Pour traiter du sujet essentiel et pourtant délaissé de la protection des données en matière d’évaluation de politiques publiques, Sandrine Rieussec, Dirigeante de la société spécialisée Optimex Data, a accepté de répondre à nos questions.
La vigie de l’évaluation : Depuis le mois de mai 2018, je reçois une foule de courriels au sujet du “RGPD”. Pourquoi cette agitation ?
Sandrine Rieussec, Optimex Data :
Depuis le 25 mai 2018, un nouveau règlement européen s’applique directement à toutes les organisations qui traitent des données personnelles dans l’Union européenne. Il s’agit du fameux “RGPD” (Règlement Général sur la Protection des Données).
L’objectif est de protéger la vie privée des individus, face à l’utilisation de leurs données par de nombreux organismes privés, associatifs, et aussi publics.
Une organisation qui ignore le RGPD s’expose à des sanctions de la CNIL allant jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros, et des sanctions pénales des dirigeants.
Est-ce que mes activités d’évaluation de politiques publiques sont concernées par le RGPD ?
Toute structure qui utilise des données à caractère personnel est concernée par le RGPD.
Dans le cadre de vos activités d’évaluation de politiques publiques, vous êtes amené à manipuler des données personnelles comme :
- les contacts téléphoniques et les adresses e-mail des bénéficiaires d’aides publiques,
- les nom et prénom des usagers de services publics,
- des informations sur leur situation personnelle ou professionnelle,
- et même les adresses IP de répondants à votre questionnaire.
Certaines données que vous utilisez peuvent également être considérées comme des données sensibles dès lors qu’elles concernent des informations de santé, d’opinion politique ou religieuse, et des données judiciaires.
Des obligations tout au long de la chaîne de sous-traitance
Ok, je suis concerné par le RGPD. Que dois-je faire ?
La CNIL a publié des aides pour guider votre démarche, comme la page « RGPD : passer à l’action en 4 étapes » ou le guide de sensibilisation au RGPD pour les petites et moyennes entreprises.
Vous pouvez aussi vous faire accompagner par un prestataire spécialisé. Attention, il n’existe pas encore de certification de ces organismes. Des sociétés profitent de la nouveauté du RGPD pour opérer du démarchage auprès des professionnels (entreprises, administrations, associations), parfois de manière agressive, afin de vendre un service d’assistance à la mise en conformité au RGPD. Renseignez-vous bien d’abord sur le prestataire. Une piste peut être d’opter pour un prestataire labellisé par la CNIL.
Les étapes type d’une démarche RGPD
Concrètement, quelles mesures dois-je prendre pour assurer la sécurité des données ?
Afin d’assurer la sécurité des données, le RGPD demande de protéger les données personnelles sur le plan informatique et également sur le plan physique. C’est une obligation de moyen et non pas une obligation de résultat.
Par exemple, il est attendu d’utiliser des mots de passe robustes, d’utiliser des clés USB chiffrées, de conserver les données sensibles dans un lieu sécurisé (ex : coffre-fort, armoires fermées à clés, sécurité des locaux).
Il est nécessaire de sensibiliser les personnes qui utilisent et traitent des données personnelles aux bonnes pratiques d’usage informatique et aux bonnes pratiques du quotidien dans leur poste de travail. La CNIL et l’ANSSI ont publié des livres blancs à ce sujet :
- Guide de la CNIL ” La sécurité des données personnelles”
- Guide de l’ANSSI ” Les bonnes pratiques de l’informatique”
Peut-on s’attendre à des sanctions rapidement ?
La CNIL est l’autorité de contrôle qui engage des procédures et déclenche des contrôles auprès des entreprises.
Dans le cadre du RGPD, la CNIL pourra prononcer toute une série de sanctions qui vont de l’avertissement à l’amende administrative. Cependant, elle a aussi un rôle de conseil et se veut pédagogue sur l’année 2018, pour accompagner les organismes dans leur mise en conformité, avec les nouvelles obligations du RGPD.
C’est bon, j’ai compris, c’est important. Où commencer pour me renseigner ?
- La page“par où commencer” de la CNIL
- Le livre blanc “protection des données personnelles” d’Optimex Data
- et pour protéger mes propres données, en tant que consommateur et usager du web, les outils promus par le labo de la CNIL et la liste de logiciels depuis la page PRISM-break
Retrouvez l’article complet en cliquant ici