stain

En savoir plus sur le RGPD

Categories : Création Web

Dernièrement, j’ai eu l’opportunité d’assister à une conférence sur le RGPD (durant l’Opquast Day qui se déroulait sur Paris). Déjà familiarisé sur le sujet, j’ai pu constater que pour de nombreuses personnes cela restait encore un peu nébuleux. C’est la raison pour laquelle, j’ai pensé qu’il pouvait être intéressant de faire un petit état des lieux (à date) sur le RGPD.

Avant tout chose, le RGPD, c’est quoi ?

C’est le Règlement Général sur la Protection des Données. Il est à destination des entreprises et autres organisations dans le but d’harmoniser, simplifier et renforcer la protection des données personnelles et donc des utilisateurs.

Ainsi cette réforme poursuit trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

À savoir qu’il ne s’agit pas de bonne pratique, mais bel et bien d’un changement législatif qui prendra effet le 25 mai 2018. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.

Qui est concerné ?

Le RGPD s’applique à tout établissement ou structure présent dans l’Union européenne et traitant des données à caractère personnel. Peu importe le lieu de stockage, le secteur d’activité ou même la taille de l’entreprise. Simplement si les utilisateurs se situent sur le territoire Européen, la personne qui récolte ou traite des données personnelles est concernée.

Pour résumer :

Quelle que soit l’origine de la société ou de la structure (européenne ou non), si vous proposez des services sur le territoire européen vous êtes concerné.

Les données personnelles ? Mais encore ?

Dans le cadre de ce règlement, la notion de données à caractère personnel correspond à « toute information concernant une personne physique identifiée ou identifiable » que ce soit directement ou indirectement.

Les données indirectes sont par exemple un numéro de téléphone ou encore un identifiant. Autant dire qu’un grand nombre de données et de sociétés sont concernées. Plus encore, les données collectées sur internet de nature comportementale, si elles sont croisées à une identité, deviennent par ce fait des données à caractère personnel.

La réglementation est donc relativement précise quant à cette notion « de données personnelles ». Il ne serait pas étonnant de la voir encore plus se préciser avec des cas concrets.

Le RGPD est la continuité de dispositifs nationaux et européens ayant déjà été instaurés, l’objectif étant là d’uniformiser, contrôler et renforcer les obligations pour la protection de ce type de données.

La mise en place d’une logique d’autocontrôle

Le Règlement met fin à l’obligation de déclaration préalable des traitements et instaure un régime fondé sur la notion d’accountability. Il s’agit d’un formalisme interne qui doit être mis en œuvre dans une logique d’autocontrôle et de documentation.

Pour justifier du respect de l’accountability, les Responsables de Traitement devront documenter leur activité dans un « Registre des traitements » qui sera obligatoire pour les entreprises ou organisations de 250 salariés et plus. Pour les entreprises de moins de 250 salariés, la tenue de ce registre sera obligatoire, dans le cas ou le traitement :

  • Comporte un risque pour les droits et des libertés des personnes concernées ;
  • N’est pas occasionnel ;
  • Ou porte notamment sur les catégories particulières de données.

Même hors de ces cas, il sera extrêmement conseillé, pour tous, d’en tenir un.

Le Délégué à la Protection des données (Data Protection Officer)

Le RGPD prévoit des changements sur la gestion des données et pour ce faire il crée un poste de DPO (délégué à la protection des données) pour certaines structures :

  • Lorsque le traitement est effectué par une autorité ou un organisme public ;
  • Lorsque leurs activités de base les conduisent à effectuer un suivi régulier et systématique des personnes à grande échelle ;
  • Enfin, lorsque leurs activités de base les amènent à traiter à grande échelle des données sensibles ou qui ont trait à des condamnations et infractions pénales .

Pour rappel, sont considérées comme des données sensibles, notamment, les données génétiques, biométriques, ou afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale.

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible et conseillée. Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisées ou externes.

Le délégué devient le véritable « architecte » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé :

  • D’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
  • De contrôler le respect du règlement européen et du droit national en matière de protection des données ;
  • De conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
  • De coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

Des sanctions encadrées, graduées et renforcées

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance et de non-mise en conformité des dispositions du règlement.

Les autorités de protection peuvent notamment :

  • Prononcer un avertissement ;
  • Mettre en demeure l’entreprise ;
  • Limiter temporairement ou définitivement un traitement ;
  • Suspendre les flux de données ;
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
  • Ordonner la rectification, la limitation ou l’effacement des données.

En ce qui concerne les amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 à 20 millions d’euros, ou, en fonction des cas, de 2 % à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu… Il est donc important de considérer ce changement de législation avec une grande attention et lancer le processus de mise en conformité dès que possible afin de respecter les délais impartis.

Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.

Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.

Le RGPD en quelques mots :

Les 4 grands principes du RGPD :

  1. Principe de coresponsabilité : La responsabilité juridique ne se limite pas au « responsable du traitement », mais également aux sous-traitants et partenaires. Les sociétés doivent donc s’assurer de la conformité des fournisseurs vis-à-vis de la nouvelle réglementation.
  2. Le principe d’anticiper pour mieux protéger : Le RGPD implique d’intégrer le respect de la vie privée dès la conception des projets, c’est-à-dire s’assurer de la pertinence des données collectées, comprendre les risques pour les personnes concernées, anticiper l’information et le droit d’accès.
  3. La démarche de sécurité par défaut : Le RGPD impose une exclusion par défaut des données personnelles afin de se limiter uniquement à celles dont l’utilisation est strictement nécessaire. Les outils et logiciels doivent donc se conformer à ce principe de discrimination de ces données.
  4. La démarche d’accountability : La présence de registres présentant les traitements réalisés avec les données doit être en possession du responsable du traitement. Ainsi il lui sera possible de prouver la bonne protection des données à n’importe quel moment.

Et pour finir, ce que la CNIL préconise en 6 étapes :

  1. Désigner un pilote pour le projet
  2. Déterminer quels sont les traitements de données à caractère personnel opérés en interne
  3. Selon les résultats, priorisez les actions en fonction des risques encourus pour les données
  4. Analyser l’impact de ces risques afin de mettre en place des correctifs
  5. Organiser les processus en interne pour garantir le respect de la protection des données
  6. Constituer un dossier permettant de prouver la mise en conformité

Pour conclure

La mise en place du RGPD va permettre de se poser les bonnes questions sur les traitements de données personnelles.

Le fait de limiter l’étude aux traitements les plus à risques (malgré la difficulté à établir une liste précise) obligera les organismes à se confronter aux problématiques de sécurité de gestion de ces traitements et donc les responsabilisera quant aux respects du droit des personnes.

C’est une avancée pour les libertés individuelles, mais ce règlement va aussi engendrer des difficultés pour les organismes qui seront responsables du contrôle. La réalisation d’un audit de risques demande des compétences en sécurité pour se montrer efficace sous peine d’être superficielle ou au contraire trop lourde si on se perd dans les détails techniques.