Le RGPD en trois questions

 

La protection des données personnelles est un enjeu apparu dès les années 70 en France, avec le projet d’interconnexion des administrations pour faciliter le traitement des dossiers des administrés.

Depuis, la situation a beaucoup évolué. Le passage à l’ère du numérique a propulsé les données personnelles au centre du système économique. Ces dernières ont à présent une valeur marchande, accrue par un développement exponentiel de la vitesse de circulation, des capacités d’analyse et de stockage de ces dernières, indépendamment de toute frontière étatique.

S’il permet de grandes avancées technologiques et sociétales, ce nouvel équilibre économique fait également peser des risques inédits sur les agents (distorsion de concurrence, risques sur la vie privée ou les libertés individuelles et collectives…).

Un cadre législatif est alors progressivement apparu, à l’échelle nationale, mais aussi européenne pour garantir l’instauration d’un climat de confiance, indispensable à la pérennisation des échanges.

C’est dans ce contexte qu’intervient le RGPD .

 

 

Qu’est ce que le RGPD ?

S’inscrivant dans la continuité de l’existant, le RGPD instaure huit règles d’or centrées sur les individus, encadrant le traitement de leurs données à caractère personnel, tout en posant le principe de responsabilisation des agents.

Désormais, il revient à chaque agent de prendre toutes les mesures nécessaires au respect de ces règles pour chacun des traitements réalisés.

Notions clés

Avant d’aller plus loin, précisons ce qu’est un traitement de données à caractère personnel :

  • Présente un caractère personnel toute donnée permettant, de manière directe, indirecte ou par combinaison d’identifier un individu. Pour la suite de cet article, nous les qualifierons de données personnelles.
  • La notion de traitement, est quant à elle définie à l’article 4 du règlement :

On comprend aisément que cette notion est entendue au sens (très) large, incluant aussi bien la collecte, la consultation, que le recoupement, l’analyse etc. des données personnelles.

A ce stade, rappelons que le RGPD n’interdit pas le traitement des données à caractère personnel. Il se contente de le conditionner au respect des huit règles d’or.

 

 Les huit règles d’or

Licéité de traitement :

La licéité de traitement correspond à la base légale du traitement. Le RGPD établit six catégories de traitements autorisés :

  • Le traitement consenti par l’utilisateur concerné, à la condition que son consentement soit libre, éclairé, univoque et spécifique ;
  • Le traitement indispensable à l’exécution d’un contrat auquel l’utilisateur concerné est partie, ou de mesures pré-contractuelles intervenant à la demande de celui-ci ;
  • Le traitement nécessaire au respect d’une obligation légale incombant au responsable de traitement ;
  • Le traitement requis pour préserver les intérêts vitaux de l’utilisateur concerné ou de toute autre personne physique ;
  • Le traitement opéré dans le cadre de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont le responsable de traitement a la charge ; 
  • Le traitement nécessaire aux fins d’intérêts légitimes du responsable de traitement (recours en justice etc.).

Tout traitement doit être rattaché à au moins un des éléments de cette liste. A défaut, il n’est pas autorisé par le RGPD.

Finalité de traitement :

Il s’agit ici de l’objectif du traitement. Ce dernier doit être légitime, explicite et établi en amont de chaque traitement. La finalité de traitement est importante car elle délimite le choix, la durée et les modalités d’exploitation des données personnelles traitées.

 Minimisation des données :

Seules les données indispensables pour atteindre la finalité peuvent faire l’objet d’un traitement. Ce principe vaut tout au long de la conservation des données. Un audit doit donc être fait de manière régulière pour s’assurer du respect de cette règle.

 Protection des données sensibles :

Pour les données présentant un risque particulier pour les utilisateurs, la logique est inversée. Le principe n’est plus l’autorisation conditionnée, mais l’interdiction, hors cas particuliers.

Le RGPD qualifie de « sensibles » les données sur l’état de santé des personnes, l’appartenance philosophique, politique, syndicale ou religieuse, l’orientation sexuelle, les origines raciales et ethniques, ainsi que les données génétiques et biométriques.

En France sont également considérées comme sensibles le numéro de sécurité sociale des individus ainsi que les informations relatives aux condamnations pénales et au casier judiciaire.

Durée de vie limitée des données :

Cette règle s’inscrit dans le prolongement direct du principe de minimisation.

Une fois la finalité atteinte, le RGPD prévoit que les données doivent être détruites, anonymisées ou, dans certains cas, archivées. Quoi qu’il en soit, une fois la finalité atteinte, les données ne peuvent demeurer dans la base active mais dans une base distincte le cas échéant.

Sécurité des données personnelles :

Cette règle prévoit qu’à tout moment, le responsable de traitement doit assurer la confidentialité, l’intégrité et la disponibilité des données traitées.

Toute faille au niveau de la sécurité doit être répertoriée et signalée à la CNIL voire aux personnes concernées si la faille présente un risque important pour leur vie privée et/ou leurs droits et libertés.

Transparence de traitement :

Le RGPD renforce les obligations pesant sur les responsables de traitement pour permettre aux utilisateurs concernés de connaître l’utilisation qui est faite de leurs données et des droits qui en découlent.

L’information doit leur être présentée de manière complète, claire, concise et accessible.

Respect des droits des utilisateurs dont les données sont traitées :

Le RGPD renforce les droits des utilisateurs (droit d’accès, de rectification, d’opposition au traitement et d’effacement de ses données personnelles) et en crée de nouveaux (droit à la portabilité des données personnelles, à la limitation de traitement et à l’opposition aux décisions individuelles automatisées).

Le responsable de traitement doit être en mesure de répondre aux demandes des utilisateurs désireux de faire valoir leurs droits dans un délai raisonnable (deux mois en général).

Le RGPD pose également d’autres principes, notamment en matière de transfert de données en dehors de l’Union européenne. Toutefois, nous ne traiterons pas ces axes dans cet article.

 

 

Pourquoi s’intéresser au RGPD ?

 

Dès lors qu’une entité agissant à des fins professionnelles est située dans l’Union européenne, ou traite des données personnelles d’utilisateurs situés dans l’Union européenne, alors, elle est soumise au RGPD.

Au-delà de cela, voici trois raisons en particulier de se sentir concerné par le RGPD.

 

Première raison : sécuriser son activité

Afin de garantir une effectivité de la protection des utilisateurs et de leurs données personnelles, le RGPD a renforcé le pouvoir de sanction des autorités nationales.

Ainsi, en France, la CNIL peut désormais procéder aux sanctions suivantes en cas de manquement aux obligations prévues par le règlement (rappel à l’ordre, injonction de mettre le traitement en conformité, limitation temporaire ou définitive de traitement, suspension de flux de données en dehors de l’UE, ordre de donner suite aux demandes d’exercice de droit des personnes, retrait d’une certification ou amendes administratives).

  • Le montant des amendes administratives a été augmenté. Selon la gravité du manquement, le contrevenant s’expose à une amende de 2% de son chiffre d’affaire mondial ou 10 millions d’euros d’amende (le seuil le plus haut étant retenu) OU 4% de son chiffre d’affaire mondial ou 20 millions d’euros d’amende (le seuil le plus haut étant retenu). Une telle sanction peut donc avoir des conséquences financières significatives.

En outre, dans le cas où le manquement cause un préjudice aux utilisateurs, viennent s’ajouter à ces amendes administratives des amendes pénales, renforçant, par conséquent, le risque financier.

  • En parallèle, le RGPD facilite les recours en justice pour les utilisateurs en cas de traitements abusifs de leurs données personnelles. Cela se traduit par une ouverture de ce type de recours aux actions de groupe, mais aussi, par la mise en place du principe de réparation effective.
  • Enfin, La CNIL a accordé un délai de tolérance de 24 mois suivant l’entrée en application du RGPD, le 25 mai 2018 pour permettre aux agents de se mettre en conformité. Durant cette période, les manquements valaient généralement un avertissement aux contrevenants, plutôt qu’une sanction directe. Ce délai arrive toutefois à son terme. On ne connait pas la position de la CNIL à partir de mai 2020, mais on peut imaginer une tendance au durcissement.

La sécurisation financière de l’activité apparaît comme une première bonne raison de veiller à une adéquation des traitements de données avec les dispositions du RGPD. Toutefois, ce n’est pas la seule.

 

Deuxième raison : pérenniser ses relations professionnelles

Comme évoqué précédemment, le RGPD pose notamment le principe de recours effectif, en faveur des utilisateurs dont les données sont collectées. Cela signifie qu’en cas de partenariat entre responsables de traitements, tous deux sont co-responsables à hauteur de l’intégralité de tout préjudice que pourrait subir un utilisateur dont les données seraient traitées dans le cadre du partenariat.

Concrètement, cela implique qu’en cas de préjudice, l’utilisateur victime peut indifféremment se retourner contre l’un ou l’autre des partenaires, pour obtenir réparation de l’intégralité du préjudice subi.

Bien que ce principe n’exclut pas la possibilité d’une action récursoire entre les partenaires dans un second temps, il inscrit la responsabilité du traitement des données dans la relation contractuelle les liant.

Ainsi chaque partenaire a intérêt à s’assurer du soin porté par lui-même et par l’autre au traitement des données personnelles.

Cette considération concerne également les contrats de sous-traitance, où le sous-traitant doit apporter la preuve de sa conformité et de celle de tous ses éventuels sous-traitants, au moment de mettre en place la relation contractuelle.

Ainsi, outre le risque financier, un non-respect des dispositions du RGPD pourrait entraîner une dégradation des relations professionnelles.

Enfin, la troisième raison de veiller à la conformité des traitements avec le règlement, mais non des moindres, est la préservation de votre image auprès de vos clients.

 

 

 Troisième raison : préserver son image auprès de ses clients

Aujourd’hui, les utilisateurs sont de plus en plus nombreux à être sensibilisés aux enjeux liés aux traitements de leurs données personnelles. Ainsi, ils auront tendance à privilégier un acteur garantissant la sécurité de leurs données.

Dans ce contexte, on peut facilement imaginer l’impact sur l’image de marque d’un acteur suite à une condamnation pour manquement à ses obligations en terme de confidentialité, ou d’utilisation des données de ses utilisateurs. Outre le risque de condamnation administrative et pénale, cela pourrait constituer un réel manque à gagner en matière de notoriété.

A l’inverse, le soin particulier porté aux données des utilisateurs peut être présenté comme un atout marketing, gage de qualité s’ajoutant au produit en lui-même et à la renommée de l’acteur.

Ainsi, la conformité aux dispositions du RGPD présente-elle un intérêt triple. Ce constant raisonne d’autant plus dans la dynamique de forte innovation digitale et technologique actuelle, où fort est à parier que la législation en matière de protection des données personnelles va tendre à être renforcée au cours des années à venir.

 

 Se pose alors la question des mesures concrètes à adopter pour respecter les obligations instaurées par le RGPD.

 

 

Comment se mettre en conformité avec le RGPD ?

 

Comme exposé précédemment, le RGPD rend les agents acteurs de leur conformité. Il leur revient dès lors de prendre toutes les mesures adéquates pour garantir un traitement respectant les huit règles d’or, tout en étant à même de justifier de ces mesures.

 

 Adopter des mesures conformes au RGPD pour chaque traitement

Respecter les huit règles d’or

La première étape pour s’assurer de sa conformité consiste à faire une cartographie de tous les traitements opérés, et un audit de chacun d’eux (qui a accès aux données ?; où sont-elles stockées ?; comment ?; pour combien de temps ?, …).

Une fois ce travail effectué, chaque traitement doit être analysé au regard des huit règles d’or :

  • Le traitement est-il autorisé ?
  • Quel est l‘objectif de ce traitement ?
  • Ai-je besoin de toutes les données collectées pour atteindre cet objectif ?
  • Les données collectées sont-elles sensibles ? Si oui, est-ce vraiment indispensable et sont-elles suffisamment protégées ?
  • Les mesures pour garantir la sécurité des données sont-elles suffisantes ?
  • Quel est le cycle de vie des données collectées ?
  • Suis-je suffisamment transparent vis-à-vis des utilisateurs quant aux traitements de leurs données ?
  • Suis-je en mesure de répondre aux demandes d’exercice de leurs droits des utilisateurs ?

Les mesures nécessaires doivent alors être mises en place par le responsable de traitement. La CNIL a mis à disposition plusieurs outils pour accompagner dans ces étapes.

 Une conformité par défaut et dès la conception

Dans la prolongation des huit règles d‘or, le RGPD pose deux principes supplémentaires :

  • le « privacy by design » : qui signifie que pour tout nouveau traitement, la question de la protection des données utilisées doit être prise en compte dès la conception de tout produit.

Ce principe est d’autant plus important pour la création d’applications digitales, souvent très gourmandes en données personnelles.

  • Le « privacy by default » : qui signifie que le paramétrage par défaut de tout nouveau produit et/ou service est initialement réalisé de manière à limiter tout traitement de données au stricte minimum requis pour atteindre la finalité. Le paramétrage peut bien entendu être modifié par la suite, à la discrétion de l’utilisateur qui souhaiteraient par exemple bénéficier de services complémentaires (exemple d’un service de livraison nécessitant l’ajout de la géolocalisation suite à l’achat d’un produit sur un site de e-commerce)

Outre l’identification et la mise en place de mesures nécessaires au respect des dispositions du règlement, il revient également à chaque agent d’être en mesure de justifier de sa conformité en la documentant.

 

 

 Justifier de sa conformité

Trois outils doivent obligatoirement être utilisés par l’ensemble des agents pour justifier de leur conformité :

  • Un registre :

Hormis l’exigence d’une trace écrite, le format de ce document est assez libre. Il doit contenir la liste exhaustive et le détail de chacun des traitements de données personnelles opérés par l’agent. Ce registre doit être actualisé régulièrement, de manière à être à jour en cas de contrôle.

 

  • Les analyses d’impact relatives à la protection des données (AIPD) :

Ces analyses ne concernent que les traitements de données présentant un risque plus important pour les utilisateurs concernés. Ces traitements sont pour partie listés dans le RGPD, ou identifiés par des lignes directrices, et/ou la CNIL et ses homologues européens.

Plus généralement, on peut retenir que sont ici concernés les traitements présentant un risque élevé sur les droits et libertés des utilisateurs.

Ces analyses consistent en une étude approfondie des risques encourus, de leur probabilité, de leurs conséquences et des mesures à prendre pour les limiter.

La CNIL met également à disposition un outil facultatif pour guider les agents dans la réalisation de ce type d’étude. Dans tous les cas, si elles sont réalisées, leur contenu doit pourvoir être fourni à la CNIL en cas de contrôle.

 

  • Le registre des violations :

Le RGPD prévoit des dispositions à prendre en cas de violation des données personnelles (que l’intrusion soit interne ou externe). Toute violation doit être répertoriée, en précisant la source de la violation, et les éventuelles mesures correctives prises.

Si la violation présente un risque plus conséquent pour les utilisateurs, elle doit être signalée dans les 72 heures suivant sa découverte par l’agent à la CNIL, accompagnée d’un plan d’action pour solutionner la faille.

Notons également que si le risque est important et pèse sur les droits et libertés individuelles des individus concernés, ces derniers doivent également être informés.

 

En plus de ces trois outils, d’autres existent, facultatifs, que nous ne traiterons pas dans cet article (codes de conduite, certifications, etc …).

Pour remplir ces obligations en matière de conformité, les agents peuvent se faire accompagner par un délégué à la protection des données (DPO).

 

 Se faire accompagner par un DPO

 

Le rôle du DPO est triple :

  • Informer et conseiller le responsable de traitement
  • Contrôler la conformité des traitements opérés
  • Être le point de contact avec les autorités, les employés, les partenaires et les usagers pour tous les échanges relevant de la protection des données personnelles

Dans tous les cas, le recours à un DPO ne le rend pas responsable en cas de manquement au RGPD. Seul le responsable de traitement l’est.

Faire appel à un DPO est une obligation dans les cas suivants :

Dans les autres cas, le recours à un DPO est fortement conseillé, qu’il s’agisse d’une personne en interne ou en externe, même à temps partiel. La seule condition est que la personne nommée remplissent les quatre conditions suivantes :

  • Capacité professionnelle 

    Des certifications existent mais ne constituent pas une condition sine qua none à la nomination du DPO; Ce dernier doit néanmoins avoir les connaissances juridiques et techniques suffisantes pour mener à bien sa mission.

  • Absence de conflit d’intérêt

    Le DPO ne peut être juge et partie pour mener un audit de conformité convenable. Sont donc peu compatibles avec les missions de DPO les fonctions de direction (direction des ressources humaines, direction des opérations, direction technique, …).

  • Moyens suffisants

    Il  s’agit ici des moyens financiers, opérationnels, logistiques, et du temps pour mener la mission et se former, dont doit disposer le DPO pour remplir pleinement sa mission.

  • Indépendance pour accomplir ses missions

    Le DPO doit être à l’abri de toute pression hiérarchique, ou risque de sanction pour délivrer ses recommandations. Il est recommandé qu’il ne rende de compte qu’au responsable de traitement de manière directe.

 

Qu’il y ait ou non recours à un DPO pour veiller à la conformité des pratiques avec le RGPD, la CNIL propose sur son site de nombreux contenus pratiques pour accompagner l’ensemble des acteurs.

 

 

Retrouvez ci-dessous notre webinar en replay.

Vous avez des questions autour du RGPD et la gestion des données, parlons-en.

DÉCOUVRIR NOS EXPERTISES

Stratégie Digitale

Stratégie Digitale

Gestion de Projet Agile

Gestion de Projet Agile

Expérience Utilisateur

Expérience Utilisateur

Acquisition & Engagement

Acquisition & Engagement

Transformation Digitale

Transformation Digitale

Passage à l'Agile

Passage à l'Agile

OU DÉCOUVRIR D’AUTRES ARTICLES

Notre QG

26 rue Vauquelin

75015 Paris

01.40.53.71.10

contact@kanbios.fr

Embarquez avec nous

Notre QG

26 rue Vauquelin

75015 Paris

01.40.53.71.10

contact@kanbios.fr

Embarquez avec nous