✅ Mise en conformité RGPD en entreprise
| Formation | BTS SIO option SISR — IRIS Mediaschool |
|---|---|
| Bloc | B3 — Cybersécurité des services informatiques |
| Module | M3.1 — RGPD et protection des données personnelles |
| Durée | 4 heures |
| Prérequis | C3.1.1 et C3.1.2 — Cadre RGPD et gestion des droits |
🎯 Objectifs
- Mettre en place un registre des activités de traitement
- Réaliser une analyse d'impact relative à la protection des données (DPIA)
- Comprendre le rôle et les missions du Délégué à la Protection des Données (DPO)
- Gérer la notification d'une violation de données à la CNIL
- Intégrer la privacy by design et privacy by default dans les projets informatiques
- Appliquer les durées de conservation et les procédures d'archivage
📖 Savoirs associés
- Registre des activités de traitement (article 30 RGPD)
- Analyse d'impact relative à la protection des données (DPIA — article 35)
- Délégué à la Protection des Données (DPO — articles 37-39)
- Notification des violations de données (articles 33-34)
- Privacy by design et privacy by default (article 25)
- Durées de conservation et politique d'archivage
- Contrats de sous-traitance (article 28)
📖 Le registre des activités de traitement
Obligation légale
L'article 30 du RGPD impose à tout organisme employant 250 personnes ou plus (et aux organismes de taille inférieure réalisant des traitements à risque) de tenir un registre des activités de traitement. Ce document recense tous les traitements de données personnelles effectués.
Contenu du registre
Le registre doit contenir, pour chaque traitement :
| Information obligatoire | Exemple |
|---|---|
| Nom et coordonnées du responsable de traitement | IRIS Mediaschool, DPO@iris.fr |
| Finalité(s) du traitement | Gestion des dossiers étudiants, facturation |
| Catégories de personnes concernées | Étudiants, anciens élèves |
| Catégories de données traitées | Identité, données scolaires, données bancaires |
| Destinataires des données | Service pédagogique, comptabilité, OPCO |
| Transferts vers pays tiers | Hébergement AWS Ireland (UE) |
| Durées de conservation | 5 ans après la fin de scolarité |
| Mesures de sécurité | Chiffrement AES-256, accès RBAC, logs d'accès |
La CNIL met à disposition un modèle de registre au format tableur (Excel/CSV) et une application en ligne pour aider les organismes à établir leur registre. Disponible sur cnil.fr.
📖 Analyse d'impact (DPIA)
Quand réaliser une DPIA ?
Une Data Protection Impact Assessment (DPIA — Analyse d'impact relative à la protection des données) est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Critères de la CNIL (3 critères → DPIA obligatoire) :
- Traitement automatisé conduisant à une évaluation ou un profilage de personnes
- Décisions produisant des effets légaux ou affectant significativement les personnes
- Surveillance systématique à grande échelle de personnes dans un espace public
- Traitement à grande échelle de données sensibles (santé, origine ethnique, etc.)
- Croisement ou combinaison de jeux de données
- Traitement de données concernant des personnes vulnérables (mineurs, patients)
- Utilisation de nouvelles technologies ou applications innovantes
- Transferts de données hors UE vers des pays sans décision d'adéquation
Structure d'une DPIA
- Description du traitement : finalités, données collectées, acteurs, flux
- Évaluation de la nécessité et proportionnalité : la collecte est-elle justifiée ?
- Identification et évaluation des risques : accès non autorisé, modification, perte des données
- Mesures envisagées pour traiter les risques (techniques et organisationnelles)
- Avis du DPO et consultation préalable éventuelle de la CNIL
📖 Le Délégué à la Protection des Données (DPO)
Missions du DPO
Le DPO (articles 37-39 du RGPD) est le référent interne en matière de protection des données. Il n'est pas le "responsable" de la conformité (c'est le responsable de traitement), mais son conseiller et facilitateur :
- Informer et conseiller le responsable de traitement et les collaborateurs
- Contrôler le respect du RGPD (audits internes)
- Conseiller sur les DPIA et en vérifier l'exécution
- Coopérer avec la CNIL et être le point de contact
- Traiter les demandes d'exercice de droits
Quand désigner un DPO ?
- Toute autorité ou organisme public
- Organismes dont les activités de base nécessitent un suivi régulier et systématique des personnes à grande échelle
- Organismes traitant à grande échelle des données sensibles (catégories particulières)
Le DPO peut être interne (salarié) ou externe (prestataire). Il bénéficie d'une protection contre les représailles et d'une indépendance fonctionnelle.
📖 Notification des violations de données
Obligation de notification
En cas de violation de données personnelles (accès non autorisé, perte, destruction, divulgation accidentelle), le RGPD impose deux niveaux d'obligations :
| Destinataire | Délai | Conditions |
|---|---|---|
| CNIL (autorité de contrôle) | 72 heures après prise de connaissance | Si la violation est susceptible d'engendrer un risque pour les droits et libertés |
| Personnes concernées | Dans les meilleurs délais | Si le risque est élevé pour les droits et libertés des personnes concernées |
Contenu de la notification CNIL
- Nature de la violation (accès, modification, perte, destruction)
- Catégories et nombre approximatif de personnes et d'enregistrements concernés
- Coordonnées du DPO
- Conséquences probables de la violation
- Mesures prises ou envisagées pour y remédier
La contrainte des 72 heures impose d'avoir des procédures de détection et d'escalade en place avant qu'une violation ne survienne. Les équipes techniques doivent savoir à qui signaler, quelles informations collecter et comment contacter le DPO. Une notification incomplète peut être faite dans les 72h et complétée ultérieurement.
📖 Privacy by Design et Privacy by Default
L'article 25 du RGPD consacre deux principes fondamentaux pour les développeurs et architectes SI :
Privacy by Design (protection dès la conception)
La protection des données doit être intégrée dès la conception d'un système ou d'un processus, pas ajoutée après coup. En pratique :
- Intégrer les exigences RGPD dans les cahiers des charges et spécifications
- Choisir des solutions techniques respectueuses de la vie privée (chiffrement natif, pseudonymisation)
- Réaliser les DPIA en amont des projets, pas en fin de développement
- Former les développeurs aux enjeux de la protection des données
Privacy by Default (protection par défaut)
Les paramètres par défaut d'un système doivent assurer le niveau de protection le plus élevé. Exemples :
- Un formulaire web ne doit pas pré-cocher les cases de consentement au marketing
- Un compte utilisateur nouvellement créé doit avoir les paramètres de confidentialité les plus restrictifs par défaut
- Une API ne doit pas exposer plus de données que nécessaire par défaut
📖 Durées de conservation
Le RGPD n'impose pas de durées de conservation spécifiques mais exige que les données ne soient pas conservées plus longtemps que nécessaire. Les durées sont définies par le responsable de traitement en fonction de la finalité et du cadre réglementaire applicable :
| Type de données | Durée de conservation typique | Référence |
|---|---|---|
| Données clients (contrats, factures) | 10 ans | Code de commerce |
| Données RH (bulletins de paie) | 5 ans | Code du travail |
| Données de connexion (logs) | 1 an | LCEN / RGPD |
| Vidéosurveillance | 1 mois maximum (sauf réquisition) | RGPD + Code pénal |
| Données de candidature (recrutement) | 2 ans après dernier contact | RGPD |
🛠️ Outils / Ressources
- CNIL : modèles de registre, guide DPIA, notification de violation (notifycnil.fr)
- Logiciels DPO : OneTrust, Didomi, Privacyboard, DPO Manager
- EBIOS Risk Manager (ANSSI) : méthode d'analyse de risques compatible DPIA
- ISO/IEC 27701 : extension de l'ISO 27001 pour la gestion de la vie privée
- Guides EDPB (Comité Européen de la Protection des Données)
📝 QCM — Testez vos connaissances
- Qu'est-ce qu'une DPIA et quand est-elle obligatoire ?
- Quel est le délai pour notifier une violation de données à la CNIL ?
- Quelle est la différence entre Privacy by Design et Privacy by Default ?
- Le DPO est-il personnellement responsable des violations RGPD de son entreprise ?
- Quelle durée de conservation s'applique généralement aux logs de connexion ?
- Que doit contenir un registre des activités de traitement (article 30) ?
📝 Afficher les corrections
- La DPIA est une analyse d'impact obligatoire pour les traitements à risque élevé (profilage à grande échelle, données sensibles, surveillance systématique). Elle évalue et atténue les risques avant la mise en œuvre du traitement.
- 72 heures après la prise de connaissance de la violation, si elle est susceptible d'engendrer un risque pour les droits et libertés des personnes.
- Privacy by Design = intégrer la protection dès la conception du système ; Privacy by Default = les paramètres par défaut doivent être les plus protecteurs possible (pas de case pré-cochée, accès minimal par défaut).
- Non — Le DPO est un conseiller indépendant. La responsabilité de la conformité incombe au responsable de traitement. Le DPO bénéficie d'une protection contre les représailles.
- 1 an — En France, la LCEN et les recommandations CNIL préconisent une conservation de 1 an pour les logs de connexion et d'accès.
- Coordonnées du responsable et du DPO, finalités, catégories de personnes et de données, destinataires, transferts hors UE, durées de conservation, mesures de sécurité.