Depuis le 25 mai 2018, le Règlement sur la Protection des Données Personnelles (RGPD) est entré en vigueur. Si cette nouvelle disposition a fait beaucoup de bruit, étant annoncée comme une véritable révolution pour la protection des données à caractère personnel, elle n’en demeure pas moins floue. Une chose est certaine, la donnée personnelle, nouvel or noir du XXIème siècle, fait désormais l’objet d’une plus grande protection visant à changer le comportement tant de l’internaute qui transmet facilement ses données personnelles que de l’organisme qui les recueille et qui les traite (responsable du traitement et éventuel sous-traitant).
Il s’agit d’abord d’une véritable uniformisation de la protection des données personnelles sur tout le territoire de l’Union européenne. Le RGPD concerne les droits des résidents européens sur leurs données personnelles, mais également tous les acteurs (organismes, personnes physiques) qui traitent ces données qu’ils soient établis ou non sur le territoire de l’Union européenne. C’est ainsi que de grandes entreprises internationales n’étant pas établies sur le territoire de l’Union européenne ont dû demander à leurs utilisateurs de consentir à nouveau à l’utilisation des données personnelles.
Sans grande modification, les données personnelles ne concernent que celles des personnes physiques. Le RGPD innove en apportant une clarification de certaines données dont la classification était ambigüe et qui constituent désormais des données à caractère personnel (par exemple : données de localisation, adresse IP) et en imposant à tout responsable de traitement de désigner une personne qui s’assure de la conformité au RGPD.
En revanche, le RGPD modifie totalement notre rapport à la protection des données personnelles. Nous sommes passés d’une logique de déclaration à une logique de responsabilisation. Désormais le responsable du traitement doit prendre des mesures pour assurer la conformité au règlement RGPD des opérations qu’il effectue avec les données et doit pouvoir en apporter la preuve en cas de contrôle de la CNIL. C’est le fameux principe « d’accountability ». A noter que en cas de transmission des données personnelles à un tiers, plusieurs personnes ou organismes sont responsables de traitement et il pourra y avoir co-responsabilité. Aussi, les sous-traitants peuvent également voir leur responsabilité engagée en cas de non-conformité au RGPD.
Afin de vous conformer au RGPD, la désignation et la déclaration à la CNIL d’un Délégué à la Protection des Données, DPD, (ou DPO pour Data Protection Officer) est obligatoire dans 3 cas :
- Traitement à grande échelle des données sensibles ;
- Traitement à grande échelle des données faisant l’objet d’un suivi régulier et systématique ;
- Traitement effectué par une autorité publique ou un organisme public.
Pour toutes les autres situations, il est nécessaire de désigner une personne pour gérer les données en interne. Quelle que soit la situation, la personne désignée peut être interne ou externe à l’entreprise.
Désormais, avant d’opérer tout traitement de données personnelles, il faut s’assurer d’avoir obtenu le consentement de la personne concernée. Encore faut-il que le consentement soit exprès, libre, sans équivoque et résulte d’un acte positif : c’est le fameux bouton « J’accepte », la case à cocher.
Les données personnelles doivent désormais faire l’objet d’un traitement strictement limité et nécessaire aux objectifs à atteindre. A cette fin, il faut tenir un registre qui recense les activités exercées nécessitant la collecte des données strictement nécessaires et le traitement qui en est fait.
Ce registre devra contenir :
- L’identité du responsable de traitement qui recueille les données et du DPD qui les sécurise ;
- Les finalités du traitement ;
- Les catégories des personnes concernées et des données recueillies (par exemple données d’identification : nom, prénom) ;
- Les catégories de destinataires auxquels les données seront communiquées, y compris les Etats tiers à l’Union européenne ;
- Le cas échéant le transfert de ces données à des Etats tiers ;
- Les délais prévus pour l’effacement des données ;
- Les mesures de sécurité techniques et organisationnelles visant à sécuriser l’accès aux données (cryptage, pseudonymisation, etc…).
Si lors de l’élaboration du registre vous vous apercevez que vous collectez des données dites sensibles, par exemple les données de santé, ces dernières devront de plus faire l’objet d’analyses d’impact pour évaluer les conséquences et risques du traitement de telles données, de mesures de sécurité spécifiques et nécessiteront la désignation d’un DPD.
Lors de la réalisation du registre, vous devez vous demander si les données collectées sont nécessaires à votre activité et si vos mesures de sécurité sont suffisantes pour assurer la protection de ces données : il s’agit là encore de la responsabilisation.
Le RGPD renforce les droits des personnes concernées. Il maintient le droit à l’information, le droit d’accès, de rectification, d’opposition de la Loi Informatique et Liberté et consacre de nouveaux droits :
- Le droit à l’effacement, autrement dit le droit à l’oubli ;
- Le droit à la limitation du traitement ;
- Le droit à la portabilité des données ;
- Le droit de ne pas faire l’objet d’une décision individuelle automatisée (profilage).
L’accent est mis sur l’information préalable au recueil du consentement de la personne qui transmet ses données. Il est obligatoire de l’informer sur l’identité et les coordonnées du responsable du traitement, les coordonnées du DPD, les finalités du traitement, le cas échéant les destinataires des données, la durée de conservation de ces données, ainsi que les droits qu’elle possède sur ses données personnelles (dont celui de retirer son consentement).
Enfin, et c’est le coup de massue, la sanction en cas de non-respect des dispositions du RGPD peut s’élever jusqu’à 4% du chiffre d’affaire annuel mondial.
Pour résumer : uniformisation, responsabilisation, transparence, limitation, information claire, licite et loyale, sensibilisation et sécurisation sont les maîtres mots du RGPD.
Les récents scandales relatifs à la violation des données personnelles et notamment l’affaire Facebook et Cambridge Analytica dans la campagne présidentielle américaine révèlent toute l’importance et l’enjeu de la protection des données personnelles.
Avez-vous encore des doutes sur votre conformité au RGPD ?
©Cabinet Bleger-Rhein-Poupon 2018
Décryptage du RGPD