La distinction des données à caractère personnel et des autres données
Les données personnelles sont toutes les informations se rapportant à une personne physique identifiée ou à une personne physique identifiable de manière directe ou indirecte (article 4.1 du RGPD). Il s’agit par exemple des nom et prénom, numéro de téléphone, adresse électronique, adresse IP, identifiant client, données de localisation.
Cette définition est donc très large et implique que toutes les entreprises établies sur le territoire européen ou ciblant des citoyens européens se soumettent aux dispositions relatives à la protection des données personnelles.
Depuis l’entrée en application du RGPD des mesures doivent être mises en place de manière à établir :
- Les finalités d’une collecte de données à caractère personnel ;
- Les bases légales des traitements entrepris ;
- Les mentions d’informations des personnes concernées ;
- La politique de confidentialité de l’entreprise ou de son site web ;
- Des procédures garantissant le droit des personnes concernées (droit d’opposition, de rectification, de suppression, etc.).
Toutefois, la conformité au RGPD ne peut se résumer à cette collecte d’informations. S’il s’agit une étape importante en ce qu’elle constitue le point de départ du traitement, c’est tout le cycle de vie de la donnée au sein de l’infrastructure de l’entreprise qu’il faut prendre en considération. Les modalités de son stockage jouent alors un rôle essentiel dans la satisfaction aux obligations prescrites par le RGPD. C’est sur cette étape souvent mise de côté et pourtant importante que nous avons décidé de nous concentrer dans cet article.
Le stockage est-il un traitement de données à caractère personnel ?
Le stockage est effectivement une modalité de traitement au sens du RGPD qui lui applique une définition volontairement large. Il s’agit de :
« toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction; » (article 4.2 du RGPD)
Dès lors, le stockage d’une donnée à caractère personnel, de quelques manières que ce soit (cloud, disque dur externe, classeur, etc.), et quel que soit le support (papier ou électronique), est un traitement au sens du RGPD.
Afin de garantir la conformité de votre système de stockage, il est donc indispensable de vous poser certaines questions :
- Où les données collectées par mon activité sont-elles stockées ?
- Le système de stockage des données utilisé est-il sécurisé ?
- Combien de temps les données sont-elles stockées ?
- Que faire en cas de violation des données ?
1- Identifiez les lieux de stockage des données personnelles que vous collectez
Le stockage des données personnelles nécessite la maîtrise des flux et des emplacements par lesquels elles transitent. Compte tenu de la diversité des interlocuteurs (collaborateurs internes/externes, clients, commerciaux, sous-traitants, partenaires…), et de la multiplication des outils digitaux (smartphone, tablette, ordinateur, applications, réseaux sociaux…), la détection et la maîtrise de ces flux est une tâche complexe, mais néanmoins indispensable.
Une donnée personnelle non localisée est une donnée personnelle non maîtrisée.
La CNIL ne fournit pas de méthode pour vous aider dans cette tâche, mais la mise en place d’un registre des activités de traitement apparaît comme une solution efficace, même lorsqu’elle n’est pas obligatoire (article 30 du RGPD). En effet le registre vous aide, en tant que responsable de traitement ou sous-traitant, à identifier les données à caractère personnel stockées selon chacune des activités de votre entreprise. Il permet notamment de recenser :
- Les équipements composant l’infrastructure (serveurs, téléphones, ordinateurs, etc.) ;
- Les applications métiers (CRM, GED, etc.) ;
- Les bases de données ;
- Les transferts et flux de données (sous-traitants, cloud, etc.).
2- Sécurisez votre système de stockage
La sécurité des données est, au même titre que la transparence, la licéité, la pertinence, ou encore le droit des personnes concernées, l’un des piliers de la protection des données à caractère personnel.
À ce titre, votre entreprise est assujettie à une obligation de sécurité. Cela signifie que vous devez prendre toutes les mesures nécessaires pour garantir la sécurité des données collectées afin d’éviter ou limiter toutes violations dont elles pourraient faire l’objet (divulgation, perte, altération, etc.).
Cette obligation requiert une analyse par le risque. La réalisation d’une analyse d'impact relative à la protection des données est une des méthodes permettant d’aider à identifier les conséquences potentielles qu’une atteinte à la sécurité aurait sur la vie privée des personnes concernées (article 35 du RGPD). Une fois les risques identifiés, il vous reste à déterminer les moyens les plus adaptés pour les éviter ou les atténuer. Cela nécessite la mise en œuvre de mesures techniques ou organisationnelles appropriées (article 32 du RGPD). Il peut s’agir :
- De méthodes de pseudonymisation et de chiffrement ;
- De moyens garantissant la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
- De moyens permettant de rétablir la disponibilité et l’accessibilité des données dans des délais appropriés ;
- De tester et d’évaluer régulièrement l'efficacité des mesures techniques et organisationnelles.
3- Définissez les durées de conservation nécessaires et justifiées par votre activité
Les données personnelles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire à l’accomplissement des finalités pour lesquelles elles sont traitées (article 5 du RGPD). La durée de conservation est donc limitée au regard de l’objectif poursuivi et doit être justifiée par le responsable de traitement.
Exceptionnellement, certaines durées de conservation sont directement imposées par la réglementation. C’est par exemple le cas en matière de conservation du double du bulletin de paie par l’employeur durant 5 années (article L3243-4 du Code du travail).
Lorsque la durée de conservation ne peut être déterminée avec précision, il est nécessaire de définir les critères utilisés pour la déterminer. Par exemple, il est possible de déterminer une durée de conservation conditionnée à la durée d’une relation commerciale ou d’une relation de travail, ou encore de différer le point de départ de la durée à la survenance d’un évènement, comme l’extinction d’un délai légal.
Lorsque le délai arrive à échéance, la suppression des données n’est toutefois pas systématique. Plusieurs phases de stockage peuvent se succéder. Il est alors question du cycle de vie de la donnée :
- La base active concerne la phase durant laquelle la durée correspond à l’objectif ayant justifié le stockage des données. Il s’agit de permettre une utilisation courante des données (gestion du personnel, prospection, etc.).
- L’archivage intermédiaire est la phase durant laquelle les objectifs sont atteints, mais les données peuvent encore être conservées pour répondre à des besoins d’ordre administratif ou juridique (contentieux, fiscalité, etc.). Cette étape n’est pas systématique, elle doit être nécessaire et justifiée.
- L’archivage définitif ne concerne que l’hypothèse dans laquelle les données présentent un intérêt historique, public ou scientifique.
4- Anticipez les risques d’atteintes aux données à caractère personnel
En cas d’atteinte aux données à caractère personnel, vous devez, en tant que responsable de traitement, en informer la CNIL dans les plus brefs délais et au plus tard 72 heures après en avoir pris connaissance (article 33 du RGPD). Par transposition, vos sous-traitants doivent, quant à eux, vous notifier toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
Ce délai restreint impose à l’entreprise la mise en place préalable d’une procédure lui permettant :
- Une remontée rapide des informations en interne ;
- Le lancement d’un plan de gestion de crise opérationnel afin de stopper la violation et gérer efficacement la communication.
La notification effectuée à l’autorité compétente doit décrire :
- La nature de la violation de données à caractère personnel (catégories de données, nombre approximatif de personnes concernées) ;
- Le point de contact auprès duquel la communication peut s’effectuer (DPD, DSI, RSSI),
- Les conséquences probables de cette violation ;
- Les mesures prises ou proposées pour y remédier.
Dans l’hypothèse où la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, vous devez également les informer de la violation dans les meilleurs délais. Cette notification contient, en plus des informations transmises à la CNIL, une description en des termes clairs et simples de la nature de la violation des données à caractère personnel (article 34 du RGPD).
Si elle n’est pas directement visée par le RGPD, la communication interne est également indispensable. L’information des collaborateurs et le recueil de leurs observations permettent de perfectionner la procédure et renforce la compréhension des enjeux que peut représenter le stockage des données personnelles dans l’entreprise.
MyLegiTech et le RGPD
Pour répondre aux exigences du RGPD, la solution proposée par MyLegiTech inclut 3 solutions de stockage :
- Sur nos serveurs basés en France ;
- Sur un serveur installé dans vos locaux ;
- Sur les serveurs de nos Tiers de confiance, également basés en France et gérés par des sociétés françaises.
Nous vous garantissons également un accès nominatif et individuel à notre application.
