Notez cette article

Le « RGPD » Règlement général européen relatif à la protection des données personnelles, a suscité l’émotion et a fait couler beaucoup d’encre depuis plusieurs années jusqu’à son entrée en vigueur le 25 mai 2018.

Certes, le RGPD est un bouleversement à maints égards. Si certains le présentent comme une nouvelle législation imposant des obligations et responsabilités additionnelles importantes aux entreprises et
entraînant des coûts substantiels pour une mise en conformité, d’autres le voient comme une
réelle opportunité de connaissance approfondie des données, notamment personnelles, gérées
par leurs entreprises permettant d’initialiser une stratégie tant de « big data » (pour mieux
appréhender leurs ressources et leurs potentielles exploitations) que d’optimisation des
services offerts à leurs clients (pour améliorer leur positionnement sur le marché).

Mais que prévoit vraiment le RGPD et qu’impliquent ses dispositions pour les entreprises ? Il paraît essentiel de comprendre – dans les très grandes lignes et en résumé (173 considérants et 99 articles)

  • ce qu’est et ce que change le RGDP avant d’élaborer et de démarrer tout programme de mise
    en conformité pour que l’entreprise puisse mieux identifier et adapter ses actions et contrôler,
    voire limiter, ses coûts et assurer la pérennité des investissements consentis pour être en
    conformité.
RGPD

Que veut dire RGPD – GDPR?

Le sigle RGPD signifie « Règlement Général sur la Protection des Données » . Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.

En anglais

« General Data Protection Regulation » ou GDPR)

C’est quoi la loi rgpd – le règlement européen données personnelles?

Le RGPD est un « règlement » européen et est donc applicable directement dans chacun des pays de l’Union européenne. De par sa nature supranationale, il prévaudra en cas de conflit entre les États membres ne figure pas dans le RGPD et reste en conséquence soumis à la législation nationale de chaque pays.

En France par exemple, les traitements de données personnelles nécessitant une autorisation préalable de la CNIL, telles que données biométriques ou habitudes comportementales, continueront à faire l’objet d’une demande d’autorisation tant qu’un texte législatif national n’aura pas modifié ou abrogé cette obligation.

La notion de données personnelles a été maintenue dans une acception large et couvre toute donnée permettant une identification directe ou indirecte d’un individu.

Quelles sont les données personnelles rgpd ?

La notion de données personnelles a été maintenue dans une acception large et couvre toute donnée permettant une identification directe ou indirecte d’un individu.

Qui est concerné par le rgpd ?

Le RGPD s’applique :

(i) aux entreprises localisées dans l’Union européenne, peu importe que les traitements aient lieu ou non dans l’Union, ainsi que

(ii) à tout traitement concernant des données personnelles de personnes se trouvant sur le territoire de l’Union européenne lorsque les traitements proposent des biens et des services, payants ou non, à ces personnes ou concernent leur comportement au sein de l’Union européenne.

Ces entreprises, localisées dans l’Union européenne ou non, sont ainsi des « responsables de traitement » qui doivent à ce titre engager des démarches de vérification de conformité ou de mise en conformité. S’y ajoutent tous les traitements des entreprises (responsables de traitement) localisées dans un lieu où le droit d’un État membre de l’Union européenne s’applique en vertu du droit international privé.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits au Maroc pour ses clients moyen-orientaux doit respecter le RGPD.

De même, une société établie en Chine, proposant un site de e-commerce en français livrant des produits en France doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Ainsi, si vous traitez ou collectez des données pour le compte d’une autre entité (entreprise, collectivité, association), vous avez des obligations spécifiques pour garantir la protection des données qui vous sont confiées.

Est-ce que le rgpd est obligatoire ?

Le RGPD prévoit des sanctions administratives sévères pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Ces amendes administratives peuvent se cumuler à toute autre amende administrative (pour entrave à l’action de la CNIL par exemple) et à toute amende prononcée par une juridiction pénale (les violations des dispositions de la loi Informatique et Libertés constituent des infractions pénales) ainsi qu’aux éventuelles indemnisations octroyées par une juridiction civile aux victimes de ces violations.

Quel sont les objectif du rgpd ?

a) Le RGPD renverse la situation : le citoyen (re)prend le contrôle de ses données personnelles et les entreprises n’en sont plus que les « dépositaires » (doivent être prises en compte et mises en œuvre les notions de privacy by design, security by default, etc.).

b) Le RGPD renverse la situation : il supprime les formalités déclaratives préalables auprès des autorités de protection des données personnelles locales. En conséquence, la responsabilité de l’entreprise n’en devient que plus lourde : il lui appartiendra de pouvoir justifier ab initio et spontanément de sa conformité au RGPD et aux législations nationales en cas de contrôle (des mesures spécifiques de gestion des informations relatives à la conformité devront être réalisées).

c) Le RGPD renverse la situation : il appartient tant au responsable de traitement qu’au soustraitant de rapporter la preuve que le dommage ne lui est pas imputable pour pouvoir prétendre à une exonération de sa responsabilité.

Les exigences de la RGPD

Le RGPD exige la mise en place d’un délégué à la protection des données personnelles (Data ProtectionOfficer ou « DPO ») pour les responsables de traitement et les sous-traitants lorsque :

  • (i) leurs activités de base exigent un suivi régulier, systématique à grande échelle de par leur nature, portée ou finalités ou
  • (ii) leurs activités de base consistent en un traitement à grande échelle de données personnelles sensibles (i.e origine raciale, ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données génétiques ou biométriques, de santé, ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.) ou de données personnelles relatives à des condamnations pénales et à des infractions. Ainsi sont concernées toutes les entreprises ayant des activités commerciales soutenues ou dotées d’un nombre important de salariés.

Tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes de par sa nature, sa portée, le contexte, les finalités poursuivies ou les technologies utilisées, implique pour l’entreprise d’effectuer une analyse d’impact avant sa mise en œuvre. Cette analyse est obligatoire lorsqu’il s’agit :

  • (i) d’un traitement automatisé d’évaluation systématique et approfondie d’aspects personnels (notamment profilage) pouvant « avoir des effets juridiques » ou affecter « de manière significative » les personnes dont les données sont exploitées,
  • (ii) d’un traitement à grande échelle de données personnelles sensibles ou relatives à des condamnations pénales et à des infractions et
  • (iii) de la surveillance systématique à grande échelle d’une zone accessible au public.

RGPD et CNIL

Le RGPD impose aux responsables de traitement la notification à la CNIL dans les meilleurs délais et si possible dans les 72 heures après en avoir été informé, de toute faille de sécurité si celle-ci est susceptible d’engendrer un risque pour les droits et les libertés des personnes. Cette notion de faille couvre tant les cyber attaques entraînant la fuite de données personnelles que le vol ou la perte de tout équipement notamment mobile pouvant contenir des fichiers de données personnelles (tels que tablettes, ordinateurs portables, smartphones, etc.).

RGPD Règlementations : Dates et Textes officiels

Le règlement vise à remplacer la directive européenne de 1995 sur la protection des données à caractère personnel (95/46/CE), par une législation unique, afin de mettre fin à la fragmentation juridique actuelle entre les Etats membres.

Le règlement général sur la protection des données – RGPD

23 mai 2018

Règlement européen 2016/679

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Directive 2016/680

DIRECTIVE (UE) 2016/680 DU PARLEMENT EUROPÉEN ET DU CONSEIL

du 27 avril 2016

relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil

Ce qu’il faut comprendre – mise en conformité

a) La mise en conformité ne peut réussir que s’il s’agit d’un travail collectif et collaboratif au sein de l’entreprise :

  • (i) collectif – c’est-à-dire vertical – en ce que toute l’entreprise doit être engagée dans le processus, de la direction aux salariés, à des niveaux d’implication plus ou moins élevés ;
  • (ii) collaboratif – c’est-à-dire horizontal / transversal- en ce que tous les départements (marketing / opérationnels, DSI, RH, juridique, finances & audit) doivent être en soutien ou pleinement partie prenante des travaux effectués ainsi que des processus et des règles qui seront élaborés dans le cadre de la mise en conformité. L’entreprise doit donc mettre en place une équipe pluridisciplinaire comprenant au moins un représentant de chacun de ses départements qui suivra et participera à la mise en place du programme de conformité, et sera en capacité d’effectuer des comptes rendus réguliers à ses équipes comme à ses supérieurs hiérarchiques.

b) La mise en conformité ne peut être fiable que si

  • (i) l’équipe adopte un vocabulaire commun et clairement défini, pour que tous en aient la même compréhension et la diffusent au sein de leurs équipes dans la même signification, et si
  • (ii) le programme prend en compte l’ADN de l’entreprise et ses spécificités. Envisager et espérer une mise en conformité « cléen main » (par opposition à une mise en conformité « sur-mesure »), en ayant recours uniquement à des tiers (consultants ou conseils), ne pourra garantir à l’entreprise ni une véritable mise en conformité au regard des habitudes et gestes métiers de l’entreprise, ni une continuité dans les procédures internes mises en œuvre pour assurer le maintien de cette conformité.

c) La mise en conformité ne peut être effective que si elle adopte une approche globale : l’entreprise doit prendre en considération tous les aspects des données personnelles qu’elle détient ou exploite. Cela concerne principalement les thèmes suivants :

  • (i) la collecte de données personnelles et la capacité de l’entreprise à prouver la bonne information (notion de « transparence ») de la personne dont les données personnelles sont collectées notamment quant aux finalités poursuivies (cf. « profilage » plus particulièrement pour du marketing ciblé) et quant au caractère éclairé et non équivoque du consentement obtenu,
  • (ii) la traçabilité des accès et des flux des données personnelles au sein de l’entreprise et hors de l’entreprise,
  • (iii) la gestion des données personnelles RH (les salariés sont des citoyens « presque » comme les autres),
  • (iv) les mesures de sécurité mises en œuvre relatives à la protection de son système d’information et plus particulièrement de ses fichiers de données personnelles (contrôle des accès, chiffrement des bases de données personnelles, classification des données personnelles – sensibles / critiques – stockage sur les serveurs, en local et sur terminaux mobiles, hébergement en data center, archivage et purge – durée de conservation),
  • (v) ses relations contractuelles avec ses prestataires et sous-traitants, notamment quant à la vérification du respect de leurs obligations au regard des dispositions du RGPD et des lois nationales applicables,
  • (vi) les transferts de données personnelles éventuels vers des pays hors de l’Union européenne.

d) La mise en conformité ne peut être productive et économiquement intéressante que si l’entreprise prend le temps et met l’énergie (i.e. les ressources humaines et les moyens financiers et matériels) pour élaborer une véritable stratégie de gouvernance « data » (big data, données personnelles clients / patients / etc., data ressources humaines).

e) La mise en conformité ne peut être pérenne que si l’entreprise met en place un Comité « données personnelles » aux côtés du DPO, dédié notamment à la gestion et aux règles, y compris de responsabilités, relatives aux données personnelles au sein de l’entreprise. Ce comité permettra l’évolution de la stratégie et de la gouvernance relatives aux données personnelles au fil des ans et travaillera en étroite collaboration avec le DPO.

f) En cas de contrôle, et pour apprécier la responsabilité de l’entreprise en cas de non-respect de la conformité (et donc pour évaluer le montant des sanctions à prononcer), il sera vraisemblablement recherché si l’entreprise a commis la violation :

  • (i) intentionnellement ou
  • (ii) par négligence, ou
  • (iii) si celle-ci relève d’une situation ponctuelle et indépendante de la volonté de l’entreprise. Les efforts et les ressources mis en œuvre par l’entreprise aux fins de mise en conformité seront examinés et évalués pour déterminer s’ils étaient appropriés et suffisants au regard du volume et des usages des données personnelles dans l’entreprise.

Ce qu’il faut faire – Obligation de l’entreprise

a) L’entreprise doit connaître son environnement « data » : elle doit :

  • (i) identifier son patrimoine informationnel en matière de données personnelles (cartographies, recoupements, etc.),
  • (ii) identifier ses exploitations et ses flux internes, externes, intra-Union européenne, hors Union européenne – le Brexit doit être pris en compte -,
  • (iii) identifier ses niveaux de sécurité tant de son système d’information que de ses bases de données personnelles, et éventuellement les harmoniser ou les renforcer, et
  • (iv) déterminer les niveaux de criticité des données personnelles collectées.

b) L’entreprise doit mettre en place une méthodologie de collecte et conservation des informations en déterminant les gestes métiers permettant ainsi de garantir :

  • (i) une traçabilité des consentements et des consultations et mises à jour des données personnelles ainsi que
  • (ii) une bonne gestion des procédures de stockage, archivage et suppression qui doivent être connues, maîtrisées et contrôlées.

c) L’entreprise doit faire preuve de pédagogie au travers de :

(i) l’information

(ii) la formation de ses salariés et sous-traitantset

(iii) la sensibilisation de ceux qui exploitent effectivement ces données personnelles.

d) L’entreprise doit créer un espace de stockage numérique dédié à son « socle documentaire »

e) L’entreprise doit programmer des audits réguliers de sa conformité et effectuer des études d’impact ponctuelles (ab initio, pendant le programme ou ultérieurement selon les traitements concernés) sur les traitements qu’elle considère les plus critiques, que ce soit en raison du nombre de données personnelles concernées ou de leur niveau de sensibilité.

CE QU'IL FAUT SAVOIR SUR L’ANALYSE D’IMPACT RELATIVE À LA PROTECTION DES DONNÉES (AIPD)

f) L’entreprise doit rédiger une procédure de gestion de crise adaptée aux événements liés aux données personnelles et constituer une cellule de gestion de crise spécifique.

g) L’entreprise doit préparer une communication, notamment de crise

h) L’entreprise doit négocier ses conditions d’assurance au regard de ses cyber-risques et de ses risques en matière de données personnelles.

Pour la majorité de ces opérations, il est possible de recourir à des sociétés informatiques qui ont
développé des outils logiciels spécifiques permettant d’obtenir rapidement et efficacement des
résultats exploitables à des niveaux plus ou moins macro. Mais un travail de vérification et d’affinage des informations obtenues par l’équipe pluridisciplinaire sera toujours nécessaire. Il est aussi possible, voire recommandé, de se faire accompagner par des consultants ou des conseils spécialisés dans la conduite d’un programme de mise en conformité, qui pourront faciliter sa mise en œuvre et accélérer sa progression notamment par un encadrement strict et la fourniture d’une documentation adéquate.

Un programme de mise en conformité doit être abordé comme un chantier ou un projet au sein de l’entreprise. Un chef de projet, une équipe dédiée, un budget et le soutien de la direction sont les prérequis nécessaires pour assurer sa réussite. Si les données personnelles sont considérées comme le nouveau pétrole du XXIe siècle, les réglementations en vigueur et à venir vont imposer aux entreprises de les traiter comme de la TNT : une source extrêmement puissante dont il faut connaître parfaitement les caractéristiques et qu’il faut savoir manipuler avec la plus grande précaution. Mais une fois connues et maîtrisées, les données personnelles peuvent offrir aux entreprises des opportunités quasi infinies

Laisser un commentaire

rgpd