L'équipe Kanbios | 28 mai 2020

Resume RGPD en 3 questions

Cartographie des compétencessatisfaction client

Cet article résume en 3 questions limpides le « Règlement Général sur la Protection des Données ». Pour présenter un resume RGPD exhaustif, dans un premier temps, nous poserons une définition de ce qu’est le RGPD, nous verrons ainsi les huit règles d’or qui régissant le règlement. Dans un deuxième temps, nous étudierons pour quelles raisons s’y intéresser. Enfin, nous traiterons le sujet : comment se mettre en conformité avec le RGPD ?

La protection des données personnelles est un enjeu apparu dès les années 70 en France, avec le projet d’interconnexion des administrations pour faciliter le traitement des dossiers des administrés. Depuis, la situation a beaucoup évolué. Le passage à l’ère du numérique a propulsé les données personnelles au centre du système économique. Ces dernières ont à présent une valeur marchande, accrue par un développement exponentiel de la vitesse de circulation, des capacités d’analyse et de stockage de ces dernières, indépendamment de toute frontière étatique.

S’il permet de grandes avancées technologiques et sociétales, ce nouvel équilibre économique fait également peser des risques inédits sur les agents (distorsion de concurrence, risques sur la vie privée ou les libertés individuelles et collectives…). Un cadre législatif est alors progressivement apparu, à l’échelle nationale, mais aussi européenne pour garantir l’instauration d’un climat de confiance, indispensable à la pérennisation des échanges.

C’est dans ce contexte qu’intervient le RGPD et qu’en découle notre souhait de vous présenter un resume RGPD.

Que signifie le RGPD ?

Le RGPD signifie le « Règlement Général sur la Protection des Données », voté en 2016 applicable depuis le 25 mai 2018. Il est destiné aux entités dans l’UE ou traitant des données d’utilisateurs situés dans l’UE. Il a été conçu pour harmoniser et encadrer à l’échelle européenne le traitement des données à caractère personnel. S’inscrivant dans la continuité de l’existant, le RGPD instaure huit règles d’or centrées sur les individus, encadrant le traitement de leurs données à caractère personnel, tout en posant le principe de responsabilisation des agents. Désormais, il revient à chaque agent de prendre toutes les mesures nécessaires au respect de ces règles pour chacun des traitements réalisés.

Avant d’aller plus loin dans ce resume RGPD, précisons ce qu’est un traitement de données à caractère personnel.

Qu’est ce qu’un traitement de données à caractère personnel ?

  • Présente un caractère personnel toute donnée permettant, de manière directe, indirecte ou par combinaison d’identifier un individu. Pour la suite de cet article, nous les qualifierons de données personnelles.
  • La notion de traitement, est quant à elle définie à l’article 4 du règlement :

On comprend aisément que cette notion est entendue au sens (très) large, incluant aussi bien la collecte, la consultation, que le recoupement, l’analyse des données personnelles. À ce stade, rappelons que le RGPD n’interdit pas le traitement des données à caractère personnel. Il se contente de le conditionner au respect des huit règles d’or.

Quelles sont les huit règles d’or du RGPD ?

1. Licéité de traitement

La licéité de traitement correspond à la base légale du traitement. Le RGPD établit six catégories de traitements autorisés :

  • Le traitement consenti par l’utilisateur concerné, à la condition que son consentement soit libre, éclairé, univoque et spécifique ;
  • Le traitement indispensable à l’exécution d’un contrat auquel l’utilisateur concerné est parti, ou de mesures précontractuelles intervenant à la demande de celui-ci ;
  • Le traitement nécessaire au respect d’une obligation légale incombant au responsable de traitement ;
  • Le traitement requis pour préserver les intérêts vitaux de l’utilisateur concerné ou de toute autre personne physique ;
  • Le traitement opéré dans le cadre de l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont le responsable de traitement a la charge ;
  • Le traitement nécessaire aux fins d’intérêts légitimes du responsable de traitement (recours en justice, etc.).

Tout traitement doit être rattaché à au moins un des éléments de cette liste. A défaut, il n’est pas autorisé par le RGPD.

2. Finalité de traitement :

Il s’agit ici de l’objectif du traitement. Ce dernier doit être légitime, explicite et établi en amont de chaque traitement. La finalité de traitement est important, car elle délimite le choix, la durée et les modalités d’exploitation des données personnelles traitées.

3. Minimisation des données :

Seules les données indispensables pour atteindre la finalité peuvent faire l’objet d’un traitement. Ce principe vaut tout au long de la conservation des données. Un audit doit donc être fait de manière régulière pour s’assurer du respect de cette règle.

4. Protection des données sensibles :

Les données présentant un risque particulier pour les utilisateurs, la logique est inversée. Le principe n’est plus l’autorisation conditionnée, mais l’interdiction, hors cas particuliers. Le RGPD qualifie de « sensibles » les données sur l’état de santé des personnes, l’appartenance philosophique, politique, syndicale ou religieuse, l’orientation sexuelle, les origines raciales et ethniques, ainsi que les données génétiques et biométriques.

En France sont également considérées comme sensibles le numéro de sécurité sociale des individus ainsi que les informations relatives aux condamnations pénales et au casier judiciaire.

5. Durée de vie limitée des données :

Cette règle s’inscrit dans le prolongement direct du principe de minimisation.

Une fois la finalité atteinte, le RGPD prévoit que les données doivent être détruites, anonymisées ou, dans certains cas, archivées. Quoi qu’il en soit, une fois la finalité atteinte, les données ne peuvent demeurer dans la base active, mais dans une base distincte le cas échéant.

6. Sécurité des données personnelles :

Cette règle prévoit qu’à tout moment, le responsable de traitement doit assurer la confidentialité, l’intégrité et la disponibilité des données traitées.

Toute faille au niveau de la sécurité doit être répertoriée et signalée à la CNIL, voire aux personnes concernées si la faille présente un risque important pour leur vie privée et/ou leurs droits et libertés.

7. Transparence de traitement :

Le RGPD renforce les obligations pesant sur les responsables de traitement pour permettre aux utilisateurs concernés de connaître l’utilisation qui est faite de leurs données et des droits qui en découlent.

L’information doit leur être présenté de manière complète, claire, concise et accessible.

8. Respect des droits des utilisateurs 

Le RGPD renforce les droits des utilisateurs (droit d’accès, de rectification, d’opposition au traitement et d’effacement de ses données personnelles) et en crée de nouveaux (droit à la portabilité des données personnelles, à la limitation de traitement et à l’opposition aux décisions individuelles automatisées).

Le responsable de traitement doit être en mesure de répondre aux demandes des utilisateurs désireux de faire valoir leurs droits dans un délai raisonnable (deux mois en général).

Le RGPD pose également d’autres principes, notamment en matière de transfert de données en dehors de l’Union européenne. Toutefois, nous ne traiterons pas ces axes dans ce resume RGPD.

Pourquoi s’intéresser au RGPD ?

Dès lors qu’une entité agissant à des fins professionnelles est située dans l’Union européenne, ou traite des données personnelles d’utilisateurs situés dans l’Union européenne, alors, elle est soumise au RGPD.

Au-delà de cela, voici trois raisons en particulier de se sentir concerné par le RGPD.

1. Sécuriser son activité

Afin de garantir une effectivité de la protection des utilisateurs et de leurs données personnelles, le RGPD a renforcé le pouvoir de sanction des autorités nationales.

Ainsi, en France, la CNIL peut désormais procéder aux sanctions suivantes en cas de manquement aux obligations prévues par le règlement (rappel à l’ordre, injonction de mettre le traitement en conformité, limitation temporaire ou définitive de traitement, suspension de flux de données en dehors de l’UE, ordre de donner suite aux demandes d’exercice de droit des personnes, retrait d’une certification ou amendes administratives).

  • Le montant des amendes administratives a été augmenté. Selon la gravité du manquement, le contrevenant s’expose à une amende de 2% de son chiffre d’affaires mondial ou 10 millions d’euros d’amende (le seuil le plus haut étant retenu) OU 4 % de son chiffre d’affaires mondial ou 20 millions d’euros d’amende (le seuil le plus haut étant retenu). Une telle sanction peut donc avoir des conséquences financières significatives.

En outre, dans le cas où le manquement causerait un préjudice aux utilisateurs, viennent s’ajouter à ces amendes administratives des amendes pénales, renforçant, par conséquent, le risque financier.

  • En parallèle, le RGPD facilite les recours en justice pour les utilisateurs en cas de traitements abusifs de leurs données personnelles. Cela se traduit par une ouverture de ce type de recours aux actions de groupe, mais aussi, par la mise en place du principe de réparation effective.
  • Enfin, La CNIL a accordé un délai de tolérance de 24 mois suivant l’entrée en application du RGPD, le 25 mai 2018 pour permettre aux agents de se mettre en conformité. Durant cette période, les manquements valaient généralement un avertissement aux contrevenants, plutôt qu’une sanction directe. Ce délai arrive toutefois à son terme. On ne connait pas la position de la CNIL à partir de mai 2020, mais on peut imaginer une tendance au durcissement.

La sécurisation financière de l’activité apparaît comme une première bonne raison de veiller à une adéquation des traitements de données avec les dispositions du RGPD. Toutefois, ce n’est pas la seule.

2. Pérenniser ses relations professionnelles

Comme évoqué précédemment, le RGPD pose notamment le principe de recours effectif, en faveur des utilisateurs dont les données sont collectées. Cela signifie qu’en cas de partenariat entre responsables de traitements, tous deux sont coresponsables à hauteur de l’intégralité de tout préjudice que pourrait subir un utilisateur dont les données seraient traitées dans le cadre du partenariat.

Concrètement, cela implique qu’en cas de préjudice, l’utilisateur victime peut indifféremment se retourner contre l’un ou l’autre des partenaires, pour obtenir réparation de l’intégralité du préjudice subi.

Bien que ce principe n’exclut pas la possibilité d’une action récursoire entre les partenaires dans un second temps, il inscrit la responsabilité du traitement des données dans la relation contractuelle les liants.

Ainsi, chaque partenaire a intérêt à s’assurer du soin porté par lui-même et par l’autre au traitement des données personnelles.

Cette considération concerne également les contrats de sous-traitance, où le sous-traitant doit apporter la preuve de sa conformité et de celle de tous ses éventuels sous-traitants, au moment de mettre en place la relation contractuelle. Outre le risque financier, un non-respect des dispositions du RGPD pourrait entraîner une dégradation des relations professionnelles.

Enfin, la troisième raison de veiller à la conformité des traitements avec le règlement, mais non des moindres, est la préservation de votre image auprès de vos clients.

3. Préserver son image auprès de ses clients

Les utilisateurs sont de plus en plus nombreux à être sensibilisés aux enjeux liés aux traitements de leurs données personnelles. Ainsi, ils auront tendance à privilégier un acteur garantissant la sécurité de leurs données. Dans ce contexte, on peut facilement imaginer l’impact sur l’image de marque d’un acteur suite à une condamnation pour manquement à ses obligations en termes de confidentialité, ou d’utilisation des données de ses utilisateurs. Outre le risque de condamnation administrative et pénale, cela pourrait constituer un réel manque à gagner en matière de notoriété.

À l’inverse, le soin particulier porté aux données des utilisateurs peut être présenté comme un atout marketing, gage de qualité s’ajoutant au produit en lui-même et à la renommée de l’acteur. Ainsi, la conformité aux dispositions du RGPD présente-t-elle un intérêt triple. Ce constant raisonne d’autant plus dans la dynamique de forte innovation digitale et technologique actuelle, où fort est à parier que la législation en matière de protection des données personnelles va tendre à être renforcée au cours des années à venir.

Pour continuer ce resume RGPD, se pose alors la question des mesures concrètes à adopter pour respecter les obligations instaurées par le RGPD.

Comment se mettre en conformité avec le RGPD ?

Pour être conforme RGPD, il vous faudra adopter des mesures pour à chaque traitement de données respecter le RGDP. Il rend les agents acteurs de leur conformité. Il leur revient dès lors de prendre toutes les mesures adéquates pour garantir un traitement respectant les huit règles d’or, tout en étant à même de justifier de ces mesures.

1. Respecter les huit règles d’or

La première étape pour s’assurer de sa conformité consiste à faire une cartographie de tous les traitements opérés, et un audit de chacun d’eux (Qui a accès aux données ? Où sont-elles stockées ? Comment ? Pour combien de temps ?).

Une fois ce travail effectué, chaque traitement doit être analysé au regard des huit règles d’or :

  • Le traitement est-il autorisé ?
  • Quel est l‘objectif de ce traitement ?
  • Ai-je besoin de toutes les données collectées pour atteindre cet objectif ?
  • Les données collectées sont-elles sensibles ? Si oui, est-ce vraiment indispensable et sont-elles suffisamment protégées ?
  • Les mesures pour garantir la sécurité des données sont-elles suffisantes ?
  • Quel est le cycle de vie des données collectées ?
  • Suis-je suffisamment transparent vis-à-vis des utilisateurs quant aux traitements de leurs données ?
  • Suis-je en mesure de répondre aux demandes d’exercice de leurs droits des utilisateurs ?

Les mesures nécessaires doivent alors être mises en place par le responsable de traitement. La CNIL a mis à disposition plusieurs outils pour accompagner dans ces étapes.

2. Être conforme par défaut et dès la conception

Dans la prolongation des huit règles d‘or, le RGPD pose deux principes supplémentaires.

  • Le « privacy by design » : qui signifie que pour tout nouveau traitement, la question de la protection des données utilisées doit être prise en compte dès la conception de tout produit.

Ce principe est d’autant plus important pour la création d’applications digitales, souvent très gourmandes en données personnelles.

  • Le « privacy by default » : qui signifie que le paramétrage par défaut de tout nouveau produit et/ou service est initialement réalisé de manière à limiter tout traitement de données au strict minimum requis pour atteindre la finalité. Le paramétrage peut bien entendu être modifié par la suite, à la discrétion de l’utilisateur qui souhaiterait par exemple bénéficier de services complémentaires. Exemple d’un service de livraison nécessitant l’ajout de la géolocalisation suite à l’achat d’un produit sur un site de e-commerce)

Outre l’identification et la mise en place de mesures nécessaires au respect des dispositions du règlement, il revient également à chaque agent d’être en mesure de justifier de sa conformité en la documentant.

 3. Justifier de sa conformité

Trois outils doivent obligatoirement être utilisés par l’ensemble des agents pour justifier de leur conformité :

  • Un registre : hormis l’exigence d’une trace écrite, le format de ce document est assez libre. Il doit contenir la liste exhaustive et le détail de chacun des traitements de données personnelles opérés par l’agent. Ce registre doit être actualisé régulièrement, de manière à être à jour en cas de contrôle.

  • Les analyses d’impact relatives à la protection des données (AIPD) : Ces analyses ne concernent que les traitements de données présentant un risque plus important pour les utilisateurs concernés. Ces traitements sont pour partie listés dans le RGPD, ou identifiés par des lignes directrices, et/ou la CNIL et ses homologues européens. Plus généralement, on peut retenir que sont ici concernés les traitements présentant un risque élevé sur les droits et libertés des utilisateurs. Ces analyses consistent en une étude approfondie des risques encourus, de leur probabilité, de leurs conséquences et des mesures à prendre pour les limiter. La CNIL met également à disposition un outil facultatif pour guider les agents dans la réalisation de ce type d’étude. Dans tous les cas, si elles sont réalisées, leur contenu doit pouvoir être fourni à la CNIL en cas de contrôle.

  • Le registre des violations : Le RGPD prévoit des dispositions à prendre en cas de violation des données personnelles (que l’intrusion soit interne ou externe). Toute violation doit être répertoriée, en précisant la source de la violation, et les éventuelles mesures correctives prises.

Si la violation présente un risque plus conséquent pour les utilisateurs, elle doit être signalée dans les 72 heures suivant sa découverte par l’agent à la CNIL, accompagnée d’un plan d’action pour résoudre la faille. Notons également que si le risque est important et pèse sur les droits et libertés individuelles des individus concernés, ces derniers doivent également être informés.

En plus de ces trois outils, d’autres existent, facultatifs, que nous ne traiterons pas dans ce resume RGPD (codes de conduite, certifications, etc …).

 4. Se faire accompagner par un DPO

Pour remplir ces obligations en matière de conformité, les agents peuvent se faire accompagner par un délégué à la protection des données (DPO).

Le rôle du DPO est triple :

  • Informer et conseiller le responsable de traitement
  • Contrôler la conformité des traitements opérés
  • Être le point de contact avec les autorités, les employés, les partenaires et les usagers pour tous les échanges relevant de la protection des données personnelles

Dans tous les cas, le recours à un DPO ne le rend pas responsable en cas de manquement au RGPD. Seul le responsable de traitement l’est. Faire appel à un DPO est une obligation dans les cas suivants, dans les autres cas, le recours à un DPO est fortement conseillé,

Pour aller plus loin dans ce resume RGPD, voyons maintenant comment avoir recours à un DPO.

Quelles sont les conditions pour nommée un DPO ?

 Qu’il s’agisse d’une personne en interne ou en externe, même à temps partiel. La personne nommée doit remplir les quatre conditions suivantes :

1. Capacité professionnelle

Des certifications existent, mais ne constituent pas une condition sine qua none à la nomination du DPO; Ce dernier doit néanmoins avoir les connaissances juridiques et techniques suffisantes pour mener à bien sa mission.

2. Absence de conflit d’intérêt

Le DPO ne peut être juge et partie pour mener un audit de conformité convenable. Les missions de DPO sont donc peu compatibles avec les fonctions de direction (direction des ressources humaines, direction des opérations, direction technique).

3. Moyens suffisants

Il s’agit ici des moyens financiers, opérationnels, logistiques, et du temps pour mener la mission et se former, dont doit disposer le DPO pour remplir pleinement sa mission.

4. Indépendance pour accomplir ses missions

Le DPO doit être à l’abri de toute pression hiérarchique ou risque de sanction pour délivrer ses recommandations. Il est recommandé qu’il ne rende de compte qu’au responsable de traitement de manière directe. Qu’il y ait ou non-recours à un DPO pour veiller à la conformité des pratiques avec le RGPD, la CNIL propose sur son site de nombreux contenus pratiques pour accompagner l’ensemble des acteurs.

Resume RGPD en Vidéo

Nous espérons que ce résume RGPD vous a éclairci sur le sujet retrouvez ci-dessous le replay du webinar dédié au resume RGPD ci-dessous :

Vous avez des questions autour du resume RGPD et la gestion des données? Parlons-en.