Le RGPD-Avoir un intranet, un extranet ou une application conforme au règlement

Conformité au RGPD Application Extranet Intranet

Cette semaine, nous clôturons la saison 1 d’IZI TRICKS avec notre dernier article sur le RGPD. Nous vous livrons, pour ce dernier épisode, d’autres principes à connaître et une checklist pour vous guider dans le cadre de la mise en conformité de votre intranet, votre extranet ou votre application.

En plus des actions que nous avons déjà passées en revue dans le cadre de nos précédents épisodes, nous rajoutons quelques points de vigilance pour rendre ces 3 plateformes conformes au règlement européen.

Cas des données sensibles

Nous avions précédemment défini la donnée personnelle dans notre article sur les fondamentaux du RGPD. Toutefois, il est de bon ton de préciser qu’au sein des données personnelles, il y’a une catégorie qui se détache; celle des données sensibles ou “particulières”. Ces dernières regroupent des données relatives à l’origine raciale ou ethnique, les convictions religieuses ou philosophiques, l’opinion politique, l’appartenance syndicale, l’orientation sexuelle, la santé, des données génétiques et biométriques.
Les données sensibles sont à traiter avec une attention particulière.
En effet, les dispositions du RGPD sont assez strictes concernant ces données; sauf dans le cas de certaines exceptions, leur traitement est prohibé. Et lorsque ce type de donnée est traité, des mesures doivent être prises par le responsable du traitement afin d’en assurer la sécurité. 

La protection des données dès la conception et la protection des données par défaut

Ces deux notions sont centrales dans la mise en place de procédures de conformité aux dispositions du règlement.

La protection des données dès la conception a pour objectif de limiter les risques de “non respect” des dispositions du règlement et d’encourager la prévention plutôt que la correction de failles. L’idée est de prendre en compte la protection des données personnelles dès les 1ères étapes de l’élaboration d’un projet. La protection des données personnelles doit être incluse à l’étape de la réflexion même du nouveau projet (extranet, intranet ou application).

La protection des données par défaut, quant à elle, impose au responsable du traitement de garantir, par défaut, le plus haut niveau possible de protection des données à caractère personnel dans l’élaboration de son projet informatique.

Les deux principes précités vont de pair pour garantir la conformité au RGPD dans le cadre de la conception d’un nouveau projet.

L’analyse d’impact relative aux données personnelles

L’analyse d’impact constitue un des outils de la mise en oeuvre de la protection des données dès la conception et par défaut. Mais en quoi consiste t-elle concrètement?
L’analyse d’impact est une approche par les risques; il s’agit d’anticiper et de prévenir les incidents d’atteinte à la vie privée et aux données Analyse d'impact données personnellespersonnelles en général.

Un audit préalable doit être effectué afin de déterminer les potentiels traitements à risques. A la suite de cet audit, une analyse sera effectuée pour chaque traitement identifié.
Cette analyse devra contenir, notamment:

  • une description des traitements envisagées et des finalités
  • une évaluation de la nécessité de ces traitements et de leur proportionnalité
  • une évaluation des risques pour les droits et libertés des personnes concernées
  • l’inventaire des mesures envisagées pour se prémunir contre ces risques

Actions à mettre en place pour la mise en conformité d'un intranet, un extranet ou une application

  • inclure les mesures permettant le respect des dispositions du RGPD (information des utilisateurs, recueil du consentement des utilisateurs, etc..) pour tous les traitements de données personnelles via l’application, l’intranet ou l’extranet dans le cahier des charges
  • sélectionner des prestataires (développeurs d’application, opérateurs de maintenance informatique, etc.) qui sont en mesure d’implémenter des mesures préventives en établissant le cahier de charges, au niveau technique entre autres
  • maintenir le respect des dispositions tout au long du cycle de vie
  • effectuer une analyse d’impact des données présentant des risques pour les droits et libertés des utilisateurs
  • éviter de traiter des données sensibles
  • si le traitement des données sensibles ne peut être évité, intégrer des mesures comme la double authentification en cas de traitement de données sensibles
  • déterminer la procédure à suivre en cas de fuite de données
  • procéder à un examen périodique permettant de garantir la protection des données tout au long du cycle de vie des données en question

Cas des flux transfrontièresTransferts de données hors UE

Dans le cas où le responsable du traitement met en oeuvre un transfert de données en dehors de l'UE via l’intranet, l’extranet ou l’application, il doit veiller à ce que les transferts soient strictement encadrés par des documents légaux et contraignants.

Des clauses contractuelles types peuvent, par exemple, être prévues. Ces clauses sont des modèles de contrats de transferts de données personnelles adoptés par la commission européenne et pouvant se conclure entre deux responsables du traitement ou un responsable du traitement et un sous traitant.

A découvrir dans le prochain épisode

La semaine prochaine, nous commencerons une nouvelle saison avec une série d'articles portant sur un nouveau thème.