LE RGPD, RÉGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES

Comprendre le RGPD
À l'ère de la généralisation de la data (collecte et analyse informatique des données), il était temps de créer un cadre législatif de protection des individus. En Europe, la CNIL a initié un règlement harmonisé, le RGPD. À charge pour les entreprises et les commerçants de se mettre en conformité avec le règlement avant le 25 mai 2018.

Le RGPD, qu'est-ce que c'est ?

le RGPD, c'est le nouveau cadre européen concernant la protection des données personnelles. Le RGPD (de GDPR - General Data Protection Regulation en anglais) est applicable dès son entrée en vigueur le 25 mai 2018.
Le RGPD est conçu pour protéger les données personnelles des individus dès leur émission.
Il accorde aux consommateurs une large série de droits recevables, en termes de transparence et de précision du consentement.

Qu'est-ce qu'une donnée personnelle ?

Une donnée à caractère personnel est une information qui se rapporte à une personne physique identifiée ou identifiable (nom, prénom, numéro de téléphone, adresse…). L’ensemble de ces informations relèvent de la sphère privée de l’individu, sujet de droit.

« L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
Comprendre le RGPD : sécurisation des données personnelles
Historiquement, c’est la loi "informatique et libertés" du 6 janvier 1978 qui est venu encadrer à l’échelle nationale la collecte et de manière générale le traitement des données personnelles et qui a mené à la création de la CNIL (Commission nationale de l’informatique et des libertés).

Aujourd'hui, la CNIL préside au déploiement du RGPD, soit un règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données qui annule et remplace la directive 95/46/CE (règlement général sur la protection des données, harmonisé en droit européen).

Le RGPD a été adopté par le Parlement européen et le Conseil de l’Union européenne le 27 avril 2016. Ce n'est pas une directive, comme prévu au départ, mais un règlement. Applicable directement dans les États membres de l'Union Européenne, il sera supranational. Il entrera en vigueur le 25 mai 2018.

Les grands principes tels qu'établis par la précédente directive sont repris. Mais de nouveaux principes clefs ont été rajouté et certaines exigences renforcées.

Champ d'application du RGPD

Il trouvera à s’appliquer à chaque traitement de données à caractère personnel lorsque :
• Le traitement a lieu sur le territoire de l’Union Européenne,
ou
• le responsable de traitement ou le sous-traitant sont établis sur le territoire de l’Union – même si le traitement est techniquement opéré hors de l’UE,
ou
• les personnes concernées par chaque traitement sont des citoyens ou ressortissants européens.

Quelles sont les entreprises concernées ?

Toutes les entreprises qui proposent des biens et services aux particuliers,
• toute entreprise basée au sein de l'Union Européenne,
• toute entreprise qui s'adresse à des ressortissants de l'union européenne.

Les commerçants

• Les commerçants devront être en mesure de démontrer comment leur organisation répond aux conditions légales :
• Intégrer des paramètres de confidentialité dans leurs produits et sites Web numériques.
• Effectuer régulièrement des évaluations d'impact sur la vie privée
• Renforcer le process d'acceptation d'utilisation des données communiquées.
• Communiquer sur l'utilisation qui est faite des données personnelles qui leur sont communiquées.
• Améliorer la façon dont ils communiquent sur les violations de données .

Cas particuliers : PME/TPE - Professionnels/Indépendants

Comprendre le RGPD

Ce qu'il faut savoir…

Plus de déclaration préalable à la CNIL

Il n'y a plus de déclarations préalables des traitements auprès de la CNIL.
L’autorisation ou la déclaration ne suffisent plus à prouver le respect de la législation. Désormais, c'est au responsable du traitement des données qu'il incombe de démontrer qu’il a pris toutes les mesures appropriées afin d’être conforme aux dispositions législatives. La mise en place d’un fichier documentant l’ensemble des traitements réalisés est indispensable.

Registre des traitements obligatoire

Les entreprises de plus de 250 employés doivent tenir un registre actualisé de tous leurs traitements de données personnelles.
Consultable à tout moment par la CNIL, ce registre comporte, entre autres, le nom et les coordonnées du responsable du traitement, le type de destinataire auquel les données ont été ou seront communiqués et la finalité du traitement (démarchage commercial, analyse statistique…).

Identification du périmètre des données sensibles

Le règlement préconise le cryptage ou la pseudonymisation pour les données les plus sensibles. Par données sensibles, on comprendra les informations faisant référence aux origines raciales ou ethniques, à la religion, aux opinions politiques, philosophiques, syndicales, à la génétique, aux données biométriques, à la santé ou à la sexualité des individus.

Droits et consentement

L’entreprise doit obtenir le consentement explicite (par opt-in) des personnes concernées par le traitement et pouvoir en apporter la preuve. Un formulaire de consentement est obligatoire pour chaque type de données. Par ailleurs, au moment de la récolte des données, la finalité du traitement de ces données doit être clairement explicité.
Pour les mineurs de moins de 16 ans, le consentement d'un parent ou d’un tuteur légal est obligatoire.
Le droit à l’oubli oblige le responsable du traitement à garantir aux individus qui lui en feront la demande que leurs données seront supprimées et ce dans le délai fixé. Chacun doit pouvoir obtenir les données personnelles le concernant, dans un format lisible et structuré, afin de pouvoir le transmettre à un autre acteur (droit à la portabilité).
se mettre en conformité avec le RGPD

En interne, une charte de bonnes pratiques

Une charte permet de rappeler aux collaborateurs les bonnes pratiques, dans le respect des règles de sécurité définies par le service informatique.
Notamment, un salarié ne peut accéder à des données ne relevant pas de sa fonction, les modifier, les supprimer ou les enregistrer sur un support externe sans l'accord de sa hiérarchie.
La charte doit également l'informer ainsi des sanctions encourues en cas de non-respect de la loi.

Renforcement de la sécurité

Le règlement vient durcir les mesures de sécurité encadrant le traitement des données personnelles. Le responsable du traitement des données doit évaluer le degré de risque concernant ces données soit "l’obligation d’effectuer des analyses d’impact", assorti de "l’obligation de notifier à la CNIL les violations de données personnelles".
Ce qu'il faut savoir sur l’analyse d’impact relative à la protection des données (DPIA)

Le responsable a ainsi obligation de déclarer à la CNIL dans un délai de 72h toute violation de données personnelles, par exemple l’existence d’une faille de sécurité ayant entrainé la perte ou encore la révélation de données personnelles.

Désignation obligatoire d'un DPO (Data Protection Officer)

Ce garde-fou doit impérativement être indépendant vis-à-vis du responsable du traitement, et pourra être commun à différentes entités.
Il a pour mission d’informer, de conseiller le responsable du traitement et/ou les sous-traitants, d’être le point de contact des personnes concernées par un traitement de données, d’être l’interlocuteur de la CNIL…
3 situations où un Data Protection Officer est obligatoire :
  • les organismes publics
  • les organismes manipulant des données "à grande échelle"
  • les organismes qui manipulent des données sensibles (santé, juridique…).

Analyse d'impact, le PIA

La CNIL met à disposition des responsables de traitement (les DPO), un logiciel Open-Source, qui permet de conduire une analyse d'impact des données détenues sur la vie privée en suivant la méthode PIA (Privacy Impact Assessment).
La démarche de conformité mise en œuvre en menant un PIA repose sur deux piliers :
  1. les principes et droits fondamentaux, "non négociables", qui sont fixés par la loi et doivent être respectés, quels que soient la nature, la gravité et la vraisemblance des risques encourus ;
  2. la gestion des risques sur la vie privée, qui permet de déterminer les mesures techniques et d’organisation appropriées pour protéger les données.
Le logiciel PIA, à télécharger et à installer

En cas de pépin…

L’entreprise doit mettre en place les procédures à activer en cas de violation de données personnelles, notamment en termes de communication de crise et d’information.
Le responsable du traitement doit en informer la CNIL dans les 72 heures après avoir pris connaissance de l'incident.
Il doit aussi "dans les meilleurs délais" alerter les personnes concernées si la fuite présente un risque élevé pour leurs droits et libertés comme le vol de mots de passe ou de numéros de cartes bancaires.

La notion de co-responsabilité

Elle implique qu'en cas de sous-traitance, le sous-traitant soit considéré comme responsable au même titre que la société lui ayant confié sa sous-traitance.
Notamment, l'entreprise doit s'assurer que son sous-traitant ait bien intégré les directives du règlement.
Il faut bien entendu au préalable que les intervenants aient déterminé ensemble les finalités et les moyens du traitement.

Les pénalités

Le RGPD reprend la définition des données personnelles telles que définies par la directive de 1995, soit toutes les informations qui identifient une personne physique.
Le RGPD vise à contraindre les entreprises à prendre le traitement de leurs données "enfin" au sérieux.
Pour les manquements les plus graves, le montant des amendes pourra atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.


Les organisations ont 12 point cruciaux sur lesquels se préparer :

  1. Sensibiliser les décideurs et les personnes clés de votre organisation
  2. Faire l'état des lieux des données personnelles vous détenez, d'où elles proviennent et avec qui vous les partagez.
  3. Consulter les avis de confidentialité communiqués et planifier les modifications nécessaires.
  4. Lancer des audit pour s'assurer que tous les droits individuels concernant les données sont couverts.
  5. Mettre à jour les procédures de gestion des demandes d'accès aux données personnelles.
  6. Identifier la base légale du traitement des données et l'inclure dans votre déclaration de confidentialité.
  7. Passer en revue la façon dont dont le consentement est recherché, consigné et géré.
  8. Le cas échéant, mettre en place des procédures pour gérer le consentement des parents ou tuteurs pour les enfants.
  9. Évaluer les procédures à suivre en cas de violations de données.
  10. Suivre les études d'impact sur la protection des données.
  11. Désigner une personne pour assumer le rôle d'un responsable de la protection des données ou créer un poste spécifique.
  12. Si votre organisation exerce ses activités dans plus d'un État membre de l'UE, déterminez votre autorité de surveillance de la protection des données principales.
Lire aussi : Se préparer au RGPD en 5 étapes

RGPD et cas particuliers

Vous êtes une PME/TPE

La procédure est allégée pour les entreprises de moins de 250 salariés. Néanmoins, en tant que PME/TPE, vous êtes également dans l’obligation de vous conformer au règlement :
• Mise en conformité contractuelle et juridique
• La gestion du statut de "sous-traitant" s'il existe
• Mise en place de toutes les mesures techniques et organisationnelles visant la protection des données à caractère personnel (dont contraindre les fournisseurs, tels que les éditeurs de logiciels, à fournir des logiciels conformes)
• Nomination d'un DPO – Data Protection Officer (externalisé ou mutualisé)
• Mise en place d'une gouvernance adaptée (procédures claires, rôles définis)
• Gestion récurrente du plan de mise en conformité

Vous devez, dans un premier temps et si ce n’est pas déjà fait :
Établir un état des lieux : lister les données recueillies, le mode de recueil utilisé et la gestion qui est faite des données recueillies.
Établir un plan d’action : contrats de travail, de vente, revue des mentions légales, recueil d’opt-in sur les bases d’envoi de newsletter; nomination d’un DPO, vérification de la conformité des sous-traitants…
Lancer les opérations de mise en conformité et tenir un registre de leur mise en application.

Le RGPD aussi pour les TPE et les indépendants

Vous êtes un indépendant

Dans ce cas, le traitement des données concernera plus particulièrement un fichier de contacts clients/prospects ou un fichier d’envoi de newsletter.
Vous êtes seul responsable de vos données et vous devez vous assurer que celles-ci sont en lieu sécurisé. Un minimum d’informations est requise.

Si vous passez par une solution d’envois de newsletter – comme MailChimp ou MailJet – ces société sont considérées comme vos sous-traitants. Elles sont généralement en phase avec le RGPD. À vous de vous en assurer. Comme le RGPD introduit la notion de co-responsabilité entreprise/sous-traitants, il est possible qu’elles durcissent leurs prérequis.

Si vous gérez des envois de newsletters pour vos clients, c’est vous qui êtes considéré comme sous-traitant, et vous devez donc apporter à vos clients la preuve que vous êtes en phase avec le règlement.

Première action à mettre en place : vérifier le moyen par lequel vous avez recueilli les informations (nom, email, société…). Si le consentement du contact à recevoir vos informations n’est pas clair, vous devez recueillir un nouveau consentement par opt-in "positif" – c’est à dire non présupposé – en précisant clairement le but de votre recueil de données.
Ceux de vos contacts qui n’auront pas accordé/réitéré leur autorisation devront être retirés de votre liste de diffusion.

Ensuite, vous devriez étudier tous les facteurs de risque de piratage des données en votre possession et vous en prémunir au maximum de vos possibilités.


Pour aller plus loin :

Le RGPD, texte original
Znet : Dossier sur le RGPD

Vous pourriez également être intéressé·e par :

Le RGPD, contexte et réflexions (et comment savoir si vous êtes concerné·e par la fuite des données Facebook et comment contrôler les données que vous cédez aux applications)

Perspectives "Un Oeil Moderne" propose aux entreprises des services d’audit, d’accompagnement et de formation pour la réussite de leur communication digitale et de leur transition numérique. VOIR 


contact
Un avis, un commentaire ou une question sur cet article ?
N’hésitez pas à
nous écrire… À bientôt !


[RETOUR]



Ce site Internet ne stocke pas d'informations personnelles. Néanmoins il peut utiliser des cookies, principalement à des fins statistiques anonymes. Pour en savoir plus et les gérer, c’est ici :)