RGPD 2018 (Règlement général sur la protection des données) – Toutes les infos utiles

RGPD 2018 (Règlement général sur la protection des données) – Toutes les infos utiles

Le Règlement général et européen sur la protection des données (RGPD) entre en vigueur le 25 mai 2018. A partir de ce jour, chaque organisme privé ou public au sein de l’Union européenne devra impérativement être conforme aux règlementations du RGPD sous peine de sanctions lourdes.

Le RGPD suit une politique d’uniformisation et d’harmonisation des pratiques au sein de l’Union européenne visant à protéger les données personnelles des citoyens européens.
Les entreprises ont donc une obligation de mise en conformité au RGPD d’ici le 25 mai 2018. Les questions qu’elles doivent se poser sont les suivantes :

  • Qu’est-ce que le RGPD ?
  • Qui est concerné par la mise en conformité au RGPD ?
  • Quels sont les principes clés découlant du RGPD ?
  • Qu’est-ce que le Délégué à la protection des données ?
  • Comment mettre en place le RGPD au sein d’un organisme ?
  • Quelles sont les sanctions en cas de non-conformité au RGPD ?

 

Qu’est-ce que le RGPD ?

Le RGPD vient remplacer la loi Informatique et Liberté de 1978 en France. Le RGPD abroge les anciens textes nationaux relatifs à la protection des données personnelles.

Il vient renforcer la protection des données à caractère personnel de l’ensemble des citoyens européens. Il concerne donc le traitement (collecte, stockage et utilisation) et la circulation des données aussi bien au sein de l’Union européenne qu’en dehors de l’Union européenne.

Les nouveaux objectifs du RGPD

Le RGPD réforme en profondeur la législation européenne de protection des données personnelles des citoyens européens. Il vise l’harmonisation de la protection des données au sein de chaque Etat membre de l’Union européenne afin de conférer une protection optimale des données personnelles de chaque citoyen européen.

Adoption du RGPD en réaction au Big Data

L’explosion du numérique est venue mettre en danger les données personnelles des utilisateurs sur Internet. Le Big Data a entraîné un stockage énorme de données personnelles alors qu’elles ne sont pour la plupart en réalité rarement utilisées.

Exemple : La réaction du RGPD à la technique du profilage : C’est une technique permettant d’analyser et de prédire le comportement d’achat, les déplacements ou les préférences d’une personne physique grâce à ses données personnelles. Cette technique sera à partir du 25 mai 2018 obligatoirement accompagnée d’une analyse d’impact préalable permettant d’en limiter considérablement les risques.

 

Le RGPD – qui est concerné ?

Dès que l’activité d’une entreprise touche à la collecte, au stockage et/ou à l’utilisation de données personnelles de citoyens européens, le règlement s’applique, et ce, que l’entreprise se situe dans l’Union Européenne ou hors Union Européenne.

Ainsi, toute entreprise, que ce soit une SAS, SASU, SASU, SARL, EURL ou auto entrepreneur ou même association loi 1901 sont potentiellement concernés.

Le RGPD englobe tout traitement de données personnelles

Une donnée personnelle est une information qui permet d’identifier un individu (personne physique), qu’importe que la personne puisse être identifiée directement ou indirectement grâce à ses données.

Exemples :

  • L’adresse IP de l’ordinateur ou le numéro de portable d’une personne (identification indirecte permettant sa géolocalisation)
  • Le nom et prénom d’une personne (identification directe)
  • Les données liées à la santé

Pourquoi vouloir à tout prix protéger ces données ?

Certaines données peuvent être sensibles et conduire à la discrimination de certaines personnes.
En général, les Etat membres et les entreprises traitant des données personnelles se doivent de respecter le principe de droit à la vie privée des personnes.
C’est pourquoi il est interdit de collecter ces données sans consentement préalable, clair et explicite, à moins que les autorités de contrôle nationales tel que la CNIL valident un prélèvement sans consentement défendu par un intérêt public.

Toute entité (entreprise ou organisme public ou privé confondu) est concernée :

La taille de l’entreprise ou son secteur n’ont pas d’influence sur la mise en conformité au RGPD. Toute entreprise, de la start-up aux grands groupes tels que Facebook ou Google, se doit d’être conforme au RGPD.

Attention ! Toute entité est concernée, et ce, au sein de l’Union européenne mais également en dehors ! Chaque organisme doit se conformer au RGPD à partir du moment où des données personnelles de citoyens européens sont touchées. Il faut que les mentions légales RGPD apparaissent sur le site avant la collecte des données personnelles

Bon à savoir : non seulement le responsable du traitement des données personnelles mais également ses sous-traitants doivent être conformes au RGPD. En effet, le RGPD suit une logique de co-responsabilité.

 

Les principes clés du RGPD

Les principes du RGPD suivent une logique de prévision et prévention.

Le renforcement des droits des citoyens européens

Le principe de droit à la portabilité

Toute personne a le droit de demander à un responsable de traitement de données de transférer l’ensemble de ses données personnelles auprès d’un responsable de traitement d’un autre organisme. Les personnes concernées peuvent ainsi reprendre le contrôle sur leurs données personnelles.
Cela permet également de stimuler la concurrence entre les entreprises. Etant donné que chaque personne a le droit de reprendre le contrôle sur ses données personnelles et de les transférer à un concurrent, les entreprises sont amenées à augmenter et optimiser la protection des données de leurs clients pour éviter de les perdre.

Exemple : une personne peut demander à un site de streaming tel que Spotify de transférer l’ensemble de ses données personnelles à un concurrent – tel que Deezer dans le cas présent.

Le principe du consentement

Ce principe suit également la logique de reprise du contrôle des personnes concernées sur leurs données personnelles. Le RGPD renforce la notion de consentement au sein du traitement des données personnelles.
Le responsable du traitement à la charge de prouver qui a recueilli le consentement clair et précis de la personne concernée avant tout traitement des données. De plus, le consentement ne peut pas être donné de manière générale mais doit être donné au cas par cas.
Il existe de nombreux autres droits conférés aux citoyens européens par le RGPD tel que le droit à l’oubli permettant à chaque personne d’obtenir la suppression de ses données ou le droit d’être informé du traitement de ces données personnelles.

La responsabilisation des acteurs traitant des données personnelles

La logique de responsabilité – l’accountability

La logique de responsabilité remplace le principe des formalités préalables de protection des données de la loi Informatique et Libertés.
Selon l’ancienne loi, les organismes devaient effectuer des formalités telles que des déclarations ou des demandes d’autorisation de traitement des données préalable au départ du traitement.
La définition du CNIL du principe d’Accountability est la suivante : « Obligation des entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ».
Tout organisme et toute entreprise doit donc désormais pouvoir démontrer à chaque instant qu’il a mis en œuvre toutes les mesures nécessaires pour protéger les données personnelles.
La mise en pratique de la logique de responsabilité du RGPD se matérialise par le principe de « Privacy by design ».

Le principe de « Privacy by design »

A partir de l’entrée en vigueur du RGPD, la protection des données personnelles doit être mise en œuvre dès la conception d’un projet, d’un service ou d’un produit touchant au traitement de données personnelles.
Les entreprises doivent donc mettre en place des processus permettant une protection totale des données personnelles au fil de l’activité de l’entreprise.
Chaque acteur d’un traitement de données personnelles doit faire en sorte de mettre en œuvre la protection dès la conception d’un nouveau service ou produit. La mise en œuvre s’effectue par le biais de la mise en place de mesures opérationnelles et organisationnelles spécifiques.
Quelques exemples de mesures spécifiques permettant une protection optimale des données :

  • La pseudonymisation : le fait de rendre anonyme une personne concernée par des données personnelles pour un laps de temps donné
  • La minimisation des données (seules les données nécessaires au déroulement d’un projet doivent être collectées)

Enfin, le transfert des données personnelles hors Union européenne est en principe interdit

Il existe cependant des exceptions à ce principe. En effet, certains contrats prévoient des clauses contractuelles autorisant exceptionnellement le transfert de données personnelles hors Union Européenne.

De plus, depuis l’entrée en vigueur du Privacy Shield, il est autorisé de transférer des données personnelles aux USA, à condition que les destinataires soient inscrits sur le registre attestant un niveau de protection des données personnelles adéquat.

A retenir ! Les pays hors Union Européenne receveurs doivent absolument être en conformité avec les principes établis par le RGPD.

 

L’acteur au cœur du RGPD – le délégué à la protection des données

Le délégué à la protection des données (DPO) remplace l’ancien Correspondant Informatique et Libertés (CIL). Il est en charge de l’ensemble des traitements des données.
Le DPO est la clé de voute de la protection des données.

La nomination du DPO

La nomination du DPO est fortement recommandée pour l’ensemble des entités traitant de données personnelles, voire même obligatoire pour certaines entités.

Exemples de nomination obligatoire du DPO :

  • Organismes publics
  • Entreprise dont l’activité de base la conduit à traiter régulièrement des données personnelles sensibles à grande échelle.

La différence entre le DPO et le CIL

La nomination du CIL était facultative. Pourtant, leurs deux statuts sont similaires.

Les exigences sont néanmoins plus stricts vis-à-vis du DPO. En effet, le DPO doit faire l’objet d’une formation sur le RGPD de façon continue pour faire preuve d’un niveau constant des qualités requises afin d’assurer tout le long de la vie de l’entité une protection optimale des données personnelles.

Les missions du DPO sont également renforcées. C’est un réel travail d’équipe qui doit s’instaurer entre DPO et l’organisme pour lequel il travaille. Il a donc un rôle d’information, de conseil et de sensibilisation au RGPD constant vis-à-vis de la politique de protection des données personnelles au sein de l’organisme et auprès du responsable de traitement.

Exemple : Le DPO doit prendre part à chaque stade de la conception d’un nouveau service ou produit pour assurer le principe de Privacy by design découlant du RGPD.

Il doit donc être compétent ; c’est-à-dire avoir la possibilité de mettre en œuvre des mesures techniques et juridiques permettant de garantir une protection irréprochable des données personnelles aux vues du RGPD.

L’indépendance du DPO

Il peut être interne ou extérieur à l’organisme et doit obligatoirement avoir une position neutre vis-à-vis du traitement des données personnelles. Il ne doit pas prendre part à ce traitement, de quelque manière que ce soit.
Le DPO doit être indépendant aux traitements de données personnelles d’une entreprise. C’est pour cela qu’un dirigeant d’une entité ne pourra dans la plupart des cas être DPO pour cause de conflit d’intérêt. Celui qui détermine la finalité des traitements des données et ceux qui touchent de près ou de loin au traitement des données personnelles n’ont pas le droit de devenir DPO.
L’appréciation du conflit d’intérêt s’effectue au cas par cas.

Responsabilité du DPO

Le DPO n’a pas de pouvoir décisionnel. Il propose les mesures et les moyens permettant de protéger les données personnelles des personnes concernées mais il n’a qu’un rôle de conseiller et informatif auprès de l’entité.

Sa responsabilité n’est donc pas engagée en cas de non-conformité de l’activité d’une entreprise au RGPD. Le transfert de responsabilité du responsable du traitement au DPO est totalement prohibé.

 

La mise en place du RGPD au sein d’un organisme par le responsable du traitement

Le responsable du traitement des données personnelles au sein d’un organisme doit procéder à l’identification et la catégorisation des risques liés à l’activité de l’organisme et aux opérations de traitement.

Il doit mettre en place des procédures efficaces permettant d’évaluer le niveau de protection des données au sein d’un organisme et de minimiser les risques de violations des données personnelles.

Il élabore pour cela un plan d’action interne de mise en conformité de l’organisme au RGPD :

La tenue d’un registre de traitement des données personnelles

C’est un inventaire interne de l’ensemble des traitements réalisés sur les données personnelles. Le responsable du traitement documente les divers traitements de données personnelles, traitement qui englobe la collecte, le stockage et l’utilisation de données personnelles.
Ce registre est bénéfique à chaque organisme car il permet de prouver la conformité d’un organisme au RGPD. Se trouvent donc au sein du registre toutes les actions menées à chaque étape du processus de traitement des données personnelles d’un organisme.

Analyse d’impact relative à la protection des données (PIA) pour le traitement des risques

L’analyse d’impact est l’étude des risques préalables aux traitements des données personnelles vis-à-vis de la vie privée des personnes concernées.

C’est un document clé car il permet la gestion des risques liés au traitement des données personnelles au sein d’un organisme. Tout responsable de traitement et tout sous-traitant doit effectuer ces analyses pour prouver la conformité de leurs traitements au RGPD.

A retenir ! Le plan d’action internet est bénéfique à chaque entreprise car il permet de limiter la responsabilité d’une entreprise en cas de contrôle des autorités en charge de veiller au respect et à l’application du RGPD.

 

Les sanctions en cas de non-respect du RGPD

Le RGPD prévoit deux sortes de sanctions si une entreprise n’est pas conforme à ses dispositions dans le cadre d’un traitement de données personnelles. Ces sanctions ont un rôle dissuasif du fait de leur montant extrêmement élevé.
Les autorités de contrôle telles que la CNIL (Commission nationale de l’informatique et des libertés) ont le rôle de veiller au respect et à l’application du RGPD. Elles ont donc le droit d’imposer des sanctions.

Les sanctions administratives et pénales

C’est un système de sanctions graduel :

  • Avertissement et mise en demeure de l’organisme de rendre le traitement des données personnelles conforme au RGPD,
  • Injonction de cesser la violation des données personnelles,
  • Limitation ou suspension temporaire des traitements de données
  • Sanctions et amendes pour finir.

Le montant des amendes administratives est fixé selon la gravité de la violation des données personnelles. Il est compris entre 2 à 4% du chiffre d’affaire annuel d’un organisme et peut aller jusqu’à 20 millions d’euros.

En ce qui concerne les infractions pénales liées aux données personnelles telles que le cas de détournement de la finalité des données personnelles collectées par exemple, les sanctions peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Dommages et intérêts et déficit d’image

La personne concernée peut également percevoir des dommages et intérêts en cas de violation de ses données personnelles si elle est victime d’un dommage matériel et moral, généralement suite à une fuite de données.
Cette sanction suit la politique européenne de renforcement des droits des citoyens européens. La personne concernée par les données personnelles violées peut demander le versement de dommages et intérêts grâce à des actions de groupe à travers des associations.

Attention ! C’est une sanction supplémentaire. Elle s’additionne aux amendes administratives et aux sanctions pénales.

Enfin, une des sanctions non négligeables de la non-conformité au RGPD est le déficit d’image pour une entreprise. En effet, elle risque de perdre sa réputation si elle ne respecte pas les dispositions du RGPD. Cela entraîne une perte de concurrence sur le marché car une violation du RGPD nuit à son image au regard des consommateurs européens.

Attention ! Les sanctions prévues par le RGPD peuvent être fatales pour une petite ou moyenne entreprise. C’est pour cela qu’il est crucial d’effectuer la mise en conformité de l’entreprise au RGPD avant le 25 mai 2018.
Cet article vous a-t-il été utile ?