Une entreprise comme un centre de formation tel qu’ARES Formation manipule des données personnelles tous les jours (nom, prénom, adresse, date de naissance, CV, contrats). Les données physiques sont archivées sous 5 ans après le départ de la personne (étudiant ayant fini ses études, formateur ou salarié ayant mis fin au contrat). Ces données sont aussi conservées sur l’application « PPAP » interne à ARES. L’application garde en même un historique, une certaine traçabilité et un enregistrement en base de données. Des utilisateurs peuvent être considérés comme inactifs et donc ne plus avoir d’accès à l’application, mais leurs données seront toujours stockées. 

Actuellement il n’existe aucune méthode d’archivage sur PPAP. Bien que les données sensibles soient cryptées, il n’existe qu’une seule base de données pour tout gérer. De plus, il n’existe pas encore de mention légales expliquant  aux utilisateurs quelles données sont conservées, dans quel but, pour combien de temps. Seule une attestation d’entrée avec le règlement intérieur et le processus de gestion des demandes est mise en place. 
Quelles méthodes peuvent être mises en place afin de garantir une transparence de la gestion des données pour les utilisateurs ? Comment se préparer à des failles de sécurité et protéger les données ?

• La CNIL propose de tenir un registre des demandes comprenant :
  > Les acteurs dans le traitement des données (ceux qui traitent et ceux qui sont traités).
  > La catégorie des données traitées.
  > Pour quelles raisons les données sont collectées, quels acteurs ont accès à ces données, et vers qui elles sont redirigées.
  > La durée de conservation des données.
  > La manière dont les données sont sécurisées.
• Une autre solution proposée serait de mettre en place un changement de mots de passes régulièrement et robuste en suivant les recommandations de la CNIL (~ 12 caractères, majuscule, minuscule, caractère spécial, chiffre).
• Il peut être aussi nécessaire d’avoir un système automatisé de sauvegarde et d’archivage.
• De plus, l’entreprise peut adopter une « analyse d’impact » (AIPD), en amont d’un nouveau traitement (avec un logiciel open-source comme « PIA » par exemple) :
  > Description détaillée du traitement (technique comme métier).
  > Selon la CNIL : “L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux” c’est-à-dire tout ce qui est fixé par la loi concernant les données et leur conservation.
  > Étude d’impact.
• Enfin, Sur PPAP, il pourrait être nécessaire de mettre en place une page “Mentions Légales” avec un rappel précisant quelles données sont utilisées, dans quel but les données sont stockées, sur combien de temps elles peuvent être conservées, mais aussi qu’un utilisateur a le droit de rétractation sur ses données (pouvoir les supprimer), dans quel cas et comment ces données seront archivées. À la suite de ceci, l’utilisateur devra attester qu’il a pris connaissance de ces informations afin de consentir à ces utilisations. 

Il est important de comprendre que la CNIL ne demande pas une obligation de résultat mais principalement une obligation de moyen. Il est nécessaire de prouver que les moyens ont été mis en place, même dans l’échec. Alors, l’impact de ces propositions concerne toute l’application et l’entreprise :

• Infrastructure réseau (ajout de serveurs, bases de données)
• Serveurs de stockage (préparation de scripts de sauvegarde et d’archivage réguliers)

Il faut s’assurer que le temps de conservation des données est en accord avec les besoins administratifs de l’entreprise.

Il serait utile de créer 2 registres des traitements, un pour les données physiques, matérielles ainsi qu’un registre pour les données dématérialisées.

Ces solutions peuvent avoir un certain coût :

• Serveurs de stockage OVH : entre 54 et 200 euros par mois
• Engagement d’un DPO (s’il n’est pas déjà présent dans l’équipe) : salaire moyen de 38 000/an brut.
  

En ce qui concerne le code de l’application, l’impact sera moindre puisque créer une page de mention légales, ajouter le changement régulier de mot de passe ou encore la suppression de données sont déjà réalisables sur le code actuel sans aucun coût.

Le principal inconvénient est le temps nécessaire :

• Organisation soutenue
• Rédaction minutieuse

Cette protection des données ajoute des coûts supplémentaires (infrastructure, DPO, etc.).

Enfin, c’est une obligation qui ne doit pas entraver la continuité de service pour les élèves, tuteurs, formateurs, salariés sur l’ENT. 

Pour une école comme ARES Formation, il semble utile de renforcer la protection des données, cela permet une clarté de travail et une gestion plus optimisée en interne.
Aussi, ces méthodes mises en place permettent de prévenir les risques (fuites de données, piratage, perte de données) et renforcer la sécurité d’un ENT comme PPAP qui gère des notes, bulletins, gestion de tickets interne, contrats de travail. Cela permet par ailleurs de s’assurer de l’exactitude et de l’intégrité de la donnée.
De plus, c’est une transparence nécessaire pour les utilisateurs et permet d’instaurer un climat de confiance avec ces derniers, à ne pas négliger : un utilisateur doit savoir quelles données sont traitées sur PPAP, dans quel but et qui les collecte.

Enfin, c’est un engagement juridique et éthique que de pouvoir répondre aux attentes de la CNIL par une justification de moyen et non de réussite.