Le Règlement général sur la protection des données (RGPD) (en anglais : « General Data Protection Regulation », GDPR) s’applique dans l’ensemble des 28 États membres de l’Union Européenne à compter du 25 mai 2018. Il constitue le texte de référence européen en matière de protection des données à caractère personnel.
Il renforce et unifie la protection des données pour les individus au sein de l’Union européenne mais implique plus de responsabilités pour ceux qui collectent, conservent ou échangent des données personnelles.
Dans le présent document, nous ne rentrerons pas dans l’exhaustivité de cette réglementation. Nous aborderons, de façon plus spécifique, les points mis en œuvre par adhoc-gti sur nos produits pour vous aider au respect du RGPD. Le lecteur trouvera sur internet ou dans les librairies de nombreux documents qui répondront à ses interrogations sur la mise en oeuvre plus générale du RGPD au sein de sa structure. On citera en particulier le site de la CNIL, référence en la matière.
RGPD, article 4, 1) « Aux fins du présent règlement, on entend par «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (…); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
On citera ainsi comme exemples de données personnelles : un n° de sécurité sociale, une adresse postale, une adresse mail, une adresse IP, des coordonnées de géolocalisation, des coordonnées bancaires, … .
RGPD, article 4, 2) « Aux fins du présent règlement, on entend par «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».
RGPD, article 5, 1) « Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ;
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; (…) (limitation des finalités)
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;
d) exactes et, si nécessaire, tenues à jour ; toutes les mesures raisonnables doivent être prises pour que les données à caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans tarder (exactitude) ;
e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ; les données à caractère personnel peuvent être conservées pour des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, pour autant que soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir les droits et libertés de la personne concernée (limitation de la conservation) ;
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) ;
Le détail des principes et leur application est décrit dans le texte du RGPD.
Concrètement des fonctionnalités sont progressivement déployées sur nos produits.
Prévenir l’utilisateur et l’acteur (client) de ce qui est collecté
Le logiciel adhoc conserve la trace de certaines opérations (date, utilisateur adhoc, action). La liste des opérations faisant l’objet d’une historisation est accessible depuis adhoc et tous les utilisateurs en seront informés lors de leur connexion.
Concernant la gestion de vos clients sous adhoc : adhoc intègre la gestion de l’acceptation explicite d’email commerciaux (de vous ou de vos partenaires) afin que vous puissiez filtrer vos emailing.
La liste des champs prévus a priori pour la collecte de données à caractère personnel est signalée dans le requêteur. Mais il se peut que vous n’en utilisiez qu’une partie dans votre gestion ou que vous utilisiez des champs différents ou dynamiques pour collecter d’autres informations personnelles. Il vous revient de recenser précisément les données personnelles concrètement collectées via l’outil de recensement des données à caractère personnel.
Prévenir l’utilisateur de ce qui va être fait avec ses données
Il vous appartient de recenser les principaux traitements de données à caractère personnel réalisés au sein de votre société (publipostage commerciale, exports, transmissions à des tiers, etc.).
Ne collecter que le nécessaire
Des alertes dans les textes libres rappellent aux membres du cabinet qu’il ne faut collecter que le strict nécessaire pour le traitement, aucune information dont vous n’avez pas explicitement besoin et dont le client n’aurait pas été informé.
Une information « RGPD » rappelle aux utilisateurs leurs obligations de respect des réglementations lors de leur connexion.
Ne conserver que des informations exactes et utiles.
Nous vous fournirons la liste des informations historisées lors des modifications de données personnelles.
Dans le cadre du droit à la portabilité, il sera possible d’extraire les données via le requêteur sous format structuré afin que le propriétaire puisse les vérifier et proposer leur correction.
Ne conserver des données que sur une durée légale
Le moniteur RGPD permettra d’identifier les données personnelles d’un individu donné et de procéder à un traitement permettant de respecter le « droit à l’oubli ». Il appartiendra à l’utilisateur de juger de l’application du droit en fonction du cadre réglementaire.
Le moniteur RGPD permettra d’identifier les données personnelles répondant à des critères de conservation/archivage définis par l’utilisateur et de procéder à un traitement permettant d’ôter les données à caractère personnel vers un format interopérable que l’utilisateur pourra archiver selon ses propres procédures.
Garantir la sécurité des données
Outre la sécurisation de vos serveurs qui appartient à vos SSI et prestataires d’hébergement, nous mettons progressivement en place des solutions de sécurisation sur la base de données.
Un gestionnaire des authentifications permet de gérer les comptes et de définir votre politique d’authentification sous adhoc (mot de passe, historique, droits, sécurisation, …).
Les éventuels lien(s) vers les fiches de procédure où cet écran est mis en oeuvre de façon concrete et suffisamment importante sont référencés ici :