Frequently Asked Question
Procédure interne RGPD SUIVI REGLEMENTAIRE D’HORUS SOLUTIONS Version du 11/2021 |
Objet:
Ce document présente les procédures internes mises en place par HORUS SOLUTIONS afin d’assurer la conformité du Logiciel HORUS au RGPD et à la norme NF 552.
Sommaire
1. MISE EN PLACE D’UNE VEILLE RGPD
2. VÉRIFICATION DES NOUVEAUX TRAITEMENTS DE DONNÉES ET DES TRAITEMENTS MODIFIÉS DE DONNÉES
3. GESTION DES VIOLATIONS DE DONNÉES
4. GESTION DES PROCÉDURES D’EXERCICE DES DROITS
5. RÉALISATION D’UNE ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD)
6. GESTION DES SOUS-TRATANTS ULTÉRIEURS
7. REGISTRE DES TRAITEMENTS SOUS-TRAITANT
- MISE EN PLACE D’UNE VEILLE RGPD
- Objectifs de la veille RGPD
Les objectifs de cette veille RGPD sont les suivants :
- Suivre les évolutions de la réglementation européenne relative aux données personnelles (« Réglementation données personnelles ») ;
- Mesurer les impacts de la Réglementation données personnelles sur les évolutions du Logiciel ;
- Documenter l’ensemble des mesures prises par HORUS.
- Modalités de réalisation de la veille RGPD
HORUS a mis en place un comité de suivi réglementaire composé :
- Du DPO, Pathe SEGNANE;
- De Gilles de CRUZEL ;
- Et éventuellement d’un juriste.
Ce comité de suivi réglementaire se réunira – soit en présentiel, soit en distanciel – au moins une fois par trimestre.
En particulier et au titre de ses missions, le DPO suivra :
- Les évolutions de la Réglementation données personnelles applicable en Europe ;
- Les interprétations jurisprudentielles des autorités de contrôle ;
- Les recommandations des institutions européennes.
Le DPO présentera lors de ces comités les éléments impactant HORUS L'INTEGRALE et son rôle de sous-traitant.
Les membres du comité échangeront sur les évolutions d’HORUS L'INTEGRALE à réaliser le cas échéant de façon à l’intégrer au plan produit. Elle sera documentée selon la procédure des Nouveaux Traitements de données ou des Traitements Modifiés de données.
A l’issue de chaque comité, un compte rendu sera élaboré et enregistré dans le « Dossier RGPD » d’HORUS.
2.VÉRIFICATION DES NOUVEAUX TRAITEMENTS DE DONNÉES ET DES TRAITEMENTS MODIFIÉS DE DONNÉES
- Rappel du Privacy by design
Selon l’article 25 du RGPD, « Protection des données dès la conception et protection des données par défaut », le responsable du traitement est tenu de démontrer qu’il :
- met en œuvre, tant au moment de la détermination des moyens du traitement qu'au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.
- met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
L’approche de cette méthode fondée sur les risques, prend en compte les éléments suivants : l’état de l’art, les coûts de mise en œuvre, la nature, le contexte et la finalité du traitement et les risques d’atteinte aux droits et libertés des personnes.
En qualité d’éditeur du Logiciel HORUS L'INTEGRALE, HORUS SOLUTIONS prend en compte le sujet du Privacy by design et du Privacy by default à tous les stades de développements de son Logiciel.
- Mise en œuvre pratique
Lorsqu’une évolution réglementaire, une demande d’un client ou une décision d’HORUS SOLUTIONS conduit à la mise en œuvre par le Logiciel d’un Nouveau Traitement de données personnelles (nouvelle fonctionnalité, nouveau module, nouvelle fiche, nouveau champs), HORUS SOLUTIONS suit les étapes suivantes :
- Étape 1 : HORUS SOLUTIONS se rapproche de son DPO et lui soumet le nouveau projet de développement, la nouvelle fonctionnalité ou le nouveau module intégrant un traitement de données personnelles ;
- Étape 2 : Le DPO procède à une analyse du développement envisagé à l’aide de l’outil de Privacy by design (cf. Annexe 1).
- Étape 3 : Le DPO donne ses préconisations et/ou son accord ;
- Étape 4 : Dans tous les cas, le DPO vérifiera si ce Nouveau Traitement implique une mise à jour du registre des traitements.
- Étape 5 : Le Nouveau Traitement sera intégré dans la liste des évolutions du Logiciel réalisé. Cette liste permettra de suivre l’adaptation du Logiciel à la Réglementation données personnelles.
Les échanges et modifications réalisées seront documentés dans le « Dossier RGPD ».
La même procédure sera suivie lorsqu’une modification d’une fonctionnalité existante est réalisée par HORUS SOLUTIONS.
Ces procédures s'inscrivent dans les procédures AGILES.
3.GESTION DES VIOLATIONS DE DONNÉES
- Rappel des obligations du sous-traitant
Le RGPD introduit :
- L’obligation pour le responsable de traitement de notifier à la CNIL toute violation de données personnelles dans un délai de 72h après en avoir eu connaissance ;
- L’obligation, dans certains cas, de communiquer dans les meilleurs délais la violation aux personnes dont les données personnelles ont été affectées par ladite violation1 ;
- L’obligation pour le sous-traitant de notifier au responsable du traitement toute violation de données personnelles dans les meilleurs délais après en avoir pris connaissance
Ces obligations découlent de l’obligation pour les responsables de traitement et les sous-traitants de mettre en place des mesures pour garantir un niveau de sécurité des données personnelles adapté aux risques et en particulier des moyens permettant de garantir la sécurité des données personnelles, la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement, ainsi que des moyens permettant de rétablir la disponibilité des données personnelles et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.
L’absence de notification à la CNIL ou aux personnes concernées peut aboutir à une sanction pour le responsable de traitement ou le sous-traitant.
- Les étapes à suivre en cas de violations de données personnelles
Dans le cas où HORUS, son DPO ou une autre personne est alertée d’une éventuelle violation de données personnelles au sein d’HORUS L'INTEGRALE il est nécessaire :
- De déterminer s’il s’agit bien d’une violation de données personnelles au sens du RGPD ;
- De mettre en place des mesures immédiates ;
- De réunir les informations à transmettre aux clients ;
- De documenter la violation.
- Étape 1 : Reconnaître une violation de données personnelles
Le RGPD2 définit une violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».
Les violations peuvent être classées selon les 3 principes suivants :
Catégories de violation | Conséquences de la violation | Exemples |
Violation de disponibilité | Perte accidentelle ou non autorisée de l’accès à des données personnelles : c’est-à-dire lorsque que le responsable du traitement a perdu tout contrôle ou tout accès à ces données, ou encore qu’il ne les a plus en sa possession | Perte ou vol de données personnelles ou d’équipements stockant des données personnelles, tel qu’un vol d’un ordinateur portable, d’une clé USB non chiffrée ou l’oubli d’un classeur dans les transports en commun contenant des documents professionnels susceptibles de contenir des données personnelles ; incident provoquant une indisponibilité temporaire des données personnelles |
Destruction de données personnelles : c’est-à-dire lorsque les données n’existent plus, ou n’existent plus sous une forme utile pour le responsable du traitement | Suppression des données dans une base et dans les sauvegardes et archives liées, entrainant la perte de l’information | |
Violation d’intégrité | Altération non autorisée ou accidentelle des données personnelles : c’est-à-dire lorsque les données ont été altérées, corrompues ou ne sont plus complètes | Suppression involontaire d’une fiche de paie d’un collaborateur |
Violation de confidentialité | Divulgation des données personnelles à des personnes non autorisées à recevoir les données | Suite à une erreur humaine, envoi d’un e-mail par la Direction des RH à tous les salariés d’une filiale contenant en pièce jointe le bulletin de salaire d’un des salariés ; envoi d’un email de prospection commerciale par une société à tous ses clients, en faisant apparaître en copie (cc) l’ensemble des adresses emails personnelles des clients |
Accès aux données personnelles par des personnes non autorisées à y accéder | Tentative d’accès non autorisé à un système par des méthodes d’hacking. Par exemple, une attaque par « ransomware » bloquant l’accès aux données personnelles d’un utilisateur ou d’un groupe d’utilisateur via un code crypté |
NB : Une violation peut concerner à la fois la confidentialité, l’intégrité et la disponibilité de données personnelles.
Toute violation est susceptible de présenter un risque pour les droits et libertés des personnes concernées dès lors que leurs données ainsi récupérées peuvent faire l’objet d’une utilisation frauduleuse, être divulguées à des personnes tierces et entraîner une atteinte à leur image, etc.
- En présence d’une violation de données, le DPO et HORUS SOLUTIONS doivent se réunir immédiatement pour :
- Confirmer la qualification de violation de données personnelles ;
- Déterminer la nature de la violation : accidentelle ou intentionnelle.
HORUS SOLUTIONS dispose d’outils permettant de détecter les violations d’intégrité, de confidentialité et de disponibilité des données personnelles et a élaboré une procédure de gestion des incidents de sécurité (exigence 4.7.5.3 du référentiel NF 552), d’un plan de sauvegarde des données (exigence 4.7.6.1 du référentiel NF 552).
Le Comité Européen de la Protection des Données (CEPD) a fourni des exemples, lesquels sont joints en Annexe 23, de cas de violation de données personnelles. Ces exemples permettent d’aider à distinguer un risque, d’un risque élevé pour les droits et libertés des personnes concernées.
- Étape 2 : Mettre en place des mesures immédiates en cas de violation
En fonction de la violation, HORUS SOLUTIONS:
- Détermine les actions à mettre en œuvre immédiatement et à moyen terme pour corriger la ou les failles techniques et/ ou organisationnelles et limiter les impacts de la violation de données personnelles.
- Identifie parmi ses clients ceux devant être informés de la violation de données personnelles et leur préciser les attendus afin de maîtriser la violation.
- Étape 3 : Réunir les informations sur la violation à transmettre au client
HORUS SOLUTIONS réunit les informations suivantes à transmettre au(x) client(s) concerné(s) :
- le type de violation (affectant l’intégrité, la confidentialité ou la disponibilité des données) ;
- la nature, la sensibilité et le volume des données personnelles concernées ;
- la facilité d’identifier les personnes touchées par la violation ;
- les conséquences possibles de celles-ci pour les personnes ;
- les caractéristiques de ces personnes (enfants, personnes vulnérables, etc.) ;
- le volume de personnes concernées.
Ces informations sont transmises par HORUS SOLUTIONS par un moyen sécurisé et dans les meilleurs délais après avoir pris connaissance de la violation.
Il appartiendra ensuite au client, de déterminer si la violation est susceptible d’engendrer un risque, élevé ou non sur les droits et libertés des personnes et de réaliser les notifications auprès de la CNIL et, le cas échéant des personnes concernées.
- Étape 4 : Documentation de la violation
Les Étapes 1 à 3 donnent lieu à des échanges internes, des décisions et des notifications.
HORUS SOLUTIONS conserve la trace et la copie de ses échanges internes, des décisions prises à chaque étape et des notifications aux clients dans le « Dossier RGPD ».
4. GESTION DES PROCÉDURES D’EXERCICE DES DROITS
- Rappel du cadre des droits des personnes
Au titre du RGPD, les personnes concernées par un traitement de données personnelles disposent des droits suivants :
- droit d’accès ;
- droit de rectification ;
- droit à l’effacement ;
- droit à la limitation du traitement ;
- droit à la portabilité des données ;
- droit d’opposition ;
- droit de retirer leur consentement.
- Mise en pratique
Conformément à son contrat SAAS client et à ses obligations en tant que sous-traitant, HORUS SOLUTIONS assiste ses clients pour la gestion des demandes d’exercices des droits. HORUS SOLUTIONS a mis en place des moyens permettant de gérer directement les demandes d’exercice des droits dans le logiciel HORUS L'INTEGRALE.
Il est précisé que c’est le responsable de traitement, seul, qui :
- Doit s’assurer de l’identité des personnes ayant formulé la demande ;
- Vérifie si, le cas échéant, cette demande est légitime, analyse les motifs d’opposition et détermine s’il doit y faire droit ;
- Doit s’assurer du respect des délais de réponse aux personnes et du contenu des réponses adressées ;
- Doit documenter sa gestion des demandes d’exercice des droits et conserver la preuve des actions réalisées.
Les demandes d’exercice de ces droits par les personnes concernées sont exercées auprès des clients d’HORUS SOLUTIONS, les responsables de traitement selon les 3 étapes suivantes4.
- ETAPE 1 : Réception des demandes
Les demandes sont :
- soit transmises à HORUS SOLUTIONS par les clients via l'adresse rgpd@horus-solutions.org
- soit gérées et traitées par le client seul directement dans le logiciel HORUS L'INTEGRALE.
- ÉTAPE 2 : Traitement des demandes
Les demandes sont traitées soit par HORUS SOLUTIONS soit par le client selon les cas comme suit:
Type de Demandes | Procédure |
DEMANDE D’ACCÈS ou DEMANDE D’INFORMATIONS Ex : « quelles donnés avez-vous sur moi » ; « où vous êtes-vous procurez mes données ? » | Le client ou HORUS doit :
|
DEMANDE DE RECTIFICATION DE DONNEES Ex: « j’ai changé d’adresse, de nom » | Le client ou HORUS SOLUTIONS doit :
|
DEMANDE D’OPPOSITION POUR LES CAMPAGNES Ex : « Je ne veux plus recevoir d’information » | Le client ou HORUS SOLUTIONS doit :
|
DEMANDE DE RETRAIT DU CONSENTEMENT Pour les traitements fondés sur le consentement | Le client ou HORUS SOLUTIONS doit cesser de réaliser un traitement portant sur les données personnelles de la personne qui a adressé la demande de retrait du consentement.
Selon les cas, cela peut conduire :
|
DEMANDE A L’OUBLI Ex : « Je veux que vous procédiez à la suppression de mes données » | Le client ou HORUS SOLUTIONS doit :
|
DEMANDE DE PORTABILITE Ex: « je veux récupérer mes données » | Le client HORUS SOLUTIONS doit :
|
Le traitement des demandes d’exercice des droits est limité selon les profils des utilisateurs :
Profils | Traitements autorisés |
Utilisateur interne/externe | Toutes les demandes d’exercice des droits sauf le droit à l’oubli |
Coadministrateur | Toutes les demandes d’exercice des droits |
Administrateur | Toutes les demandes d’exercice des droits |
Si la demande ne correspond à aucune de celles indiquées ci-dessus, le client dispose de la possibilité de prendre contact directement avec HORUS SOLUTIONS à l’adresse suivante : rgpd@horus-solutions.org pour lui transférer la demande et solliciter une assistance particulière.
- Suivi des actions réalisées
Les actions du client réalisées pour répondre aux demandes d’exercice des droits sont tracées via des logs dans le Logiciel.
5.RÉALISATION D’UNE ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD)
L’article 35 du RGPD impose au responsable de traitement de réaliser une AIPD lorsque que le traitement est susceptible de présenter un risque élevé pour les droits et les libertés des personnes concernées.
HORUS SOLUTIONS en qualité de sous-traitant peut être amenée à la demande du client ou selon les finalités envisagées par les traitements à fournir une analyse d’impact.
Pour déterminer si une AIPD est requise ou non, il convient de se référer :
- À la liste des traitements pour lesquels une analyse d’impact n’est pas requise5 ;
Types d’opérations de traitement | Exemples |
Traitements, mis en œuvre uniquement à des fins de ressources humaines et dans les conditions prévues par les textes applicables, pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du recours au profilage. | Les traitements permettant :
|
Traitements de gestion de la relation fournisseurs. | Les traitements permettant :
|
- Puis, à la liste des traitements pour lesquels une analyse d’impact est requise6 ;
Types d’opérations de traitement | Exemples |
Traitements des données de santé nécessaires à la constitution d’un entrepôt de données ou d’un registre
|
|
Traitements mutualisés de manquements contractuels constatés, susceptibles d’aboutir à une décision d’exclusion ou de suspension du bénéfice d’un contrat.
|
|
- Enfin, lorsque le traitement mis en œuvre ne figure pas sur l’une de ces deux listes, il faut s’interroger sur la nécessité d’effectuer une AIPD.
Dans ces Lignes directrices relatives à l’analyse d’impact7, le CEPD propose une liste de critères dont l’examen permet d’aider le responsable de traitement à identifier si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Selon ce texte, une AIPD est obligatoire dès lors que le traitement remplit au moins deux des neufs critères suivants :
- Évaluation ou notation d’une personne ;
- Prise de décision automatisée ;
- Surveillance systématique ;
- Traitement de données sensibles ou à caractère hautement personnel ;
- Traitement de données à grande échelle ;
- Croisement ou combinaison d’ensembles de données ;
- Traitement de données concernant des personnes vulnérables ;
- Utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
- Traitements qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat.
Le DPO coordonne la réalisation de l’analyse d’impact avec HORUS SOLUTIONS et utilise l’outil PIA développé par la CNIL. Il est accessible via le lien suivant : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil.
6.GESTION DES SOUS-TRATANTS ULTÉRIEURS
- État actuel
HORUS SOLUTIONS recourt à des sous-traitants ultérieurs pour la mise en œuvre de son Logiciel.
HORUS SOLUTIONS dispose au titre du contrat SAAS d’une autorisation générale de ses clients pour recourir à des sous-traitants ultérieurs.
A ce jour, la liste des sous-traitants ultérieurs est la suivante :
- HORUS SOLUTIONS FRANCE, hébergeur de données enregistré sous le numéro SIRET 89110595900011, dont le siège social est situé HORUS SOLUTIONS FRANCE, 5 RUE EUGENE FLAMAN 57950 MONTIGNY-LES-METZ.
Conformément à l’article 28 du RGPD, HORUS SOLUTIONS :
- S’est assurée que chacun des sous-traitants offre des garanties suffisantes de protection des données ;
- A conclu un contrat de sous-traitance avec ses sous-traitants sur la base des clauses contractuelles types élaborées par la Commission européenne.
- Démarches de vérification de la conformité de nouveaux prestataires, sous-traitants ultérieurs
Dans le cas où HORUS SOLUTIONS devrait faire appel à un autre prestataire, HORUS SOLUTIONS procède de la manière suivante :
- Identifier les prestataires contribuant à un traitement de données personnelles ;
- Envoi d’un questionnaire RGPD à ces prestataires via le modèle joint en Annexe 3 pour les interroger sur leur niveau de conformité au RGPD ;
- Identifier au retour du questionnaire, avec le DPO, si le sous-traitant expose les traitements à un risque de non-conformité ;
- Obtenir un engagement des prestataires via une mise à jour des contrats en cours avec la conclusion de clauses types au RGPD8
- Sécuriser les échanges d’information ou l’accès des tiers aux données (canal de transfert sécurisé, limitation des accès aux données, …).
- Documentation
L’ensemble des documents échangés avec les prestataires concernés à propos de leur conformité (contrats, charte, questionnaire) est conservé dans l’espace « Dossier RGPD ».
7.REGISTRE DES TRAITEMENTS SOUS-TRAITANT
Selon l’article 30 du RGPD, le sous-traitant est tenu d’élaborer et de tenir à jour un registre présentant les traitements effectués pour le compte des responsables de traitement.
À ce titre, HORUS SOLUTIONS a élaboré un registre sous forme électronique.
Il le tient à jour, à l’aide du DPO en intégrant au fur et à mesure les noms et coordonnées des clients pour lesquels il agit au nom et pour le compte.
Ce document n’est pas diffusé aux clients, il est en revanche prêt pour être communiqué aux autorités de contrôle en cas de demande.
Ce document est enregistré dans le « Dossier RGPD » d'HORUS SOLUTIONS.
La gestion du DOSSIER RGPD doit intervenir et contenir les informations suivantes
1) Compte rendu RGPD, à l'issue des réunions RGPD avec le DPO
2) Développement de fonction, lors ces dernières impactent le RGPD
3) Violation de données, lors d'une violation constatée
4) Prestataire externe, lors de l'accréditation d'un prestataire externe
5) Registre des traitement, lorsque le registre des traitement subi des changements
6) Liste des certificats et dépôts d'antériorité.
Pour effectuer ce travail et dans un souci de centralisation des informations HORUS SOLUTIONS a développé sont propre DOSSIER RGPD. Pour y accéder, clique dans le menu Systeme, puis Dossier RGPD.