Lettre d'information - Octobre 2018

LE DROIT D’ACCÈS, MODE D’EMPLOI

Le Règlement a largement renforcé le droit accès des personnes physiques aux données à caractère personnel les concernant. Cela ne veut pas dire que cette notion soit encore absolument claire pour tout le monde, ni dans sa définition, ni dans les conséquences qu’elle a pour les responsables de traitement.

Tout d’abord, rappelons que le droit d’accès veut dire qu’une personne physique peut en tout temps demander à un responsable de traitement de lui dire, d’une part, si des données personnelles la concernant sont traitées, et d’autre part de lui faire parvenir une copie desdites données à caractère personnel. Cela est valable quel que soit le traitement, manuel ou automatisé, De plus, le droit d’accès est valable dans toutes les situations de collecte et de traitement de données à caractère personnel : une banque collecte des données sur ses clients demandeurs de crédit, un employeur sur ses employés, un site internet sur ses visiteurs (très souvent) ou ses clients, une administration sur ses administrés, etc.

Il y a des limites au droit d’accès : d’abord, l’accès n’est obligatoire que pour les données concernant la personne physique concernée ; cela veut dire que vous n’avez en aucun cas à dévoiler les données concernant une autre personne, par exemple un médecin le dossier médical du conjoint de la personne demandeuse… sauf si la personne en question a donné un mandat valable et écrit à la personne demandeuse bien sûr. Autre exemple : si un employé demande la copie de son dossier personnel à son employeur, celui-ci sera en droit de ne communiquer que les données à caractère personnel et non pas l’intégralité du dossier (par exemple les témoignages ou avis recueillis auprès d’autres personnes pour l’évaluation de la performance, ou les annotations faites par les personnes chargées de gérer le dossier de l’employé : supérieurs, service des ressources humaines, etc.).

Le Règlement précise également les obligations du responsable du traitement (aidé, si cela est nécessaire, par son ou ses sous-traitants) en matière de droit d’accès : 1. Au moment de la collecte des données, le responsable doit informer la personne physique des caractéristiques du traitement opéré : données collectées, identité du responsable de traitement (et du délégué à la protection des données s’il existe), finalités du traitement et base juridique, transfert à des tiers s’il y a lieu, durée de la conservation des données. 2. Egalement au moment de la collecte, le responsable doit préciser à la personne qu’elle a des droits sur ces données (le droit d’accès, mais aussi le droit de rectification, de limitation, d’effacement, de limitation, et de portabilité) et également un droit de recours en cas de désaccord. 3. Le responsable doit également préciser comment exercer le droit d’accès de façon simple pour la personne (mettre un formulaire à la disposition des personnes en annexe de la politique de protection des données par exemple). 4. 30 jours : c’est en principe le délai maximum alloué au responsable pour répondre à toute demande d’accès dans un délai en principe de 30 jours (il peut être raccourci pour certaines données et par les lois nationales, par exemple pour les données médicales), sauf si complication particulière (permettant l’allongement du délai de réponse à 2 mois), ou si la demande est « manifestement infondée ou excessive » ou engendrerait des coûts anormaux pour le responsable. 5. Forme de la réponse : elle doit être faite sous la forme d’un document lisible et accessible par la personne, par exemple un document pdf, et en général par la voie utilisée par la personne pour sa demande (électronique, courrier papier, etc.). 6. Gratuité : le responsable de traitement doit fournir la copie des données gratuitement à la personne, sauf coût anormal que le responsable doit justifier.

Qu’est-ce que tout cela veut dire pour le responsable de traitement ? Il y a plusieurs conséquences pour l’organisation du traitement des données à caractère personnel : a. Informations avant traitement : le responsable doit mettre en place des interfaces avec toute personne physique dont il pourrait avoir à recueillir les données, qu’elles soient électroniques, papier ou autres, pour informer cette personne du traitement et des droits ; b. Organisation et documentation du traitement : pour pouvoir répondre de façon complète, rapide et transparente à la personne, le responsable (et le sous-traitant) ont grand intérêt à avoir développé des procédures internes détaillant et limitant les traitements de données à caractère personnel, et à avoir mis en place des outils, informatiques si possible, permettant de reproduire les données efficacement et automatiquement pour transmission au demandeur ; c. Organisation et réponse : le responsable doit avoir mis en place un processus de réponse, avec un cadre en charge du déclenchement du processus et de la surveillance de sa bonne exécution, et bien sûr une procédure régulière d’audit ; le processus ne sera sans doute efficace que si la demande de la personne physique peut être formatée systématiquement par un formulaire par exemple, et si à la fois la demande et la réponse sont ensuite conservées et archivées par l’organisation, au moins pendant toute la durée de conservation des données concernées ;

Le renforcement du droit d’accès par le Règlement va certainement aboutir à un volume accru de demandes car les modalités d’exercice sont maintenant plus claires et plus simples pour les personnes. Il est donc d’autant plus important pour les responsables de traitement de se préparer rapidement et de façon adéquate à y répondre.

L’ARCHIVAGE, LES SAUVEGARDES ET LES PURGES DE DONNÉES

Clarifions si vous le voulez bien ces trois termes et voyons comment les principes du RGPD s’appliquent à eux.

L’archivage de données est un acte qui consiste à sortir des données du circuit quotidien et de les entreposer ‘ailleurs’. Cela concerne les données sur supports électroniques, papiers ou tout autre format. Une entreprise fabriquant des articles textiles voudra certainement garder un exemplaire de chaque produit et un architecte gardera toutes les maquettes qu’il a pu réaliser.

Lors de ce mouvement d’archivage, une réduction des données peut intervenir ; par exemple, après un délai raisonnable, il n’est peut-être plus nécessaire de conserver les relevés bancaires quotidiens, seuls les relevés mensuels suffisent. Il est important de bien documenter ce que contiennent les archives car il sera peut-être nécessaire, un jour, d’y accéder.

L’archivage est un acte coûteux en temps et en argent, il est donc important que chaque département de l’entreprise, en collaboration avec le département informatique pour les données électroniques, en définisse bien les contours : qui, quoi, quand et comment.

Le Règlement autorise l’archivage des données à caractère personnel. Il est important, dans la documentation des données archivées, de bien identifier ce qui relève de cette catégorie de données et de bien s’assurer que les droits d’accès à ces données sont bien documentés.

Pour les données électroniques, il est souhaitable de considérer deux options lors de l’archivage : la « pseudonymisation » qui consiste à remplacer les données à caractère personnel par un code, la liste de décodage étant stockée séparément et l’ « anonymisation » qui consiste à rendre les données anonymes sans possibilité de retour en arrière.

Les sauvegardes sont un moyen, pour le département informatique, de s’assurer qu’en cas d‘un incident grave, il sera possible de restaurer le système et de redémarrer sans trop de pertes de données (la perte maximum sera les données saisies depuis la dernière sauvegarde).

La sauvegarde n’est pas un archivage car en général, il y a un roulement sur deux semaines et donc il n’est pas possible de remonter plus en arrière dans le temps.

Les données sauvegardées sont souvent chiffrées et donc les données à caractère personnel sont bien protégées. Il est néanmoins nécessaire de documenter ce processus de sauvegarde et d’indiquer qui a accès aux données.

La purge consiste à effacer irrévocablement les données : destruction des archives, effacement d’un disque dur ou d’une clé USB, remise à zéro d’une partie de base de données sont quelques exemples. Tout comme l’archivage, cet acte coûteux doit être consciemment défini par chaque département de l’entreprise.

Dans le cadre du Règlement, nous conseillons d’indiquer dans les CGU que « les données seront purgées dans le premier trimestre de l’année civile suivant une période de ‘x’ années d’inactivité complète du client ». Ainsi, vous n’aurez pas à effectuer de purges tout au long de l’année.

QUI SOMMES-NOUS ?

LegIT-Team est une société spécialisée dans les services aux entreprises pour la mise en conformité avec le Règlement. Elle est formée d’experts à la fois dans le domaine des technologies de l’information et dans le domaine juridique. LegIT-Team maîtrise donc toutes les compétences dont votre entreprise a besoin pour vous expliquer plus en détail ce que le Règlement Général sur la Protection des Données signifie pour votre entreprise. De plus, LegIT-Team peut vous aider à mener à bien le projet : revue de votre structure, identification des processus et procédures à améliorer ou créer, définition des priorités et des moyens à mettre en œuvre à court et long terme. LegIT-Team peut aussi prendre en charge la réalisation des différentes composantes.

Prenez les choses en main dès maintenant, parlez avec nous et nous vous aiderons à mieux comprendre ce que vous devez accomplir pour être en règle avec la nouvelle règlementation européenne.