Le RGPD, Règlement Général pour la Protection des Données, a été adopté en avril 2016, et va entrer en application le 25 mai 2018. Il a pour objectifs principaux d’uniformiser le droit de la donnée personnelle dans toute l’Union Européenne et de renforcer les droits des personnes. En effet, aujourd’hui les données personnelles sont utilisées partout et par tous, la RGPD agira en France comme une mise à jour de la Loi Informatique et Libertés.

Ce règlement apporte toutefois de nouveaux concepts, comme la portabilité des données ou la protection des données dès la conception (« privacy by design »). Il supprime l’obligation de déclaration des traitements et la remplace notamment par l’obligation de constituer un registre des traitements. Il s’axe sur la responsabilisation des entreprises, qui ont des obligations plus fortes, et seront soumises à des sanctions également renforcées (avec des amendes jusqu’à 4% du Chiffre d’Affaires mondial ou 20 millions d’euros).

Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel. Elle a vocation d’une part, à renforcer la législation en matière de protection des données et, d’autre part, harmoniser la législation au sein de l’Union européenne. Il s’agit également, à l’heure où le numérique et la mobilité explosent, de protéger les individus contre la manipulation potentiellement malveillante de leurs données.

Si le RGPD est ressenti comme une contrainte par quelques entreprises, ce projet a pour but de créer des réflexes concernant la protection des données personnelles, et il est tout aussi pertinent de le prendre comme une incitation à se doter de moyens et de systèmes adéquats pour protéger les données à caractère personnel face aux menaces actuelles (lire l’article cambridge analytica). Des pénalités ont été mises en place par cette nouvelle réglementation, elles ont pour objet de responsabiliser les entreprises et de les inciter à prendre toutes les  mesures suffisantes pour assurer la sécurité de ces données. En fonction des articles du règlement en infraction, des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20.000.000 euros ou, dans le cas d’une entreprise, de 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

 

lire l’article cambridge analytica

 

 

Par ailleurs, l’accountability est un principe fondamental du règlement européen. et implique que les entreprises  doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.

Consultez vite les recommandations du G29 (en anglais pour la plupart) et les informations relayées par la CNIL, qui s’inspire en partie de ce dernier !

Quelles sont les nouveautés ?

Parmi les nouveautés mises en place dans cette législation, on compte notamment le droit à l’oubli, ainsi que le droit à la portabilité des données et à l’opposition de toute opération marketing. Vis-à-vis des mineurs de moins de 16 ans, les entreprises sont désormais tenues de libeller les informations concernant le traitement des données en termes intelligibles pour les moins de 16 ans. Le consentement d’un parent ou tuteur légal est désormais obligatoire.

Qu’est-ce que le GDPR implique ? Le GDPR instaure également la nomination obligatoire d’un délégué à la protection des données pour les entreprises du secteur public, pour les entreprises dont l’activité principale conduit à assurer un suivi systématique et à grande échelle des personnes (profilage), ou dont l’activité principale est attenante à des traitements à grande échelle de données sensibles (politiques, religieuses, ethniques, biométriques, sanitaires, judiciaires, etc.) ou relative à des condamnations pénales et certaines infractions.

Les entreprises doivent par ailleurs évaluer le degré de risque pour les droits et libertés des personnes physiques avant chaque lancement de produit et notifier à la Cnim dans les 72 heures qui suivent la découverte d’une violation de données à caractère personnel (incident de sécurité).

Elles doivent également notifier la violation de données à la personne concernée dans les meilleurs délais lorsque cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent.

Donnée personnelle, donnée sensible : c’est quoi ?

 

 

Une donnée est dite personnelle quand elle permet d’identifier, même indirectement, la personne à qui elle fait référence (par recoupement, combinaison d’informations). Il n’existe a pas de définition plus précise, d’où l’importance d’étudier les données traitées par votre entreprise pour identifier si elles rentrent dans ce cadre.

Notons la différence entre données pseudonymisées et données anonymisées.

  • La pseudonymisation est une mesure de sécurité efficace permettant de cacher l’identité de la personne sous-jacente, mais qui permet toujours d’identifier cette personne même si cela est difficile et/ou nécessite une opération technique complexe : on reste dans de la donnée personnelle.
  • A l’inverse, l’anonymisation ne permet pas de revenir en arrière et de retrouver a posteriori à qui la donnée fait référence : ces données ne sont plus considérées comme personnelles.

Certaines catégories de données personnelles sont considérées comme « données sensibles ». Il s’agit en particulier des opinions (religieuses, syndicales, politiques…), de l’orientation sexuelle, des données de santé et des données d’infractions, entre autres. Si les premiers exemples ne sont en principe jamais utilisés dans la vie courante d’une entreprise, elles peuvent traiter les données de santé et d’infraction (secteur médical, para médical, gestion des contraventions etc.). Ces données seront soumises à des régimes particuliers (finalité légitime, minimisation de la collecte, consentement recueilli dans la plupart des cas, autorisation de la CNIL etc.)

 

Le RGPD impacte-t-il mes campagnes d’emailing ?

 

Le règlement ne statue pas sur la prospection par voie électronique : sur ce sujet le règlement européen E-privacy sera bientôt adopté (probablement en 2018). Cependant, le RGPD met l’accent sur les conditions de recueil du consentement des personnes pour certains traitements, ce qui impacte indirectement certaines pratiques d’emailings : les entreprises devront par exemple désormais distinguer les opt-ins spécifiques à la prospection (afin de savoir si l’individu accepte de recevoir des emails commerciaux) de ceux liés au profilage (c’est-à-dire permettant que ces emails commerciaux soient ciblés en fonction des profils de clients).

Le renforcement des droits des individus ne facilitera pas toujours la vie des entreprises, notamment les services marketing pour lesquels l’enjeu est d’inciter les prospects à accepter ces propositions. Mais en présentant les choses de manière positive et transparente, il y a fort à parier que les habitudes seront rapidement prises, comme pour les cookies qui font désormais partie de notre quotidien.

 

Quid de l’étude d’impact sur la vie privée ?

 

 

L’étude d’impact sur la vie privée (ou « Data Privacy Impact Assessment ») est un travail exigé par le RGPD pour les traitements de données les plus à risque, comme le profilage, le traitement de données sensibles à grande échelle ou la vidéo protection à grande échelle par exemple. Le G29 a donné une liste de critères au-delà de ces exemples : le principe est que si vous en cochez 2 pour un type de traitement, vous devez faire cette étude (et il y a des exceptions).

Cette procédure assez lourde consiste en une analyse de risque initiale, la création d’un plan d’action pour pallier ces risques, une analyse de risques résiduels etc.. Elle exige de se mettre à la place des personnes concernées pour envisager tous les cas de figure qui pourraient leur causer préjudice.

 

 

Concrètement c’est quoi  ? et qui est concerné ?

 

Attention la RGPD ne concerne pas que les LICORNES, les GAFA et START UP  mais bel et bien toutes les entreprises, qui doivent faire « en quelque sorte, un inventaire » de toutes les informations dont elles disposent au sujet de leurs clients, de leurs salariés, de leurs prospects etc . Il faudra que toutes les entreprises soient particuliérement vigilante dans l’hypothêse ou elles auraient recours à l’infogérance.  Evidemment, toutes les entreprises ne seront pas conformes à 100% au texte au 25 mai 2018. On pourra vous reprocher de ne pas avoir commencé votre travail de mise en conformité avant cette date… Nous recommandons au moins d’avoir  réalisé , l’inventaire et le registre des traitements (une cartographie des traitements de données réalisées par votre entreprise), d’avoir établi sa feuille de route de mise en conformité et d’avoir avancé au maximum à cet égard !

Le registre des traitements, c’est une cartographie des traitements de données réalisés par votre entreprise. Ces traitements doivent être regroupés, non pas par application, mais par finalité (recrutement, paye, prospection, gestion des commandes etc.). Pour chaque finalité de traitement, étudiez le flux de vos données et identifiez en particulier :

  • Quelles personnes sont concernées par les données (clients, collaborateurs etc.) ?
  • Où sont stockées les données ?
  • Quels types de données sont traitées (nom, age, formation, panier d’achats…) ?
  • A quoi servent ces données ?
  • Qui a accès à ces données, en interne comme en externe ?
  • Comment les données sont-elles stockées, sécurisées ?

Jusqu’à présent, si une entreprise sous-traitait le traitement de ses données, elle restait la seule responsable en cas d’incident vis-à-vis de la CNIL. Avec le RGPD, les sous-traitants, notamment prestataires informatiques (éditeurs, hébergeurs, mainteneurs) seront responsables d’un certain nombre d’obligations, notamment en matière de sécurité informatique !.

 

 

Dois-je nommer un DPO ?

 

Le DPO occupe une place très importante, au cœur du data mapping de l’organisme

 

Le sujet de la nomination ou non d’un DPO (Data Privacy Officer) fait couler beaucoup d’encre, et il n’est strictement imposé par le RGPD que pour certaines entreprises opérant certains traitements à risque. Par exemple, un DPO devrait être nommé pour l’ensemble de la profession d’avocat. Le  Délégué à la Protection des Données est obligatoire pour les entreprises du secteur public, pour les entreprises dont l’activité principale conduit à assurer un suivi systématique et à grande échelle des personnes (profilage), ou dont l’activité principale est attenante à des traitements à grande échelle de données sensibles (politiques, religieuses, ethniques, biométriques, sanitaires, judiciaires, etc.) ou relative à des condamnations pénales et certaines infractions.

Contrairement au responsable de traitement, le DPO n’est pas légalement responsable de la mise en conformité de son entreprise. C’est un expert en interne, qui conseille ses collaborateurs et les directions opérationnelles de son entreprise pour la mise en conformité, et c’est également le contact de référence de la CNIL.

Ce doit être un expert en protection des données, plutôt un profil juridique avec une très bonne connaissance des systèmes d’information.

Quel sera le rôle de la CNIL ?

Le rôle de la CNIL sera a priori assez similaire à son rôle actuel si ce n’est qu’elle ne recevra plus les déclarations de traitement des entreprises. Elle se confortera probablement dans son rôle de « guide », communiquant sur les bonnes pratiques et produisant des normes pour les traitements les plus courants, utilisés par de nombreuses sociétés, comme la gestion des clients/ prospects ou des ressources humaines par exemple, même si ces normes ne serviront plus de référence pour l’exercice de déclarations simplifiées comme c’est le cas aujourd’hui.

Elle restera surtout une autorité de référence pour vérifier la mise en conformité au RGPD, grâce à des contrôles pouvant être assortis de mises en demeures et/ou sanctions. Cependant, la CNIL, comme les autres autorités européennes, est dans une démarche raisonnée : si vous savez justifier un écart avec les recommandations du fait des particularités de votre activité, elle pourra dans certains cas l’accepter si votre justification est légitime et que le traitement reste conforme aux exigences du texte.

 

Lire aussi :GDPR : que dit le nouveau règlement européen sur les données personnelles ?

Leave a Reply