Agence Starc et le RGPD
Engagements et évolution des procédures de l’Agence Starc relatives aux Normes.
L’engagement de l’Agence Starc en matière de protection des données (RGPD) va au-delà du simple respect de contraintes légales pour nos clients, partenaires et à toute personne d’accéder aux données qui la concernent…
Dans le cadre de ses activités et de sa mise en conformité, l’Agence Starc respecte l’ensemble des textes relatifs à la protection des données à caractère personnel, notamment :
- La loi n°78-17 « Informatique et Libertés » du 6 janvier 1978 modifiée (dernière version adoptée en février 2018).
L’Agence Starc est attentive aux textes en cours d’étude ou d’adoption, notamment au projet de règlement ePrivacy.
- Lignes directrices concernant sur la notion d’intérêt légitime poursuivi par le responsable du traitement des données au sens de l’article 7 de la directive 95/46/CE adoptées le 9 avril 2014 ;
- Lignes directrices concernant les délégués à la protection des données (DPD) adoptées le 13 décembre 2016 & – Version révisée adoptée le 5 avril 2017 ;
- Lignes directrices relatives au droit à la portabilité des données adoptées le 13 décembre 2016 & Version révisée adoptée le 5 avril 2017 ;
- Lignes directrices concernant les données au travail adoptées le 8 juin 2017 ;
- Lignes directrices concernant le profilage et les décisions automatisées adoptées le 3 octobre 2017 ;
- Lignes directrices concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du RGPD adoptées le 4 avril 2017 & Version révisée adoptée le 4 octobre 2017 ;
- Lignes directrices concernant le consentement adoptées le 28 novembre 2017 ;
- Lignes directrices concernant la transparence des traitements adoptées le 12 décembre 2017
Mise en place des mesures organisationnelles
Agence Starc a désigné un Délégué à la Protection des Données ou Data Protection Officer (DPD / DPO) parmi ses collaborateurs et ce pour l’ensemble des missions prévues à l’article 39 du RGPD.
Notre DPO a aussi pour missions complémentaires notamment :
Formation et sensibilisation
Notre DPO a suivi une formation technique et juridique délivrée par un Cabinet Expert. Le contenu de ladite formation est guidé par la délibération CNIL n° 2017-220 du 13 juillet 2017 prise en matière de « formation des personnes à l’égard du traitement des données à caractère personnel ».
Il a également été procédé, par le même accompagnant externe et avec le concours de notre DPO, à la sensibilisation de l’ensemble du personnel conformément à l’article 39 du RGPD et à la réalisation de document et d’email de relance et d’information.
Documentation interne
Dans le respect des principes d’accountability et privacy by design (considérants 78, 85, 108 et articles 3, 25 et 85), Agence Starc a mise en place les procédures internes, notamment :
- Charte de protection des données à destination des collaborateurs d’Agence Starc afin d’assoir les règles de confidentialité et sécurité à observer quant au traitement de données à caractère personnel
- Politique de protection des données à destination des clients et utilisateurs des produits/services d’Agence Starc afin de respecter le principe de transparence (considérants 39, 58, 78, article 5 et section 1 du RGPD)
- Politique de gestion des cookies.
Afin de respecter les exigences évoquées ci-dessus, d’Agence Starc fait également évoluer l’ensemble de ses outils et procédures en lien avec les responsables de traitements, les sous-traitants ou les personnes concernées. Cela concerne principalement les éléments suivants :
Consentement des personnes (opt-in)
Nous avons réalisé une étude approfondie sur le consentement afin de nous assurer que nos pratiques et celles de nos partenaires sont en phase avec les exigences du RGPD, le consentement étant la principale base légale utilisée.
Nous avons adapté nos actions et procédures en vue du strict respect des exigences suivantes :
| Assertions | Directive 95/46/CE | Règlement 2016/679 | Evolutions |
|---|---|---|---|
| Validité du consentement Le consentement doit respecter certaines exigences afin d’être valable. | Article 2h) et 7a) Manifestation de volonté, libre, spécifique, informée et indubitable. | Considérant 32 et articles 4-11, 6-1a) et 7 Acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord. | Le consentement exige une action positive claire de la personne concernée. Cela remet en cause certains cas dans lesquels un consentement pouvait être valable auparavant. << Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité >>. |
| Consentement donné librement Le consentement doit refléter un véritable choix de la personne concernée, effectué en toute liberté. En cas de pression ou contrainte sur la personne concernée, le consentement donné pourra être remis en cause. | Article 2h) La directive 95/46 prévoit bien que le consentement doit être librement donné, mais ne précise pas le sens de cette exigence. | Considérants 32 et 43 et article 7-4 Si quelque chose souhaité par la personne concernée (produit/service) est subordonné au consentement, ce dernier pourra parfois être remis en cause. Il en va de même si le refus ou retrait du consentement fait peser sur la personne concernée des effets négatifs, ou s’il y a un déséquilibre entre le responsable de traitement et la personne concernée. | Tandis que la directive de 1995 ne fournit presque aucun renseignement sur la notion de consentement libre, les définitions du RGPD rendent la démonstration d’un consentement valable plus difficile dans certains cas : particulier VS administration, employé VS patron, etc. Dans certaines hypothèses, le recours au consentement doit être tout bonnement écarté. Agence Starc n’est pas concernée par cet état de fait. Avant l’entrée en vigueur du RGPD en 2016 le G29 avait commencé à clarifier la notion, notamment dans son avis 15/2011. Toutefois, bien que très importantes, les recommandations du G29 ne sont pas juridiquement contraignantes. |
| Consentement spécifique Un consentement ne spécifiant pas le traitement pour lequel il est donné n’est pas valable. | Article 2h) La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. | Considérant 32 et article 6-1a) La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques. | Comme le G29 a pu le préciser dans son avis 15/2011 précité, le consentement doit être intelligible. La demande de consentement formulée par le responsable de traitement doit clairement et précisément en exposer la portée et les conséquences à la personne concernée. Le consentement ne peut s’appliquer que dans un contexte spécifique, il ne peut être donné de manière indéfinie et illimitée. |
| Consentement informé Afin qu’un consentement soit donné valablement, la personne concernée doit disposer d’informations suffisantes pour lui permettre de comprendre ce à quoi elle va consentir. | Considérant 25 et article 2h) La directive de 1995 ne définit pas précisément ce terme. | Considérants 32 et 42 et articles 4-11 et 7-1 Le traitement objet du consentement doit être décrit à l’aide d’informations aisément accessibles et formulées en des termes clairs et simples. La personne concernée devrait connaître au moins l’identité du responsable du traitement et les finalités du traitement auquel sont destinées les données à caractère personnel. | Le RGPD implique une plus grande attention dans la rédaction des demandes de consentement. |
| Le silence ne vaut pas consentement Si ce n’est pas clairement << oui >>, c’est << non >>. | La directive 95/46/CE ne précise rien à ce sujet. | Considérant 32 << Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité >>. | Si la directive ne dit rien, le RGPD reprend et donne quant à lui force juridique aux recommandations du G29 (cf. avis 15/2011 précité). La plupart des demandes de consentements par cases à décocher ne seront bientôt plus valables. |
| Consentement distinguable Le consentement ne doit pas être noyé au sein d’autres demandes ou considérations. | La directive 95/46/CE ne précise rien à ce sujet. | Article 7-2 Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions . | Si la directive ne dit rien, le RGPD reprend et donne quant à lui force juridique aux recommandations du G29 (cf. avis 15/2011 précité). Exit sans ambiguïté les consentements noyés au milieu de CGU/CGV |
| Le consentement peut être retiré à tout moment Un << non >> annule immédiatement le << oui >>. Toutefois, ce n’est pas rétroactif. | La directive 95/46/CE ne traite pas spécifiquement ce point. | Considérant 42, 65 et article 7-3 La personne concernée a le droit de retirer son consentement à tout moment (…). Il est aussi simple de retirer que de donner son consentement | Bien que la directive ne mentionne pas expressément le droit de retirer un consentement, cette aptitude s’est toujours déduite de la nature même de cette base légale. Agence Starc a toujours respecté cette possibilité des personnes concernées de formuler des opt-outs. |
| Obtention du consentement Aucune méthode n’est imposée par les textes. | La directive ne donne aucune information sur les modalités concrètes d’obtention d’un consentement. | Considérant 32 << (…) par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques (…) >>. | Le RGPD reconnait spécifiquement la validité des méthodes de recueil du consentement les plus couramment utilisées et affirme que tous les outils et méthodes sont recevables du moment que les critères d’un consentement valable vus précédemment sont pris en compte. |
| Quid des consentements recueillis avant l’application du texte ? | La directive 95/46/CE ne précise rien à ce sujet. | Considérant 171 << (…) il n’est pas nécessaire que la personne concernée donne à nouveau son consentement si la manière dont le consentement a été donné est conforme [au RGPD] >>. | Dans de très nombreux cas, les consentements devront être demandés à nouveau en << mode RGPD >>. |
Recueillement des optins partenaires
Les opt-ins sont recueillis et conservés par nos partenaires, ces derniers pouvant avoir des méthodologies de recueil différentes. Nous nous assurons que nos partenaires respectent la réglementation par la voie contractuelle, et par la réalisation éventuelle d’audits. Nous exigeons que les opt-ins soient différenciés en fonction du canal de collecte et utilisation des données (courrier électronique, courrier postal, SMS/MMS, etc.). La preuve des opt-ins peut en revanche être apportée par tous moyens (cf. considérant 32 du RGPD et étude ci-dessus) : cases à cocher, logs, captures d’écran, etc.
Droit des personnes concernées :
Les droits des personnes concernées relativement aux traitements de données les concernant ont été étendus par les articles 15 à 22 du RGPD (prise en charge plus rapide, exercice facilité et nouveaux droits).
Quand bien même ces droits sont à exercer par les personnes concernées auprès des responsables de traitements Agence Starc, en tant que votre sous-traitant, continuera de les accompagner dans la prise en charge et le traitement de ces demandes.
Flux transfrontaliers de données
Pour la mise en œuvre de ses produits et services, Agence Starc peut être amenée à réaliser des transferts de données vers des pays non-membres de l’Espace Économique Européen dont les législations en matière de protection des données à caractère personnel diffèrent de celles de l’Union Européenne.
Dans de tels cas Agence Starc s’engage à s’assurer, avant de transférer les données, que les entités extérieures à l’Union européenne et les conditions du transfert offrent un niveau de protection adéquat conformément au règlement 2016/679 (chapitre V du RGPD).
Agence Starc, pour la conformité des flux transfrontaliers qu’elle met en œuvre, s’appuie essentiellement sur les mécanismes de conformité suivants :
- Les décisions d’adéquation de l’article 45 du RGPD ;
- Les clauses contractuelles types de la Commission européennes figurant au c) de l’article 46 du RGPD.
- Agence Starc informe les personnes concernées et les responsables de traitements des flux transfrontaliers préalablement à leur mise en œuvre
Notification des violations de données
Le RGPD a étendu l’obligation de notification des violations de données à caractère personnel de l’article 34 bis de la loi « Informatique et Libertés » n°78-17 du 6 janvier 1978, jusque-là limitée seuls fournisseurs de services de communications électroniques, à l’ensemble des responsables de traitements et sous-traitants (articles 33 et 34 du RGPD).
De la même manière que pour les droits des personnes, Agence Starc a défini la procédure à suivre pour les cas détectés de violations de données dans le respect du fond et de la forme imposés par le RGPD. Cette procédure intègre la réalisation d’une étude d’impact pour chaque violation détectée afin de la qualifier (absence de risque, risque faible à normal, risque élevé) et d’en déduire les règles à suivre (absence de notification, notification de la CNIL et/ou des personnes concernées).
Dans ses procédures, Agence Starc prévoit d’informer les responsables de traitements de toute violation de données sans délai afin qu’ils puissent eux-mêmes accomplir leurs formalités dans les 72 heures imparties.
Etudes d’impacts sur la vie privée (EIVP) ou PIA
Conformément à l’article 35 du RGPD, Agence Starc a mis en place une procédure relative aux études d’impacts autant pour ses besoins internes que pour accompagner les responsables de traitements dans la réalisation de leurs EIVP (PIA)
Audit des outils
Le plan d’actions d’Agence starc intègre la réalisation d’audits pour l’ensemble de ses outils, autant ceux à destination de ses salariés que ceux à destination de ses clients.
Audit des sous-traitants
Le plan d’actions d’Agence starc intègre également l’audit de ses sous-traitants, en ce que le RGPD exige une chaîne de conformité du responsable de traitement jusqu’au sous-traitant de dernier niveau
Agence starc exige de ses sous-traitants le même niveau de conformité et de rigueur qu’elle s’impose à elle-même.
Tous les sous-traitants qui se révéleront ne pas encore être conformes au RGPD devront s’y conformer avant d’être autorisé à devenir un sous-traitant opérationnel de Agence starc, qui s’assurera du respect de cet engagement.
Dans le cadre de notre mise en conformité au RGPD, nous nous sommes rapprochés de l’ensemble de nos partenaires sous-traitants afin de nous assurer de leur respect aux exigences du Règlement Européen à l’aide d’un questionnaire afin d’avoir et d’obtenir les garanties nécessaires.
Nos mesures juridiques et contractuelles.
Encadrement de la sous-traitance
Dans le cadre de l’évolution de ses dispositifs de conformité, l’Agence Starc constitue une nouvelle banque de clauses légales relatives à la protection des données pour répondre aux exigences nouvelles du RGPD. Cette banque juridique inclue des clauses relatives à la sous-traitance conformes au RGPD, notamment aux articles 28, 29, 30 et 32 :
- Confidentialité et respect de la réglementation en vigueur ;
- Respect des instructions du responsable de traitement ;
- Description du sort des traitements et des données pendant la durée de la sous-traitance et à son terme ;
- Interdiction de sous-traitance sans accord exprès écrit du responsable de traitement. La demande d’autorisation de sous-traitance emporte communication des informations suivantes :
- Désignation du sous-traitant ;
- Nature et volume des traitements sous-traités ;
- Durée de la sous-traitance ;
- Lieu et durée de conservation des données par le sous-traitant ;
- Auditabilité du sous-traitant par le responsable de traitement ;
- Report de l’ensemble des engagements de Agence starc sur tout autre sous-traitant autorisé par le responsable de traitement.
Information des personnes
Dans la banque juridique susmentionnée, Agence starc a prévu des clauses légales relatives à l’information des personnes concernées encadrée par les articles 13 et 14 du RGPD. Ces clauses (notamment les clauses conformes à l’article 14 du RGPD) compléteront les informations transmises aux personnes concernées lors de la collecte des données.
Bien que l’information des personnes concernées soit à la charge du responsable de traitement, l’Agence starc sera force de proposition pour ses clients et tiendra à leur disposition des clauses conformes RGPD prêtes à personnaliser :
Lorsque les personnes concernées seront contactées par le responsable de traitement, ce dernier aura le choix d’insérer ou non des clauses, notamment celles proposées par Agence starc ;
Lorsque les personnes concernées seront contactées directement par Agence starc, lesdites clauses seront systématiquement insérées.
L’ensemble de ces clauses constitue la position éthique actuelle de l’Agence starc. Cette position pourrait être amenée à évoluer en fonction des interprétations à venir du Règlement Général sur la Protection des Données actuel, et de l’évolution des jurisprudences.
Bases légales
Formalités préalables,
Finalité(s) poursuivie(s),
Légitimité,
Qualité des données,
Destinataires des données,
Zones de commentaires libres,
Durées de conservation,
Interconnexions,
Flux transfrontaliers,
Droits des personnes,
Information des personnes,
Sécurité/sous-traitance/traçabilité.
Sous-traitant opérationnel de Agence Starc, qui s’assurera du respect de cet engagement.
Une question
Nous sommes contactables à l’adresse suivantes dpo[at]agence-starc.com