Cet article résume en 3 questions limpides le « Règlement Général sur la Protection des Données ». Pour présenter un resume RGPD exhaustif, dans un premier temps, nous poserons une définition de ce qu’est le RGPD, nous verrons ainsi les huit règles d’or qui régissant le règlement. Dans un deuxième temps, nous étudierons pour quelles raisons s’y intéresser. Enfin, nous traiterons le sujet : comment se mettre en conformité avec le RGPD ?
La protection des données personnelles est un enjeu apparu dès les années 70 en France, avec le projet d’interconnexion des administrations pour faciliter le traitement des dossiers des administrés. Depuis, la situation a beaucoup évolué. Le passage à l’ère du numérique a propulsé les données personnelles au centre du système économique. Ces dernières ont à présent une valeur marchande, accrue par un développement exponentiel de la vitesse de circulation, des capacités d’analyse et de stockage de ces dernières, indépendamment de toute frontière étatique.
S’il permet de grandes avancées technologiques et sociétales, ce nouvel équilibre économique fait également peser des risques inédits sur les agents (distorsion de concurrence, risques sur la vie privée ou les libertés individuelles et collectives…). Un cadre législatif est alors progressivement apparu, à l’échelle nationale, mais aussi européenne pour garantir l’instauration d’un climat de confiance, indispensable à la pérennisation des échanges.
C’est dans ce contexte qu’intervient le RGPD et qu’en découle notre souhait de vous présenter un resume RGPD.
Le RGPD signifie le « Règlement Général sur la Protection des Données », voté en 2016 applicable depuis le 25 mai 2018. Il est destiné aux entités dans l’UE ou traitant des données d’utilisateurs situés dans l’UE. Il a été conçu pour harmoniser et encadrer à l’échelle européenne le traitement des données à caractère personnel. S’inscrivant dans la continuité de l’existant, le RGPD instaure huit règles d’or centrées sur les individus, encadrant le traitement de leurs données à caractère personnel, tout en posant le principe de responsabilisation des agents. Désormais, il revient à chaque agent de prendre toutes les mesures nécessaires au respect de ces règles pour chacun des traitements réalisés.
Avant d’aller plus loin dans ce resume RGPD, précisons ce qu’est un traitement de données à caractère personnel.
On comprend aisément que cette notion est entendue au sens (très) large, incluant aussi bien la collecte, la consultation, que le recoupement, l’analyse des données personnelles. À ce stade, rappelons que le RGPD n’interdit pas le traitement des données à caractère personnel. Il se contente de le conditionner au respect des huit règles d’or.
La licéité de traitement correspond à la base légale du traitement. Le RGPD établit six catégories de traitements autorisés :
Tout traitement doit être rattaché à au moins un des éléments de cette liste. A défaut, il n’est pas autorisé par le RGPD.
Il s’agit ici de l’objectif du traitement. Ce dernier doit être légitime, explicite et établi en amont de chaque traitement. La finalité de traitement est important, car elle délimite le choix, la durée et les modalités d’exploitation des données personnelles traitées.
Seules les données indispensables pour atteindre la finalité peuvent faire l’objet d’un traitement. Ce principe vaut tout au long de la conservation des données. Un audit doit donc être fait de manière régulière pour s’assurer du respect de cette règle.
Les données présentant un risque particulier pour les utilisateurs, la logique est inversée. Le principe n’est plus l’autorisation conditionnée, mais l’interdiction, hors cas particuliers. Le RGPD qualifie de « sensibles » les données sur l’état de santé des personnes, l’appartenance philosophique, politique, syndicale ou religieuse, l’orientation sexuelle, les origines raciales et ethniques, ainsi que les données génétiques et biométriques.
En France sont également considérées comme sensibles le numéro de sécurité sociale des individus ainsi que les informations relatives aux condamnations pénales et au casier judiciaire.
Cette règle s’inscrit dans le prolongement direct du principe de minimisation.
Une fois la finalité atteinte, le RGPD prévoit que les données doivent être détruites, anonymisées ou, dans certains cas, archivées. Quoi qu’il en soit, une fois la finalité atteinte, les données ne peuvent demeurer dans la base active, mais dans une base distincte le cas échéant.
Cette règle prévoit qu’à tout moment, le responsable de traitement doit assurer la confidentialité, l’intégrité et la disponibilité des données traitées.
Toute faille au niveau de la sécurité doit être répertoriée et signalée à la CNIL, voire aux personnes concernées si la faille présente un risque important pour leur vie privée et/ou leurs droits et libertés.
Le RGPD renforce les obligations pesant sur les responsables de traitement pour permettre aux utilisateurs concernés de connaître l’utilisation qui est faite de leurs données et des droits qui en découlent.
L’information doit leur être présenté de manière complète, claire, concise et accessible.
Le RGPD renforce les droits des utilisateurs (droit d’accès, de rectification, d’opposition au traitement et d’effacement de ses données personnelles) et en crée de nouveaux (droit à la portabilité des données personnelles, à la limitation de traitement et à l’opposition aux décisions individuelles automatisées).
Le responsable de traitement doit être en mesure de répondre aux demandes des utilisateurs désireux de faire valoir leurs droits dans un délai raisonnable (deux mois en général).
Le RGPD pose également d’autres principes, notamment en matière de transfert de données en dehors de l’Union européenne. Toutefois, nous ne traiterons pas ces axes dans ce resume RGPD.
Dès lors qu’une entité agissant à des fins professionnelles est située dans l’Union européenne, ou traite des données personnelles d’utilisateurs situés dans l’Union européenne, alors, elle est soumise au RGPD.
Au-delà de cela, voici trois raisons en particulier de se sentir concerné par le RGPD.
Afin de garantir une effectivité de la protection des utilisateurs et de leurs données personnelles, le RGPD a renforcé le pouvoir de sanction des autorités nationales.
Ainsi, en France, la CNIL peut désormais procéder aux sanctions suivantes en cas de manquement aux obligations prévues par le règlement (rappel à l’ordre, injonction de mettre le traitement en conformité, limitation temporaire ou définitive de traitement, suspension de flux de données en dehors de l’UE, ordre de donner suite aux demandes d’exercice de droit des personnes, retrait d’une certification ou amendes administratives).
En outre, dans le cas où le manquement causerait un préjudice aux utilisateurs, viennent s’ajouter à ces amendes administratives des amendes pénales, renforçant, par conséquent, le risque financier.
La sécurisation financière de l’activité apparaît comme une première bonne raison de veiller à une adéquation des traitements de données avec les dispositions du RGPD. Toutefois, ce n’est pas la seule.
Comme évoqué précédemment, le RGPD pose notamment le principe de recours effectif, en faveur des utilisateurs dont les données sont collectées. Cela signifie qu’en cas de partenariat entre responsables de traitements, tous deux sont coresponsables à hauteur de l’intégralité de tout préjudice que pourrait subir un utilisateur dont les données seraient traitées dans le cadre du partenariat.
Concrètement, cela implique qu’en cas de préjudice, l’utilisateur victime peut indifféremment se retourner contre l’un ou l’autre des partenaires, pour obtenir réparation de l’intégralité du préjudice subi.
Bien que ce principe n’exclut pas la possibilité d’une action récursoire entre les partenaires dans un second temps, il inscrit la responsabilité du traitement des données dans la relation contractuelle les liants.
Ainsi, chaque partenaire a intérêt à s’assurer du soin porté par lui-même et par l’autre au traitement des données personnelles.
Cette considération concerne également les contrats de sous-traitance, où le sous-traitant doit apporter la preuve de sa conformité et de celle de tous ses éventuels sous-traitants, au moment de mettre en place la relation contractuelle. Outre le risque financier, un non-respect des dispositions du RGPD pourrait entraîner une dégradation des relations professionnelles.
Enfin, la troisième raison de veiller à la conformité des traitements avec le règlement, mais non des moindres, est la préservation de votre image auprès de vos clients.
Les utilisateurs sont de plus en plus nombreux à être sensibilisés aux enjeux liés aux traitements de leurs données personnelles. Ainsi, ils auront tendance à privilégier un acteur garantissant la sécurité de leurs données. Dans ce contexte, on peut facilement imaginer l’impact sur l’image de marque d’un acteur suite à une condamnation pour manquement à ses obligations en termes de confidentialité, ou d’utilisation des données de ses utilisateurs. Outre le risque de condamnation administrative et pénale, cela pourrait constituer un réel manque à gagner en matière de notoriété.
À l’inverse, le soin particulier porté aux données des utilisateurs peut être présenté comme un atout marketing, gage de qualité s’ajoutant au produit en lui-même et à la renommée de l’acteur. Ainsi, la conformité aux dispositions du RGPD présente-t-elle un intérêt triple. Ce constant raisonne d’autant plus dans la dynamique de forte innovation digitale et technologique actuelle, où fort est à parier que la législation en matière de protection des données personnelles va tendre à être renforcée au cours des années à venir.
Pour continuer ce resume RGPD, se pose alors la question des mesures concrètes à adopter pour respecter les obligations instaurées par le RGPD.
Pour être conforme RGPD, il vous faudra adopter des mesures pour à chaque traitement de données respecter le RGDP. Il rend les agents acteurs de leur conformité. Il leur revient dès lors de prendre toutes les mesures adéquates pour garantir un traitement respectant les huit règles d’or, tout en étant à même de justifier de ces mesures.
La première étape pour s’assurer de sa conformité consiste à faire une cartographie de tous les traitements opérés, et un audit de chacun d’eux (Qui a accès aux données ? Où sont-elles stockées ? Comment ? Pour combien de temps ?).
Une fois ce travail effectué, chaque traitement doit être analysé au regard des huit règles d’or :
Les mesures nécessaires doivent alors être mises en place par le responsable de traitement. La CNIL a mis à disposition plusieurs outils pour accompagner dans ces étapes.
Dans la prolongation des huit règles d‘or, le RGPD pose deux principes supplémentaires.
Ce principe est d’autant plus important pour la création d’applications digitales, souvent très gourmandes en données personnelles.
Outre l’identification et la mise en place de mesures nécessaires au respect des dispositions du règlement, il revient également à chaque agent d’être en mesure de justifier de sa conformité en la documentant.
Trois outils doivent obligatoirement être utilisés par l’ensemble des agents pour justifier de leur conformité :
Un registre : hormis l’exigence d’une trace écrite, le format de ce document est assez libre. Il doit contenir la liste exhaustive et le détail de chacun des traitements de données personnelles opérés par l’agent. Ce registre doit être actualisé régulièrement, de manière à être à jour en cas de contrôle.
Les analyses d’impact relatives à la protection des données (AIPD) : Ces analyses ne concernent que les traitements de données présentant un risque plus important pour les utilisateurs concernés. Ces traitements sont pour partie listés dans le RGPD, ou identifiés par des lignes directrices, et/ou la CNIL et ses homologues européens. Plus généralement, on peut retenir que sont ici concernés les traitements présentant un risque élevé sur les droits et libertés des utilisateurs. Ces analyses consistent en une étude approfondie des risques encourus, de leur probabilité, de leurs conséquences et des mesures à prendre pour les limiter. La CNIL met également à disposition un outil facultatif pour guider les agents dans la réalisation de ce type d’étude. Dans tous les cas, si elles sont réalisées, leur contenu doit pouvoir être fourni à la CNIL en cas de contrôle.
Si la violation présente un risque plus conséquent pour les utilisateurs, elle doit être signalée dans les 72 heures suivant sa découverte par l’agent à la CNIL, accompagnée d’un plan d’action pour résoudre la faille. Notons également que si le risque est important et pèse sur les droits et libertés individuelles des individus concernés, ces derniers doivent également être informés.
En plus de ces trois outils, d’autres existent, facultatifs, que nous ne traiterons pas dans ce resume RGPD (codes de conduite, certifications, etc …).
Pour remplir ces obligations en matière de conformité, les agents peuvent se faire accompagner par un délégué à la protection des données (DPO).
Le rôle du DPO est triple :
Dans tous les cas, le recours à un DPO ne le rend pas responsable en cas de manquement au RGPD. Seul le responsable de traitement l’est. Faire appel à un DPO est une obligation dans les cas suivants, dans les autres cas, le recours à un DPO est fortement conseillé,
Pour aller plus loin dans ce resume RGPD, voyons maintenant comment avoir recours à un DPO.
Qu’il s’agisse d’une personne en interne ou en externe, même à temps partiel. La personne nommée doit remplir les quatre conditions suivantes :
Des certifications existent, mais ne constituent pas une condition sine qua none à la nomination du DPO; Ce dernier doit néanmoins avoir les connaissances juridiques et techniques suffisantes pour mener à bien sa mission.
Le DPO ne peut être juge et partie pour mener un audit de conformité convenable. Les missions de DPO sont donc peu compatibles avec les fonctions de direction (direction des ressources humaines, direction des opérations, direction technique).
Il s’agit ici des moyens financiers, opérationnels, logistiques, et du temps pour mener la mission et se former, dont doit disposer le DPO pour remplir pleinement sa mission.
Le DPO doit être à l’abri de toute pression hiérarchique ou risque de sanction pour délivrer ses recommandations. Il est recommandé qu’il ne rende de compte qu’au responsable de traitement de manière directe. Qu’il y ait ou non-recours à un DPO pour veiller à la conformité des pratiques avec le RGPD, la CNIL propose sur son site de nombreux contenus pratiques pour accompagner l’ensemble des acteurs.
Nous espérons que ce résume RGPD vous a éclairci sur le sujet retrouvez ci-dessous le replay du webinar dédié au resume RGPD ci-dessous :
Vous avez des questions autour du resume RGPD et la gestion des données? Parlons-en.
