Le RGPD pour les clients G Suite - Comment être prêt

Le RGPD pour les clients G Suite

Qu’on le veuille ou non, un nombre important de nos données personnelles sont stockées sur le web par les fournisseurs de services en ligne (Facebook, Gmail, Linkedin, Instagram, Dropbox etc..) mais aussi par les entreprises utilisatrices de leurs services.

Le RGPD (Réglement Général sur la Protection des Données), qui entrera en vigueur le 25 mai 2018, a pour but de protéger les données à caractère personnel des ressortissants des pays membre de l’UE que les organisations telles que la vôtre utilisent et stockent dans leur cadre de leur activité.

En France, nous appliquons déjà la plupart de ces principes grâce à la CNIL. Cette nouvelle réglementation a pour intérêt de les harmoniser à l’échelle européenne.

Google a mis en place les éléments nécessaires afin d’être en conformité avec le RGPD mais aussi pour vous aider à gérer au mieux cette conformité.

A. Obligations de Google par rapport aux utilisateurs de ses services

Protection

Les engagements de Google Google s’est engagé à respecter le RGPD et a mis à disposition les éléments de réponses nécessaires à cela.

La protection des informations des utilisateurs est l'une des grandes priorités de Google, qui a travaillé en étroite collaboration avec les autorités européennes, et a déjà mis en place de solides mesures de protection de la vie privée.

Google s’est engagé à respecter le RGPD et a déjà mis ses activités en conformité.

Comme pour toute entreprise collectant de données, 3 principaux axes sont à retenir :

Des rapports concernant la sécurité des données et les demandes de suppression particulières sont disponibles à cette adresse: https://transparencyreport.google.com/?hl=fr

Note: n’oubliez pas qu’en retirant les autorisations, vous pourriez perdre des fonctionnalités, voire bloquer le fonctionnement d’une application. Par exemple: si vous retirez la géolocalisation d’un Gps, il ne pourra plus vous guider correctement.

Vous pouvez également demander à Google, comme à toute organisation collectant vos données, de supprimer les informations vous concernant.

B.Vous avez un domaine G Suite. Comment être conforme au RGPD?

Dans le cadre de ces dispositions, il s’agit surtout de montrer que vous avez tout mis en place pour assurer la confidentialité et la sécurité des données à caractères personnel que vous stockez sur les utilisateurs.

Pour cela, il vous faut être capable de garantir les éléments suivants:

1. Nommer un Responsable de la Protection des Données (DPO)

DPO

Il est important qu’en cas de contrôle, les autorités sachent à qui s’adresser si elles souhaitent avoir des informations sur vos process internes de gestion des données à caractère personnel.

Le DPO doit avoir connaissance des principes des bases du RGPD (qui sont très similaires à ceux de la CNIL). Il peut faire partie de la Direction Générale, des RH,
du service juridique, ou même un cabinet juridique externe.

Il désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions » (article 37.5 du règlement européen). https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees Cf Article de la CNIL valable pour le RGPD.

Assurez-vous d’avoir configuré votre console G Suite de la manière à indiquer les coordonnés de votre représentant pour les clients hors EU et votre DPO :

a/ Indiquer les coordonnées de votre représentant (pour les résidents hors EU)

  1. Connectez-vous à la console d'administration Google.
  2. Cliquez sur menu
  3. Cliquez sur Compte > Profil de l'enterprise > Plus d'éléments > Mentions légales et conformité.
  4. Dans la section “Informations relatives au représentant de l'UE”, saisissez ses coordonnées
  5. Cliquez sur Enregistrer.

b/ Indiquer les coordonnées du DPO:

Les administrateurs G Suite doivent indiquer les coordonnées du RPD dans la console:

  1. Connectez-vous à la console d'administration Google.
  2. Cliquez sur menu
  3. Cliquez sur Compte > Profil de l'enterprise > Plus d'éléments > Mentions légales et conformité.
  4. Dans la section "Informations relatives à l'agent chargé de la protection des données", saisissez ses coordonnées.
  5. Cliquez sur Enregistrer

2. Comprenez les données personnelles que vous stockez sur des membres de l’UE

Informations

Vous devez être capable de les localiser dans votre système d’information. En cas de contrôle, il vous sera demandé d’être capable de retrouver ces données pour que les personnes concernées puissent exercer leur “droit à l’oubli”.

  • Référencez vos CRM, vos fichiers clients, vos listes de contacts
  • Dans Google Drive, mettez en place un dossier partagé géré par un responsable de la protection des données (DPO). Ce dossier devra contenir tous les fichiers contenant des données personnelles que vous pourrez organiser par dossiers accessibles en fonction des droits d’accès aux données.
  • Le DPO peut également tenir à jour un Index en racine de ce Drive contenant les localisation de tous les fichiers contenant ce type de données (y compris ceux qui ne sont pas stockables sur le Drive (comme les données d’un CRM par exemple) tout comme la tenue d’un registre des traitements.
  • Assurez vous que chaque membre de votre organisation détenant ce type d’information vous les a bien mises à disposition sur le Drive partagé. Ainsi votre DPO pourra éventuellement fusionner les doublons, optimiser leur organisation etc. Pour ce faire, vous pourrez mener une enquête interne à l’aide d’un Formulaire Google invitant chacun de vos utilisateurs à vous communiquer les fichiers dont il dispose. L’idéal est de centraliser toutes ces données sur le Drive prévu à cet effet. Vous trouverez ici un exemple de formulaire permettant à chacun de systématiquement signaler leurs traitements dans le registre prévu à cet effet.

3. Assurez vous de minimiser votre stockage de données personnelles

Données

Il s’agit ici de répondre à la question : Avez-vous besoin de toutes les informations que vous stockez sur des individus et pour combien de temps ? Par exemple, si des gens se sont inscrit sur votre site dans le but unique de participer à un concours, vous devrez être en mesure de prouver, si vous conservez ces données au delà de la fin du concours, que vous avez toujours besoin de ces données dans le cadre de votre mission telle qu’elle a été perçue par le client lorsqu’il vous a communiqué ces informations.

Les autorités ne vont certes pas inspecter tous vos fichiers de données pour savoir si toutes les informations que vous détenez sur les individus sont nécessaires, mais en cas d’utilisations abusive, le fait que vous les ayez conservées vous rendra en partie responsable.

Il faudra alors prouver que cette conservation était nécessaire et connue de l’individu.

Ainsi, pensez au principe de minimisation à tous les niveaux de votre collecte de données personnelles :

  • Lorsque vous collectez des informations auprès d’un individu, ne demandez que les informations qui sont strictement nécessaires au but que vous lui annoncez.
  • Une fois que l’utilisation de ces données est terminée, supprimez ces données!
  • Facilitez l’accès à ces données par les utilisateurs : Vous devrez pouvoir à tout moment leur indiquer quelles sont les informations que vous détenez sur eux et leur faciliter leurs demandes leur suppression.

Si vous n’avez pas de site Internet permettant d’automatiser ce process et que vous stockez ces informations dans Google Drive par exemple, ayez une organisation intelligente vous permettant une recherche aisée.

Quelques conseils :

  • Favorisez les feuilles de calcul Google avec des noms de colonnes clairs permettant le filtrage rapide
  • Automatisez la suppression de certaines données grâce à Google scripts
  • Si vous utilisez l’email comme outil de collecte de données personnelles, assurez-vous de concentrer ces collectes sur un nombre restreint de boîtes mail (par exemple demandes@votre-domaine.com) et utilisez :
    1. Soit Google Vault pour gérer vos délais de conservation si vous êtes en version Business.
    2. Soit la console d’administration G Suite > Gmail en définissant un nombre de jours de conservation pour les libellés et comptes de votre choix. Par exemple, vous pouvez définir que tous les emails reçus par la boite “conseils-juridique@votre-domaine.com” ayant le libellé “demandes personnelles” devront être supprimés automatiquement au bout de 30 jours.
    3. Soit Google Scripts pour automatiser cette suppression automatiquement ou selon des règles que vous définissez. ( exemple)
    4. Si un client vous demande de supprimer tous les échanges que vous avez eus avec lui contenant un certain sujet sensible, utilisez la recherche Gmail pour trouver et supprimer facilement ces messages.

4. Assurez vous d’avoir tout fait pour sécuriser l’accès aux données à caractère personnelles que vous stockez

Clés

Si vos clients vous ont communiqué des données personnelles comme le montant de leur revenu annuel, leur opinion politique ou leur appartenance à un groupe religieux, il faut croire qu’ils vous ont fait confiance pour garder ces informations pour vous.

Il est donc de votre responsabilité de vous assurer que ces données ne sont accessibles que par les personnes qui y sont autorisées.

L’infrastructure Google, à travers les technologies les sécurisées au monde, vous garantie une sécurité optimale des données que vous hébergez sur leurs serveurs.

Cette page de votre console d’administration reprend toutes ces mesures et certifications.

De votre côté, assurez vous que votre service informatique exerce un contrôle strict sur le Drive partagé mentionné plus haut.

Par exemple, il devra s’assurer que seuls les utilisateurs autorisés auront des droit de lecture ou d’écriture sur les fichiers contenant les données personnelles.

Votre DPO devra pouvoir avoir un accès aux paramètres de partages du Drive en temps réel de manière à pouvoir toujours s’assurer que les accès aux données à caractère personnel sont justifiés.

Quelques conseils :

  • Limitez dans la durée de vos partages Drive : En effet, lorsque vous partagez un document ou un dossier dans le Drive, vous avez la possibilité de configurer un délai d’expiration du partage.
    Options de partage
  • Si ces actions ne sont pas nécessaires, désactivez la possibilité de télécharger, imprimer ou copier ces fichiers à partir du Drive.
    Options commentateurs
  • Centraliser le partage et empêcher les utilisateurs autres que l’administrateur ou le DPO de partager ces fichiers et dossiers du Drive.
    Empêcher le partage
  • Retrouvez comment opérer ces contrôles sur cette page.

5. Pensez à la protection “dans le concept”

Quel que soit le système que vous mettez en place, à partir du moment où il interagit avec des individus et est susceptible de récolter leurs informations personnelles, assurez-vous que ce système respectera les règles du RGPD.

Ainsi, lorsque vous décidez de collecter des informations à caractère personnel auprès d’individus ressortissants de l’Union Européenne, assurez-vous de de mettre en place tous les process qui vous permettront d’être conforme au RGPD.

6. Le RGPD, c’est juste du bon sens !

Quelle que soit votre activité, à partir du moment ou vous avez à faire à des données personnelles, posez-vous juste les questions suivantes :

  1. Avez-vous besoin de toutes ces données ?
  2. Jusqu'à quand en aurez-vous besoin ?
  3. Les personnes concernées savent-ils ce que vous savez sur elles et peuvent-elles en demander la suppression ?
  4. Pouvez-vous leur garantir la sécurité de ces données ?

En France, c’est même dans notre culture: la CNIL a statué ces principes depuis 1978. Nous pouvons considérer que ces principes sont maintenant la norme en Europe et dans le reste du monde.

Article précedent
Précedent »

Publiez un commentaire ! ConversionConversion EmoticonEmoticon