Ce nouveau règlement européen – RGPD- sur la protection des données personnelles, vient d’apparaître au journal officiel de l’Union européenne et entrera en application le 25 mai prochain. La finalité… ? Permettre à l’Europe de s’adapter aux nouvelles réalités du numérique. LMC Partenaires fait le point !
I. Qu’est-ce que le RGPD ?
Le GDPR (General Data Protection Regulation) en français RGPD ( Réglement Général sur la Protection des Données) est un règlement non une directive qui sera applicable à compter du 25 mai 2018 et qui concerne tous les Etats membres.
L’application de ce règlement est obligatoire et toutes les entreprises qui enfreignent les nouvelles règles imposées après le 25 mai 2018 encourent des sanctions.
II. Les objectifs du RGPD
– Proposer un cadre juridique modernisé en matière de protection des données, adapté aux évolutions technologiques de ces dernières années,
– Améliorer la protection des libertés et droits fondamentaux des personnes physiques en donnant aux individus plus de pouvoirs sur les données personnelles qu’ils communiquent aux différentes organisations (entreprises, services publics, associations…) et facilite leurs exercices,
– Répondre à une demande de transparence exprimée par les citoyens européens,
– Responsabiliser les entreprises qui collectent et traitent des données personnelles, sur leurs prospects, utilisateurs ou clients, en les obligeant à développer des procédures ou mesures d’autocontrôle.
– Uniformiser et harmoniser au niveau européen la réglementation sur la protection des données à caractère personnel.
III. Le règlement s’applique à tous !
Tout le monde ou presque est concerné : entreprises privées, entreprises publiques, associations, fondations…
1) Votre entité met en œuvre un (ou plusieurs) traitement(s) de données à caractère personnel….
Le RGPD a vocation à s’appliquer aux traitements de données à caractère personnel, qu’ils soient automatisés ou non. Le traitement de données est défini comme toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel. Quelques opérations considérées comme des traitements : Collecte, enregistrement, conservation, consultation, utilisation, diffusion, mise à disposition, interconnexion etc…
Une donnée à caractère personnel est constituée par toute information qui se rapporte à une personne physique, qu’elle soit identifiée voire simplement identifiable (même indirectement, par exemple par un numéro identifiant ou un recoupement d’informations). Quelques exemples de données à caractère personnel : identité, coordonnées, numéros de téléphone ou d’identifiant, cookie, données de localisation, informations relatives à la vie professionnelle, habitudes de consommation, adresse IP etc..
Il y a fort à parier que votre entreprise met en œuvre des traitements de données à caractère personnel, ne serait-ce que pour gérer les membres de son personnel et les rémunérations ou encore dans le cadre de la tenue et de la mise à jour des fichiers de suivi des clients, fournisseurs et des contacts personnes physiques y sont rattachés. Quelques illustrations de traitements courants de données à caractère personnel : gestion du personnel et des rémunérations, trombinoscope et annuaire d’entreprise, gestion des fournisseurs, gestion de la comptabilité, gestion des clients et les opérations commerciales, de fidélisation et de prospection, gestion des outils informatiques, lutte contre la fraude (interne et externe, surveillance vidéos et alarme, contrôle d’accès) etc… Attention, les traitements manuels de données à caractère personnel sont également concernés.
2) Qu’elle soit responsable de traitement ou qu’elle agisse de sous-traitant…
Le RGPD prévoit des obligations à la charge des organismes responsables de traitement, définis comme toute personne physique ou morale, autorité publique, services ou autres organismes qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement. Le règlement est également applicable aux entités qui traitent les données en qualité de sous-traitant.
3) Les traitements ont un lien géographique avec l’Union Européenne
le RGPD s’applique aux traitements de données mises en œuvre dans le cadre de l’activité d’un établissement d’une entité située sur le territoire de l’Union Européenne, que le traitement ait lieu ou non dans l’Union Européenne. Il est supposé un exercice effectif et réel d’une activité au moyen d’un dispositif stable soit au sein d’un État membre, soit dans le lieu où le droit d’un État membre s’applique. Si le responsable du traitement de données n’est pas établi en Union européenne, le RGPD que tout de même s’appliquer en fonction du lieu où se trouvent les personnes concernées par le traitement.
IV. Les principes du RGPD
1. Les principes concernant les données
S’agissant des données qui ont vocation à être traitées, les principes applicables sont les suivants :
– Principe de transparence : les données doivent être traitées de manière loyale et transparente,
– Principe de limitation des finalités : elles ne doivent être collectées que pour des finalités explicites et légitimes,
– Principe de minimisation des données : les données traitées doivent être pertinentes, adéquates et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
– Principe d’exactitude : les données doivent être exactes et mises à jour régulièrement (rectification voire effacement).
– Principe de limitation de la conservation des données : elles ne doivent être conservées que pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées.
– Principe de sécurité, d’intégrité et de confidentialité : elles doivent être traitées de façon à garantir une sécurité appropriée.
Le responsable du traitement doit être en mesure de démontrer le respect de ces principes. C’est le principe d’accountability qui désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes propres à permettre la protection des données à caractère personnel et d’être prêt à démontrer qu’elles respectent le règlement. De manière concrète, les entreprises vont devoir être en mesure de prouver et de tracer ce qui a été fait.
2. Les principes concernant les traitements
Le traitement ne peut être mis en œuvre que s’il respecte les principes suivants :
- Le principe de licéité : la personne concernée a consenti aux traitements. Ce consentement doit être recueilli de manière éclairée.
- Le traitement est nécessaire à l’exécution d’un contrat ou de mesures précontractuelles,
- Le traitement est nécessaire au respect d’une obligation légale.
V. Respecter les droits des personnes concernées
1. Avant le traitement : informer les personnes concernées
Le RGPD prévoit que les personnes concernées doivent être informées du traitement de leurs données à caractère personnel et liste un ensemble d’informations devant leur être obligatoirement communiquées. Aussi afin de s’assurer qu’une information exhaustive et bien communiquée, une vérification doit être effectuée :
– Comment sont collectées les données ?
– Par quels moyens ?
– Auprès de qui ?
– Une information figure-t-elle dans les documents ?
– Est-elle communiquée à l’ensemble des personnes concernées ?
– Que contient cette information ?
– Etc..
Ces questions devront être posées pour tout nouveau projet impliquant une collecte de données. Il peut donc être opportun d’anticiper et de mener les actions suivantes :
• Formaliser un process imposant pour tout nouveau projet de vérifier l’existence et le contenu de l’information des personnes concernées,
• Rédiger une bibliothèque de mentions d’information type,
• Identifier les supports permettant de communiquer l’information personnes concernées, précisions ici faite qu’à titre d’exemple les mentions obligatoires peuvent notamment figurer :
– Dans les documents contractuels (contrats avec les fournisseurs, contrat de travail, etc..),
– Dans un livret de présentation de l’entité ou un livret d’accueil,
– dans un courrier (papier ou électronique) dédié,
– au sein de la politique de protection des données d’un site Web,
– etc..
2. Une fois le traitement réalisé : répondre aux demandes des personnes concernées :
Les personnes dont les données à caractère personnel pour l’objet d’un traitement, dispose du droit de demander au responsable du traitement d’effectuer certaines actions à leur profit et notamment :
– le droit d’accès à ses données par la personne concernée,
– le droit d’obtenir la rectification des informations inexactes et que les données incomplètes à complétées,
– le droit d’obtenir l’effacement de ses données,
– le droit à la limitation du traitement des données,
– le droit à la portabilité,
– le droit d’opposition au traitement des données,
Le responsable du traitement des données d’entreprise ou dans l’entité doit bien entendu par principe accéder à la demande et procéder aux opérations nécessaires en résultant (ex : arrêt du traitement, effacement, rectification..). En cas de demande, une réponse doit être apportée. Par exemple : répondre dans les meilleurs délais et en tout état de cause dans le délai d’un mois à compter de la réception de la demande, par écrit ou autres moyens appropriés, notamment par voie électronique. Aucun paiement ne peut être exigé, sauf si des demandes sont manifestement infondées ou excessives. Il pourrait être possible de refuser de répondre ou d’exiger le paiement des frais administratifs supportés en conséquence dans le cas de demande abusive.
Le RGPD ne s’applique pas aux données à caractère personnel des personnes décédées.
VI. Comprendre l’accountability
1. Organisation Générale
L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que le traitement des données à caractère personnel est effectué conformément au règlement et être en mesure de le démontrer. Le respect de ce principe doit se traduire par le déploiement de mesures concrètes.
Il est indispensable de prévoir une organisation « informatique et libertés » au sein de l’entreprise, de documentations adaptées et de politique de traitement des données écrites et contraignantes.
Le RGPD renvoie à la possibilité de faire application de « code de conduite » ou de mécanismes de « certifications ». Dans cette optique, la désignation d’un délégué à la protection des données (DPO) outre le fait qu’elle devient avec le règlement, obligatoire dans un certain d’hypothèse, a aussi vocation à venir renforcer la gouvernance informatique et liberté au sein des entreprises et offrir un gage complémentaire de confiance concernant la protection des données. Mon entreprise doit-elle désigner un DPO ?
La désignation d’un DPO n’est pas systématiquement obligatoire. Elle ne le sera que dans les cas suivants pour les responsables de traitement ou les sous-traitants que :
-S’ils appartiennent au secteur public,
– Si leur activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
– Si leur activité principale les amène à traiter à grande échelle des données « particulières » ou relatives à des condamnations pénales ou à des infractions.
Dans les autres cas, la désignation d’un DPO demeure facultative. Qui peut être désigné en qualité de DPO ? Soit une personne ayant un profil juridique disposant de solides connaissances techniques en droit des nouvelles technologies et de protection des données ou inversement un profil technique pouvant justifier d’une formation juridique en matière de protection des données. Le DPO doit avoir une bonne connaissance de l’entreprise et de son secteur d’activité. Il doit être associé à toutes les questions relatives à la protection des données à caractère personnel. La fonction de DPO doit être régie par les principes suivants :
- L’indépendance
- L’absence de conflit d’intérêts,
- La confidentialité
Quelle est la mission du DPO ?
– Il informe et conseille les membres de l’entité ayant procédé à sa désignation s’agissant des obligations leur incombant en matière de protection des données,
– il contrôle le respect du RGPD,
– Il est impliqué dans le processus d’analyse d’impact et en vérifier l’exécution.
Un DPO externe à l’entreprise ou à l’entité peut être désigné.
2. Privacy by design et Privacy by default
Le Privacy by design consiste en la nécessité de prendre les mesures appropriées pour concrètement tenir compte de la protection des données dans les projets depuis leur origine, et de s’assurer de la conformité des produits et services proposés aux dispositions « informatiques et libertés » tout au long de leur cycle de vie.
Il est recommandé de formaliser un cahier des charges. Le Privacy by default consiste à prendre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données qui sont nécessaires au regard de la finalité spécifique du traitement sont collectées et utilisées.
3. Le registre des activités
Les traitements mis en œuvre doit être répertoriés dans un registre des activités de traitement qui doit être mis à jour régulièrement. Il doit être tenu sous forme écrite y compris sous forme électronique. Il doit également être mis à disposition de l’autorité de contrôle en cas de demande de cette dernière.
Le règlement prévoit que la tenue du registre n’est pas obligatoire pour les entités comptant moins de 250 salariés. Mais cette exception est réduite à une peau de chagrin, dans la mesure où elle ne s’applique pas si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s’ils portent notamment sur des données dites « particulières» ou relatives à « des infractions ou condamnations pénales ». Afin d’élaborer un tel registre, il est recommandé d’effectuer une démarche de mise en conformité prévoyant les actions suivantes :
– cartographie et audit des traitements mis en œuvre au sein de l’entité,
– réalisation d’une trame de registre,
– définition d’une méthodologie interne pour la tenue du registre,
– détermination de la personne en charge de la tenue du registre,
– insertion de chaque traitement identifié dans le registre,
– mise à jour régulière du registre.
4. Analyse d’impact
Lorsque le traitement est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes, alors une analyse d’impact des opérations de traitement sur la protection des données à caractère personnel doit être effectuée afin de déterminer les mesures appropriées à prendre.
VII. Déployer les mesures de sécurité et de confidentialité adéquates
La sécurité est une composante majeure du RGPD.
1. L’obligation générale de sécurité
Le règlement prévoit que le responsable du traitement des données et les sous-traitants doivent garantir un niveau de sécurité adapté. Le respect de cette obligation doit se traduire par la mise en place des actions suivantes :
– Une méthode d’évaluation des risques d’atteinte aux données ainsi que de l’impact sur les droits et les libertés des personnes concernées. Concrètement : lors de l’évaluation du niveau de sécurité il doit être tenu compte des risques pouvant notamment résulter de la destruction, de la perte, de l’altération de la divulgation de données à caractère personnel ou encore de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
– Une politique de sécurité des données adaptée au niveau de risque identifié, notamment en termes de confidentialité, d’intégrité des systèmes d’information et de traitement doit être mise en œuvre. Par exemple, les mesures suivantes peuvent être prévues : une méthode d’identification des utilisateurs, une sensibilisation et formation des utilisateurs, une traçabilité des accès et actions sur les données, une sécurisation des postes de travail et de l’informatique mobile et nomade, une gestion des incidents, une sécurisation des locaux, du réseau interne, des serveurs, une sécurisation des échanges avec les tiers, chiffrement, anonyme minimisation des données, archivage et sauvegarde sécurisée, mais également des canaux à papiers, une mise à jour des logiciels et des antivirus…
Une procédure visant à tester et évaluer régulièrement l’efficacité des mesures techniques prises pour la sécurité des traitements doit également être déployée.
2.La gestion des failles de sécurité
Le RGPD impose que les violations des données à caractère personnel, à savoir les failles de sécurité en matière de données, fasse l’objet d’une gestion particulière. Pour y satisfaire, il est recommandé de mettre en place les mesures suivantes :
a) Formaliser une procédure de gestion des failles de sécurité en définissant les grandes étapes à savoir : identifications et corrections techniques de la faille, constitution d’un dossier de preuves techniques et juridiques, dépôt de plainte, déclaration de sinistre auprès l’assurance, notification à l’autorité de contrôle et communication à la personne concernée le cas échéant, communication publique de type communiqué de presse éventuellement.
b) Rédiger des modèles types : notification à l’autorité de contrôle, communications à la personne concernée, communiqué de presse etc…
c) Elaborer un registre documenté des failles de sécurité
d) Nécessité de déclarer certaines failles de sécurité (piratage, intrusion etc..) aux autorités compétentes (ex en France à l’ANSSI : Agence Nationale pour la Sécurité des Systèmes d’Information).
VIII. Anticiper les poursuites et les sanctions
1. les pouvoirs de l’autorité de contrôle
L’autorité de contrôle a pour mission de contrôler l’application du règlement et de veiller au respect de celui-ci. Elle peut donc effectuer des enquêtes de sa propre initiative ou suite à une réclamation d’une personne concernée. Dans le cadre de son pouvoir d’enquête, l’autorité de contrôle peut notamment :
– Ordonner la communication de toutes informations dont elle a besoin,
– Procéder à des audits de protection des données,
– Notifier une violation du règlement,
– Obtenir l’accès à toutes les données à caractère personnel,
– Obtenir l’accès à tous les locaux, à toute installation et à tout moyen de traitement.
Par ailleurs, toute personne concernée a le droit d’introduire une réclamation auprès de l’autorité de contrôle, si elle considère qu’un traitement de données à caractère personnel la concernant constitue une violation du règlement. Une telle réclamation peut être introduite contre le responsable du traitement ou contre un sous-traitant. Elle est gratuite. Suite à une réclamation, l’autorité de contrôle peut adopter des mesures correctrices telles que :
– L’avertissement,
– Le rappel à l’ordre,
– La mise en conformité,
– Le respect du droit des personnes : ordonner par exemple la rectification ou l’effacement des données…
– Imposer une limitation temporaire ou définitive du traitement,
– Retirer une certification,
– Ordonner la suspension des flux de données adressés à un destinataire,
En outre, des amendes administratives peuvent être prononcées par l’autorité de contrôle, amendes qui peuvent être prononcées, en complément ou, à la place des mesures correctrices.
En pratique, le RGPD distingue les violations en deux catégories :
• Les violations pouvant faire l’objet d’amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaire annuel mondial total de l’exercice précédent.
Par exemple : absence de tenue du registre des activités de traitement lorsqu’il est obligatoire, absence de notification à l’autorité de contrôle ou à la personne concernée d’une violation de données à caractère personnel, absence de désignation d’un DPO lorsqu’il est obligatoire.
• Les violations pouvant faire l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaire annuel mondial total de l’exercice précédent.
Par exemple : non-respect des droits des personnes concernées, non-respect d’une injonction prononcée par l’autorité de contrôle, non-respect des conditions de licéité du traitement…
L’autorité de contrôle a aussi la faculté de saisir les autorités judiciaires, voire d’agir en justice pour faire appliquer le RGPD.
Il sera donc indispensable de mettre en œuvre les actions nécessaires pour se mettre en conformité avec le règlement, puis coopérer en collaborant avec l’autorité de contrôle le cas échéant, et réagir, en déployant en cas de contrôle, un plan d’action immédiat en vue de remédier aux éventuelles nonconformités.
2. Le recours juridictionnel
Les personnes concernées ont le droit à un recours juridictionnel effectif si elle considère que les droits que leur confère le règlement ont été violés. Une telle action peut être intentée dans à l’égard du responsable du traitement que du sous-traitant, en vue d’obtenir la cessation du dommage, ou de l’atteinte subi et de la réparation du préjudice moral ou matériel subi. Les Etats membres ont toute latitude pour déterminer le régime d’autres sanctions qui pourraient être applicables en cas de violation du règlement.
IX. Conclusions
Avant toute démarche de mise en conformité, il est vivement recommandé pour l’entreprise ou l’entité de faire un état des lieux sur ses pratiques actuelles en matière de collecte, de traitement et de sécurisation des données à caractère personnel, d’identifier les zones à risques et de définir les chantiers prioritaires de mise en conformité. Il est conseillé de cadrer le projet GDPR, définir son champ d’application, identifier les responsables des traitements au sein de l’entreprise, identifier les prestataires éventuels, établir une feuille de route du projet.
Ensuite il y a lieu de qualifier les pratiques actuelles en matière de traitement des données personnelles. Un diagnostic mérite d’être opéré pour mesurer les écarts entre les pratiques actuelles et le règlement. Une partie importante du diagnostic portera sur l’analyse des modes de recueil des consentements. C’est l’un des points les plus sensibles du GDPR sur lesquels les entités devront se montrer vigilantes.
Les règles étant différentes suivant que la collecte porte sur des contacts B2B ou B2C. Les deux cas devront être traités séparément. Les CGV, CGU et Mentions légales devront faire l’objet d’une attention méticuleuse : pour beaucoup d’entreprises, ces supports devront être amendés dans l’optique de la mise en conformité avec le GDPR. Rédigés dans un langage clair et compréhensible, ils devront informer sur la politique et la confidentialité de l’entreprise et les droits des personnes.
Le diagnostic aboutira à l’identification des risques, permettant ainsi de construire un plan d’action dans lequel pourront être listé et programmé les différentes actions et chantiers à entreprendre. L’approche par les risques est une des clés de réussite du projet GDPR.