Le RGPD

Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données, plus connu sous le nom de RGPD, est entré en vigueur le 25 mai 2018 dans les 28 Etats membres de l’Union européenne. Il impose de nouvelles responsabilités aux entreprises amenées à collecter, traiter, rassembler et analyser des données personnelles et comportementales. Ce sujet se retrouve donc tout naturellement au centre des préoccupations des sociétés, et ce, quelle que soit leur taille ou leur secteur d’activité.

A travers ce nouveau texte européen, il s’agit de renforcer la protection des données à caractère personnelélargir la définition des données personnelles à tout ce qui peut permettre d’identifier un individu (une adresse email professionnelle devient par exemple une donnée personnelle) et de redonner aux citoyens le contrôle de leurs datas.

A l’origine, ce texte est né d’une volonté des instances européennes de protéger les données personnelles de leurs citoyens contre les GAFA (Google, Amazon, Facebook et Apple). En effet, certains scandales de fuite de données (comme l’affaire Cambridge Analytica) ont amené nos instances à opter pour un règlement et non plus de simples directives. La différence majeure est que le non-respect d’une règlementation peut entraîner des sanctions, contrairement aux directives. La décision a donc été prise de « taper fort » aux points sensibles !

En cas de non-conformité au RGPD une structure encoure une amende pouvant aller jusqu’à 4% du chiffre d’affaires (CA) annuel ou jusqu’à 20 millions d’euros (la somme la plus élevée sera retenue). De quoi en dissuader certains !

Champs d’application

Le Règlement Général sur la Protection des Données s’applique à l’ensemble des organisations traitant des données à caractère personnel de citoyens européens. Vous comprendrez donc qu’il ne se limite pas aux entreprises européennes.

Un site de vente en ligne chinois ayant un marché en Europe doit également se mettre en conformité à cette règlementation. De la même façon, les institutions publiques, les associations, les collectifs… sont également soumis à cette nouvelle règlementation… dès lors qu’ils collectent, traitent et analysent des datas de citoyens européens.

Grands principes du RGPD

L’objectif principal du RGPD est de protéger les données privées des citoyens européens. Il leur confère de nouveaux droits pour leur permettre de maîtriser la collecte et l’utilisation de leurs informations.

1 – Le droit à l’effacement (ou droit à l’oubli numérique)

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant […] ».

Tout citoyen européen est aujourd’hui en droit de demander à une organisation l’effacement de toutes les informations personnelles le concernant. Attention, le droit à l’effacement n’est pas absolu, il n’est applicable que lorsqu’il n’entre pas en conflit avec une autre règlementation.

2 – Le droit à la consultation (ou droit d’accès)

Tout citoyen européen a le droit de consulter les datas collectées le concernant afin de prendre connaissance du traitement et d’en vérifier la licéité. Une organisation doit ainsi être en mesure de fournir à un citoyen l’ensemble des données le concernant qu’elle possède et lui indiquer les finalités pour lesquelles ses données sont conservées.

3 – Le droit à la modification

« La personne concernée a le droit d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données à caractère personnel la concernant. Compte tenu des finalités du traitement, la personne concernée a le droit d’obtenir que les données à caractère personnel incomplètes soient complétées, y compris en fournissant une déclaration complémentaire. ».

4 – Le droit à la portabilité

« Les personnes concernées ont le droit de recevoir les données à caractère personnel qu’elles ont fournies au responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de les transmettre à un autre responsable du traitement sans que le responsable du traitement auquel les données ont été communiquées y fasse obstacle […] ». Autrement dit, votre société doit être en mesure de transférer les informations à un tiers à partir du moment où l’utilisateur l’exige.

5 – Le droit d’information

Lorsqu’une organisation soumise au GDPR collecte des données personnelles d’un citoyen européen, celle-ci doit être en mesure d’informer la personne concernée du type d’information collectée, de la finalité du traitement, de leur mode de stockage, de la durée de stockage…

Pour être en conformité, chaque organisation doit avoir mis en oeuvre des process permettant le bon exercice de ces droits par les citoyens européens.

Au-delà des actions à mener pour assurer le respect d’une organisation au RGPD, les sociétés devront mettre en application et sensibiliser leurs collaborateurs à de nouveaux modes de fonctionnement.

En effet, la notion de protection des données devra faire partie intégrante des réflexions lors de la mise en oeuvre d’un nouveau projet : on parle ici des grands principes de « privacy by design« . Cela représente 7 mesures à instaurer dès les premières réflexions autour d’un nouveau projet ou d’une nouvelle méthode de travail :

  • Conception de mesures préventives ;
  • Protection par défaut (Privacy by default)* ;
  • Prise en compte de la protection de la vie privée dès la conception ;
  • Protection optimale et intégrale ;
  • Sécurité assurée tout au long de la conservation des données ;
  • Visibilité et transparence pour les personnes concernées ;
  • Respect de la vie privée des utilisateurs.

L’adoption des mesures de « Privacy by design » ne constitue pas une mesure de sécurité en tant que telle mais sensibilise les organisations à la nécessité de protéger les informations personnelles traitées.

*Privacy by default : chaque entreprise doit garantir, par défaut, le plus haut niveau de sécurité en matière de protection des données à caractère personnel.

Quels sont les objectifs du RGPD ?

Le premier objectif est la protection des données personnelles des citoyens européens. En effet, chaque état membre de l’UE possédait déjà des directives en matière de protection des données. La France était par exemple soumise à la Loi informatique et Liberté de 1978 (revue en 2004). Cependant, avec les phénomènes de digitalisation des entreprises, les nouvelles notions comme les « Big Data », la plupart de ces règlementations se sont trouvées obsolètes. Le RGPD a donc réactualisé et homogénéisé l’ensemble de ces directives.

Depuis le 25 Mai 2018, l’ensemble des organisations soumises au RGPD ont vu leurs modes de stockage et de collecte de données bouleversés. Le consentement explicite et éclairé est au cœur de ces nouvelles dispositions.

Réactualiser les diverses règlementations, revenait également à insister sur les notions de protection. Personne ne peut ignorer les risques de « piratage »… le RGPD prévoit donc des mesures afin que chaque organisation victime d’un vol de datas puisse en informer les citoyens concernés.

Lexique du RGPD

Donnée personnelle

Est considérée comme donnée à caractère personnel, toute donnée permettant d’identifier directement ou indirectement une personne physique :

  • L’Etat civil de la personne ;
  • Information de localisation ;
  • Identifiants bancaires ;
  • Numéro Sécurité Sociale ;
  • Information relatives à la vie personnelle ;
  • Habitudes de consommation ;
  • Données informatiques (adresse IP, adresse mail, pseudo de réseaux sociaux, codes d’accès…) ;

Donnée sensible

Les données dites « sensibles » sont celles :

  • qui permettent de révéler : l’origine raciale ou ethnique d’un individu, son opinion politique, sa religion, ses pensées philosophiques, son appartenance syndicale… ;
  • Les datas génétiques ;
  • Les datas biométriques ;
  • Les infos relatives à la santé ;
  • La vie sexuelle ainsi que les condamnations et infractions ;
  • Les informations de vidéosurveillance ;
  • Les données des mineurs ;
  • Etc.

Consentement

Le consentement des utilisateurs est l’une des innovations majeures du GDPR. Il est défini comme « toute volonté, libre spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que les données à caractère personnel la concernant face l’objet d’un traitement ». Il s’agit d’obtenir explicitement le consentement des utilisateurs concernant le stockage et l’utilisation de leurs données personnelles. Par exemple, l’utilisation de cases pré-cochées (consentement par défaut) sont désormais interdites dans les formulaires en ligne.

Traitement

Est appelé « traitement », tout process de recueil de données, l’enregistrement et l’exécution de chaque opération (même papier) :

  • Registre du personnel ;
  • Fichier client ;
  • L’utilisation de datas pour produire un résultat : factures, bulletin de paie, document administratif ;

Il faut pouvoir être en mesure de justifier de la conformité de vos traitements de données.

Responsable du traitement

« […] le responsable du traitement met en œuvre des mesures techniques et organisationnelles pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement […] ».

C’est donc une personne interne à l’organisme qui détermine la réponse aux 2 questions suivantes :

  • À quoi va servir le traitement
  • Comment va-t-on atteindre l’objectif ?

Sous-traitant

« La personne physique ou morale, l’autorité publique ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable de traitement ».

Dans le cadre du RGPD, un sous-traitant peut donc être l’éditeur de votre logiciel métier, l’hébergeur de votre site internet, le cabinet comptable qui gère les paies de vos collaborateurs…

Data Protection Officer (DPO) ou Délégué à la Protection des Données (DPD)

Le DPD/DPO sera chargé de piloter la gouvernance des données, de contrôler la conformité de l’entreprise et de conseiller le responsable des traitements. Ses coordonnées sont rendues publiques et transmises à la CNIL.

Analyse d’impact : l’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA – Data Protection Impact Assessment), lorsqu‘un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Une analyse d’impact doit donc comporter un descriptif du traitement, l’évaluation, le mode de collecte, la durée de sauvegarde… des infos collectées ainsi qu’une étude sur les mesures de sécurité à mettre en place pour la sécurité de ses données.

Etapes pour se conformer au RGPD

Pour qu’une organisation soit conforme, la CNIL préconise 6 étapes à réaliser.

etapes-conformite-rgpd

1 – Désigner un DPO/DPD (obligatoire pour les entreprises de plus de 250 personnes) : personne garante du principe de « Privacy by Design »

Le Délégué à la Protection des données est chargé de la conformité au RGPD de son organisme où des organisations qui l’ont missionné en externe. Il est considéré comme le « chef d’orchestre » de mise en application du GDPR. Il est chargé de missions d’information, de conseil et de contrôle interne. Il sera aussi l’interlocuteur privilégier de l’autorité de contrôle (la CNIL pour la France).

La désignation d’un DPD n’est obligatoire que dans 2 cas précis :

  • Si l’organisation est un organisme public ;
  • Si l’organisation est une société donc l’activité de base l’amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles ».

La désignation d’un DPD tout de même fortement recommandé par la CNIL. Le fait de désigner un délégué est considéré comme un atout majeur pour comprendre et respecter les obligations du règlement et ainsi réduire les risques de contentieux.

2 – Cartographier tous les traitements de données

Pour mesurer concrètement l’impact du règlement européen sur une organisation, la CNIL conseille aux organisations de recenser de façon précise les traitements de données personnelles. La tenue d’un registre des traitements facilite cette cartographie. Pour chaque traitement de données, une organisation doit être en mesure de répondre à différente question :

  • Qui ? Qui est responsable de ce traitement ? Qui a accès à ces données ?
  • Quoi ? Quels types de datas sont recueillies ? Sont-elles dites sensibles ?
  • Pourquoi ? Quelles est la finalité du traitement (gestion commerciale ? RH…)
  • Où ? Où sont hébergées ces informations ?
  • Jusqu’à quand ? Combien de temps sont conservées les informations ?
  • Comment ? Quelles sont les mesure mises en application pour protéger ces datas ?

3 – Prioriser les actions à mener

Une fois les traitements identifiés, il faut répertorier et prioriser les actions à mener pour se conformer aux obligations du GDPR. La priorisation peur de faire aux regards des risques liées aux données utilisées dans vos traitements. Certaines tâches sont plus ou moins simples à mettre en place, la CNIL préconise de commencer à mettre en œuvre celles qui permettront un progrès rapide vers la conformité :

  • S’assurer que seules les données strictement nécessaires à la poursuite des objectifs soient collectées et traitées
  • Identifier la base juridique sur laquelle se base le traitement : consentement de la personne, intérêt légitime, contrat, obligation légale…
  • Réviser les mentions d’informations pour qu’elles soient conformes aux exigences du GDPR
  • Vérifier la conformité au RGPD des sous-traitants
  • Prévoir les modalités d’exercice des droits
  • Vérifier les mesures de sécurité mises en oeuvre

4 – Mettre en oeuvre des actions pour diminuer les risques

Lorsque des traitements comportent des risques élevés pour les droits et libertés des personnes concernées par ces derniers, le RGPD prévoit l’obligation de mener une « étude d’impact« .

La PIA devra contenir :

  • une description du traitements et de ses finalités ;
  • une évaluation de la nécessité du traitement :
  • une appréciation des risques ;
  • les mesures envisagées pour traiter ces risques et se conformer au RGPD.

5 – Mettre en application des procédures internes

Pour qu’une organisation soit conforme, des processus doivent être établis en interne. Ces process doivent être organisés et communiqués à l’ensemble des collaborateurs manipulant des données personnelles.

Ces process internes doivent garantir la sécurité et la collecte « raisonnée » des données personnelles ; mais aussi prévoir l’exercice des droits des personnes concernées ainsi que les démarches à mener en cas d’incidents. L’ensemble des process qui prouvent la conformité de l’organisation au RGPD est définit par la notion « d’accountability » par la CNIL.

En effet, dans ce cas, le GDPR prévoit qu’une organisation victime de vol, fuite ou perte de données devra prévenir la CNIL dans un délai de 72H (après le constat de l’incident) ainsi que les personnes concernées.

6 – Créer un document qui démontre la mise en conformité au RGPD

Une organisation doit constituer un dossier documentaire permettant de justifier que le traitement des données personnelles est conforme au règlement. Ce document devra comporter :

  • La documentation sur les traitements de datas personnelles ;
  • Les mentions d’informations ;
  • Les contrats et process.

Toute organisation doit donc avoir organisé sa conformité au RGPD à partir du 25 Mai 2018 mais également prévoir le maintien de cette dernière. Les documents devront être mis à jour régulièrement.

Exemples d’actions concrètes à mener

Après la théorie et les grands principes des actions concrètes seront à mener, en voici une liste non-exhaustive…

  1. La conformité de votre entité à cette nouvelle règlementation pourra passer par une déclaration officielle de votre DPO auprès de la CNIL. En effet, les organisations soumises à l’obligation de nommer un DPD devront le faire directement sur le site de la CNIL. Grâce à cette déclaration en ligne, la CNIL détient les coordonnées du DPN, qui sera son interlocuteur privilégier en cas de contrôle ;
  2. Appliquer les grands principes de « privacy by design » et privacy by default » : ne collecter que les infos nécessaires, mettre en place une charte des bonnes pratiques applicable par tous les collaborateurs, mettre en oeuvre des process de sécurité… ;
  3. S’assurer de la conformité des sous-traitants ;
  4. Réaliser des études d’impact ;
  5. Revoir les contrats et documents relatifs à la protection des données (clause de confidentialité, conditions générales d’utilisation, charte de gestion des cookies, mentions dans les formulaires…) ;
  6. Tenir un registre des traitements et le mettre à jour régulièrement ;

Conséquences du RGPD sur les actions marketing

Les actions marketing sont les plus impactées par le RGPD. Les habitudes d’exploitation et d’utilisation des données personnelles sont bouleversées. En effet, le consentement des personnes est au cœur des préconisations du RGPD. Certaines pratiques sont désormais interdites, et la preuve d’un consentement éclairé devra être apporté en cas de contrôle.

Finies les cases pré-cochées… Vive l’opt-in !

L’entrée en vigueur du RGPD sonne la fin des envois abusif de newsletter, du profilage sans autorisation… Depuis le 25 Mai 2018, pour que des données soient exploitables (adresse mail notamment), la personne concernée aura dû apporter un consentement librement donné et traduit par une action positive. C’est-à-dire que les pratiques d’opt-out (case pré-cochée) ne sont plus conformes, l’utilisateur devra cocher, de son plein gré, la case d’inscription ou remplir le formulaire dédié (opt-in).

Le double opt-in, pas obligatoire… Mais vivement encouragé !

Les formulaires opt-in sont donc à présent le minimum requis pour exploiter une adresse mail. Le double opt-in n’est, quant à lui, pas obligatoire mais il présente des avantages certains. Il consiste en demander une approbation 2 fois via par exemple un formulaire opt-in puis un email de confirmation.

Cette double sécurité permet de se constituer une BDD, peut-être moins conséquente qu’avec les anciennes méthodes de recueil, par contre bien plus qualitative. Les personnes concernées auront clairement fait le choix de recevoir ces informations précises et le double opt-in permet de s’assurer que l’adresse renseignée est bien la bonne…

A lire : RGPD et messagerie professionnelle : quelles conséquences ?

Un nouveau cadre juridique en matière de profilage marketing

Toujours dans le cadre des actions marketing, attention au profilage qui est lui aussi bien plus encadré : la règlementation varie s’il est associé ou non à une prise de décision automatisée. Toutefois, un accord donné pour l’envoi d’une newsletter ne vaut pas pour le profilage. Chaque action menée doit faire l’objet du consentement des personnes concernées.

Consentement B2C vs B2B : quelle différence ?

Nota Bene : toutes ces notions de consentement ne sont valables que dans des relations BtoC. En effet, le consentement n’est pas requis pour des actions marketing BtoB, des lors qu’elles ne sont pas considérées comme abusives.

Par exemple, malgré une relation BtoB un glacier ne pourra pas faire de campagnes emailing auprès des coiffeurs de France. Par contre, une société de service informatiques pourra mener une campagne ciblée auprès de DSI, ou une autre auprès de commerçants…

Sanctions prévues en cas de non-respect

La mise en place de ce nouveau règlement implique des sanctions en cas de non respect. Toucher au porte-monnaie est une méthode presque infaillible pour que toutes les organisations se plient aux exigences du GPDR. En cas de non-respect du RGPD, les sanctions encourues par les entreprises peuvent être lourdes :

  • Avertissement ;
  • Mise en demeure ;
  • Suspension d’un flux de données ;
  • Limitation temporaire ou définitive d’un traitement ;
  • Amendes pouvant s’élever jusqu’à 20 millions d’euros pour les infractions les plus graves ou jusqu’à 4% du chiffre d’affaires annuel mondial (le montant le plus élevé sera retenu).

De quoi faire réfléchir les sociétés et engager rapidement les actions de mise en conformité. De plus, au-delà des sanctions financières infligées en cas de non-respect du RGPD, la société met également en jeu sa notoriété et sa crédibilité. Alors, plutôt que de considérer cette mise en conformité comme une menace/contrainte, pourquoi ne pas la considérer plutôt comme une réelle opportunité de développement ?