement de géolocalisation ;

           – Les engagements de qualité de service concernant la disponibilité, l’intégrité et la confidentialité des données traitées, ainsi que la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques ;

              – Le fait qu’il s’engage à respecter les normes et les obligations relatives à la protection des données à caractère personnel;

          – Le fait qu’il s’engage à faire réaliser un audit de sécurité par un organisme indépendant et à tenir les résultats à votre disposition.

          Réaliser une déclaration auprès de la CNIL.

          Choisir une offre de service qui permette, notamment :

             – De savoir quand le système est actif ;

             – De ne pas faire apparaître les données en dehors des horaires de travail ;

            – La désactivation du système sur le boîtier par les salariés, lesquels doivent avoir la possibilité de désactiver la fonction de géolocalisation des véhicules à l’issue de leur temps de travail ou pendant leurs temps de pause ;

            – De contrôler les accès individuels aux données de géolocalisation par un identifiant et un mot de passe individuels.

Si vous voulez prendre les devants et obtenir des renseignements sur ce parcours et nos services, associés à ceux d’un expert en sécurité informatique, contactez-nous !

 étape 4

Voici les deux étapes suivantes que nous vous présenterons lors de nos prochaines publications :

  • l’étape n°5 « Organiser les procédures»
  • et l’étape n°6 «  Etablir une documentation de référence ».

Si ce n’est déjà fait, abonnez-vous à notre newsletter (rendez-vous en bas de page).

Cet article a été rédigé par Me Fatoumata BROUARD.

Cet article vous a été utile ? Il le sera peut être aussi pour contacts, partagez-le !

Catégorie :

Lilia Ould Kaci