La protection des données (RGPD) et l’évaluation de politiques publiques

Pour traiter du sujet essentiel et pourtant délaissé de la protection des données en matière d’évaluation de politiques publiques, Sandrine Rieussec, Dirigeante de la société spécialisée Optimex data*, a accepté de répondre à nos questions.

La vigie de l’évaluation : Depuis le mois de mai 2018, je reçois une foule de courriels au sujet du “RGPD”. Pourquoi cette agitation ?

Sandrine Rieussec, Optimex Data  :

Depuis le 25 mai 2018, un nouveau règlement européen s’applique directement à toutes les organisations qui traitent des données personnelles dans l’Union européenne. Il s’agit du fameux “RGPD” (Règlement Général sur la Protection des Données).

L’objectif est de protéger la vie privée des individus, face à l’utilisation de leurs données par de nombreux organismes privés, associatifs, et aussi publics.

Une organisation qui ignore le RGPD s’expose à des sanctions de la CNIL allant jusqu’à 4% du chiffre d’affaires mondial annuel ou 20 millions d’euros, et des sanctions pénales des dirigeants.

Est-ce que mes activités d’évaluation de politiques publiques sont concernées par le RGPD ?

Toute structure qui utilise des données à caractère personnel est concernée par le RGPD.

Dans le cadre de vos activités d’évaluation de politiques publiques, vous êtes amené à manipuler des données personnelles comme :

  • les contacts téléphoniques et les adresses e-mail des bénéficiaires d’aides publiques,
  • les nom et prénom des usagers de services publics,
  • des informations sur leur situation personnelle ou professionnelle,
  • et même les adresses IP de répondants à votre questionnaire.
Crédit : Optimex data

Certaines données que vous utilisez peuvent également être considérées comme des données sensibles dès lors qu’elles concernent des informations de santé, d’opinion politique ou religieuse, et des données judiciaires.

Je réalise une enquête dans le cadre de mon évaluation. Qu’est-ce que le RGPD change pour moi ?

La mise en application du RGPD a entraîné la disparition des déclarations préalables à effectuer auprès de la CNIL. Par conséquent, plus aucun traitement ne doit être déclaré auprès de la CNIL.
Le RGPD a entraîné un renversement de la charge de la preuve. Désormais, ce sont aux organismes de prouver qu’ils sont en conformité avec la réglementation.

Pour cela, le RGPD rend obligatoire la tenue d’un registre des traitements. Ce document recense l’intégralité des traitements de données effectués au sein de la structure et précise les modalités de chacun des traitements (personnes concernées, données traitées, durée de conservation, destinataires, mesures de sécurité, etc.). Par conséquent, la réalisation d’enquête devra être inscrite au registre, comme une activité de traitement.

Moi, je ne collecte pas de données personnelles pour mon évaluation (je ne fais qu’utiliser des données existantes). Suis-je concerné ?

Crédit : Optimex Data

Le RGPD s’applique aux traitements de données à caractère personnel. Or, la définition d’un traitement est entendue de façon particulièrement large. Il peut s’agir de la collecte, mais pas seulement. Un traitement de données est également effectué lorsque le responsable de traitement utilise, conserve, adapte, modifie, enrichit, consulte, utilise, transmet, diffuse ou efface des données personnelles.
Par conséquent, même si je ne fais qu’utiliser des données personnelles qui m’ont été transmises, je suis concerné par les obligations du RGPD.


Ok, je suis concerné par le RGPD. Que dois-je faire ?

La CNIL a publié des aides pour guider votre démarche, comme la page « RGPD : passer à l’action en 4 étapes » ou le guide de sensibilisation au RGPD pour les petites et moyennes entreprises.

Illustration : CNIL

Vous pouvez aussi vous faire accompagner par un prestataire spécialisé. Attention, il n’existe pas encore de certification de ces organismes. Des sociétés profitent de la nouveauté du RGPD pour opérer du démarchage auprès des professionnels (entreprises, administrations, associations), parfois de manière agressive, afin de vendre un service d’assistance à la mise en conformité au RGPD. Renseignez-vous bien d’abord sur le prestataire. Une piste peut être d’opter pour un prestataire labellisé par la CNIL.


Concrètement, quelles mesures dois-je prendre pour assurer la sécurité des données ?

Afin d’assurer la sécurité des données, le RGPD demande de protéger les données personnelles sur le plan informatique et également sur le plan physique. C’est une obligation de moyen et non pas une obligation de résultat.
Par exemple, il est attendu d’utiliser des mots de passe robustes, d’utiliser des clés USB chiffrées, de conserver les données sensibles dans un lieu sécurisé (ex : coffre-fort, armoires fermées à clés, sécurité des locaux).
Il est nécessaire de sensibiliser les personnes qui utilisent et traitent des données personnelles aux bonnes pratiques d’usage informatique et aux bonnes pratiques du quotidien dans leur poste de travail. La CNIL et l’ANSSI ont publié des livres blancs à ce sujet :

Et pour les bénéficiaires de la politique évaluée, ça change quoi ?

Avec le RGPD, les personnes disposent de droits qu’elles sont susceptibles d’exercer auprès des organismes. Elles disposent notamment :

  • D’un droit à l’information où les personnes doivent être informées de l’intégralité des traitements dont elles sont l’objet
  • D’un droit d’accès où une personne peut demander à accéder à l’intégralité des données en possession de l’organisme
  • D’un droit de rectification où la personne peut demander que ses données soient modifiées (ex : changement de nom, de domicile, etc.)
  • D’un droit à l’effacement où la personne peut demander à être effacée d’une base de données
  • D’un droit d’opposition à un traitement (ex : je ne souhaite plus recevoir de newsletter)
  • D’un droit à la limitation du traitement où la personne peut demander à geler temporairement l’utilisation de ses données
  • Et d’un droit à la portabilité où la personne peut demander à récupérer une partie de ses données dans un format lisible par une machine.
Crédit : Optimex Data

Tous ces droits peuvent être exercés auprès des organismes qui traitent les données personnelles de la personne concernée. Par conséquent, dans le cadre d’une évaluation, une personne contactée est parfaitement susceptible d’exercer ses droits. L’organisme a l’obligation de lui répondre dans un délai d’un mois, en vérifiant préalablement l’identité de la personne. L’organisme n’a pas le droit de facturer l’exercice d’un droit, il peut simplement demander à la personne le paiement de frais raisonnables compte tenu des coûts administratifs.

Peut-on s’attendre à des sanctions rapidement ?

La CNIL est l’autorité de contrôle qui engage des procédures et déclenche des contrôles auprès des entreprises.

Dans le cadre du RGPD, la CNIL pourra prononcer toute une série de sanctions qui vont de l’avertissement à l’amende administrative. Cependant, elle a aussi un rôle de conseil et se veut pédagogue sur l’année 2018, pour accompagner les organismes dans leur mise en conformité, avec les nouvelles obligations du RGPD.

C’est bon, j’ai compris, c’est important. Où commencer pour me renseigner ?

*Présentation de la société Optimex data, qui a accepté de répondre à nos questions

Optimex Data est une agence spécialisée en protection des données personnelles et la mise en conformité au RGPD – Règlement Général sur la Protection des Données.
Reconnu organisme de formation et référencé Datadock, Optimex Data propose des formations (labellisées par la CNIL) en matière de protection des données, en format présentiel et e-learning.
Optimex Data accompagne aussi la conduite d’audit de conformité RGPD et les missions DPO, aussi bien pour l’accompagnement d’un DPO interne dans ses prises de fonction que dans l’externalisation de la mission de DPO.
Optimex Data déploie ses services auprès d’organisme public mais également auprès du secteur privé et du monde associatif.
Pour de plus amples informations nous vous invitons à consulter notre site internet www.optimex-data.fr

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.