PraxedoNotre blog spécialisé Gestion des interventions : Le RGPD pour les nuls
RGPD-gestion-intervention-praxedo

Gestion des interventions : Le RGPD pour les nuls

XavierBiseul
Xavier Biseul
Le 24 janvier 2023
7 min de lecture

En vigueur depuis le 25 mai 2018, le règlement européen sur la protection des données personnelles renforce les exigences en matière de sécurité et de traçabilité. Ainsi, l’éditeur de logiciel de gestion des interventions doit également, en tant que sous-traitant, s’engager sur la voie de la conformité.
 
RGPD, quatre lettres qui font trembler bien des entreprises. En effet, le Règlement Général sur la Protection des Données (RGPD) fait l’objet d’une médiatisation rare pour un chantier réglementaire. De fait, ce cadre législatif crée une vraie rupture par rapport à l’approche traditionnelle en matière de protection des données personnelles.
 
Au regard du montant des sanctions, la privacy devient tout d’abord un enjeu d’entreprise. En cas de manquement, les amendes peuvent atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires. A noter que le régulateur prend en compte le montant le plus élevé des deux. On est bien loin des 150 000 euros, condamnation record infligée par la Cnil à Google en 2014 !
 
Le RGPD change aussi l’approche qui prévalait jusqu’alors avec la loi Informatique & Libertés de 1978, révisée par la directive européenne de 1995. Depuis, fini les déclarations obligatoires à la Cnil : le règlement instaure un régime de responsabilisation (« accountability ») et d’auto-contrôle. L’entreprise doit alors pouvoir démontrer à tout moment qu’elle est en conformité en tenant à jour un registre exhaustif de ses traitements de données personnelles.

  LP-Paroles-expert-geoloc-  
  Le livret Praxedo  
 

Géolocalisation du technicien, CNIL et RGPD : les règles à suivre

 
    Télécharger    
 

Gestion des interventions : le respect de la vie privée prise en compte “par défaut”

Le RGPD introduit aussi la notion de « privacy by design » : le respect de la vie privée doit alors être pris en compte dès la conception d’un nouveau service ou d’une application. Ainsi, le responsable du traitement ne collecte que les informations dont il a besoin, dans la seule finalité qu’il a indiquée, et pour une durée de conservation déterminée.
 
Avec le « privacy by default », il garantit que, non seulement il a mis en place les dispositifs nécessaires à la sécurisation des données personnelles (chiffrement, anonymisation, pseudonymisation…), mais que ceux-ci sont activés par défaut.

A partir de là, l’entreprise doit recueillir le consentement clair et explicite (opt-in) des personnes fichées. Elle doit également leur préciser les différents droits dont elles disposent :

  • le droit d’accès et de rectification,
  • le droit à l’effacement (droit à l’oubli)
  • ou le droit à la portabilité (transmission des données à des tiers).

Limiter, évaluer, cartographier les risques de fuite de données 

L’entreprise doit également prévoir quelles procédures suivre en cas de fuite de données (data breach). En effet, le responsable du traitement est tenu d’avertir l’autorité de contrôle dans les 72 heures après en avoir pris connaissance. De leur côté, les personnes concernées par le piratage doivent être notifiées dans « les meilleurs délais ».
 
Par ailleurs, pour évaluer et cartographier les risques, le RGPD demande aux organisations de mener des analyses d’impacts préalables (privacy impact assessment, PIA).

Ainsi, pour mettre toutes ces pratiques en œuvre, les organismes publics, comme les entreprises privées doivent nommer un Data protection officer ou, en français, Délégué à la protection des données.
 
Ce DPO/DPD remplace alors le Correspondant Informatique & Libertés (CIL). Il dispose également de missions et prérogatives élargies. Son rôle consiste à :

  • émettre des recommandations,
  • mener des audits réguliers pour s’assurer qu’elles ont été suivies d’effets et que l’entreprise garantie la bonne conformité des traitements.

Gestion d’interventions : le sous-traitant pleinement impliqué dans la protection des données

Par ailleurs, le RGPD introduit en quelque sorte une notion de co-responsabilité pour le sous-traitant. Ainsi, tout prestataire qui manipule et gère des données personnelles est tenu, lui aussi, de mettre en place les dispositifs organisationnels et techniques pour assurer leur protection.
 
Editeurs en mode SaaS, hébergeurs, providers… l’ensemble des acteurs de la chaîne de traitement est concerné. Le RGPD les désigne, en anglais, sous le terme de « processor », plus parlant que la traduction française de sous-traitant.
 
Enfin, pour s’assurer de la conformité des sous-traitants, il est conseillé au donneur d’ordre de passer en revue l’ensemble de ses contrats. Ceci afin d’insérer des clauses précisant leurs nouvelles obligations et responsabilités de chaque partie. Ce formalisme a en effet son importance. Le RGPD indique également que le prestataire doit recevoir des instructions par écrit ou par contrat de son donneur d’ordre. A défaut de relation de subordination, le sous-traitant court le risque d’être considéré comme responsable de traitement à part entière.

RGPD et gestion d’interventions : des obligations renforcées

L’article 28 et les suivants du RGPD listent l’ensemble des obligations qui relèvent du sous-traitant. Le règlement encadre notamment la sous-traitance en cascade. Ainsi un fournisseur ne peut pas recruter un autre prestataire sans l’autorisation préalable du responsable du traitement. A moins de supprimer les données personnelles selon les consignes passées par le donneur d’ordre.
 
Par ailleurs, le prestataire a une obligation d’assistance, d’alerte et de conseil. C’est pourquoi, il doit mettre à la disposition du responsable du traitement toutes les informations nécessaires pour permettre à ce dernier, ou à un auditeur qu’il a mandaté, de réaliser des audits, y compris des inspections. En cas de fuite de données, il notifie alors le responsable de traitement dans les meilleurs délais après en avoir pris connaissance.
 
Dans son guide du sous-traitant, réactualisé en septembre 2017, la Cnil reprend les obligations qui incombent au sous-traitant, mais aussi les évolutions de son rôle depuis mai 2018. En annexe, le guide propose un exemple de clauses contractuelles types. Le CISPE (Cloud Infrastructure Service Providers in Europe), association d’hébergeurs a établi, de son côté, un code de conduite pour anticiper les dispositions du RGPD.

Les prestataires s’engagent dans la voie du RGPD

Ces changements s’appliquent également aux prestataires établis hors Union Européenne mais amenés à traiter de données de citoyens européens. Ainsi, Amazon Web Services, Microsoft Azure et Google Cloud Platform se sont, par exemple, engagés à se mettre en conformité dans les temps.
 
Au-delà du « tampon » RGPD, un fournisseur peut par ailleurs mettre en avant le respect de normes qualité internationales telles qu’ISO/IEC 27001 (sécurité des systèmes d’information) et ISO/IEC 27018 :2014 (protection des données personnelles).

Praxedo prêt pour l’échéance

Praxedo n’a pas attendu le RGPD pour mettre en œuvre toutes les mesures nécessaires pour sécuriser les données de ses clients. Son application est hébergée sur des infrastructures dédiées chez OVH, premier hébergeur européen qui s’engage sur la voie de la conformité au RGPD.
 
Les données sont systématiquement sauvegardées sur plusieurs serveurs sur des sites distants. De plus, le taux de disponibilité constaté de l’application est supérieur à 99,8%. L’accès à l’application est également réalisé en HTTPS. Soit le même niveau de sécurité que celui exigé pour le paiement en ligne.
 
Pour éviter les failles de sécurité, Praxedo fait appel à des entreprises spécialisées dont le métier est de réaliser des tests d’intrusion externes, permettant ainsi de corriger au plus vite les éventuels problèmes de sécurité remontés.