Le RGPD en 3 points

Système d’information

Le Règlement Général pour la Protection des Données personnelles (RGPD) s’impose comme la préoccupation du moment.

En effet, ce règlement européen entrera en vigueur dans un peu plus d’un an en Mai 2018, et complètera/remplacera la loi Informatique et Libertés de 1978 pour tout ce qui a trait aux données personnelles, en permettant la création d’un cadre de référence européen, plutôt qu’un ensemble de réglementations locales inégales.

Aujourd’hui, beaucoup est dit autour de ce règlement, mais cela n’empêche pas les décideurs d’être pris de court devant cette nouvelle réglementation, surtout au vu des impacts que celle-ci va avoir sur l’activité quotidienne de l’entreprise.

Plutôt qu’une analyse exhaustive des 88 pages du règlement (version française disponible ici), nous vous proposons de retenir 3 points marquants.

Cet article n’a pas vocation à dresser un panorama exhaustif des nouvelles obligations, nous reviendrons dans un autre article sur d’autres points marquants de ce règlement.

Avant de commencer, un petit point de vocabulaire :

  • Donnée personnelle : toute donnée permettant l’identification directe ou indirecte d’une personne physique (nom, prénom, âge, pseudonyme, matricule, ethnicité, religion,…).
  • Responsable de traitement : ce terme désigne l’entreprise.
  • Sous-traitant : toute personne mandatée par le responsable de traitement pour l’accomplissement d’un traitement.
  • Destinataire : personne physique ou morale qui reçoit des données, mais qui n’effectue pas de traitement (service SaaS par exemple).
  • Autorité de contrôle : autorité nationale en charge du respect des législations portant sur les données personnelles; en France, la CNIL.

Un point sur la portée de ce règlement : ce dernier s’applique à tout responsable de traitement établi dans l’Union Européenne, et à l’ensemble de données qui sont relatives à un citoyen européen ou à un citoyen d’un autre pays dont les données ont été générées au sein de l’Union Européenne.

Ce règlement s’applique donc aussi aux sous-traitants établis en dehors de l’Union Européenne qui traitent des données de citoyens européens ou de citoyens d’un autre pays dont les données ont été générées au sein de l’Union Européenne.

Enfin, les sites Internet établis en dehors de l’UE, mais qui visent manifestement à adresser les citoyens européens sont aussi concernés : par exemple, il peut s’agir d’un site établi aux Etats-Unis, dont l’interface est disponible en français, italien, espagnol, allemand et dont les prix sont affichés en euro.

1 – Le registre d’activité s’impose

Le registre d’activité est une nouveauté. Il s’agit d’un document qui liste l’ensemble des traitements que le responsable de traitement mène, et qui doit pouvoir être transmis à l’autorité de contrôle.

A noter qu’un sous-traitant est lui-même responsable de traitement (pour le compte d’un autre responsable de traitement) : cette obligation s’impose donc de plein droit.

Ce registre doit indiquer :

  • Le nom et les coordonnées du responsable du traitement, éventuellement son représentant, voire son Délégué à la Protection de la Donnée (DPD) ;
    • Lorsqu’il s’agit d’un sous-traitant en charge du traitement, les mêmes informations doivent apparaître.
  • La finalité du traitement ; 
    • Par exemple : “Traitement visant la communication hebdomadaire de nos offres promotionnelles”.
  • La description des catégories de personnes et des catégories de données personnelles ;
    • Par exemple : “Personnes ayant un historique de commande depuis l’établissement de l’entreprise” et “Traitement des données prénom et email”.
  • Les catégories de destinataire des données ;
    • Par exemple : “Mailchimp pour l’envoi des communications”.
  • Les documents attestants des garanties de sécurité appropriées ;
    • Par exemple, des résultats d’audit, des attestations provenant des éditeurs garantissant le respect de la confidentialité, etc.
  • Si possible, la description des mesures appropriées ;
    • Il s’agit notamment d’illustrer la façon dont le responsable de traitement s’est structuré pour garantir le respect de la confidentialité des données,
    • Il peut s’agir d’un processus illustré avec les personnes en charge de chacune des actions, avec les responsabilités et les limitations d’accès aux données correspondantes.

A noter que les entreprises de moins de 250 employés sont dispensées d’une telle obligation, sauf dans les cas suivants :

  • Les traitement font courir un risque pour les droits et libertés des personnes.
  • Les traitements concernent des données personnelles telles que visées à l’article 9 du règlement (par exemple, des données relatives à la religion, l’ethnicité,…).
  • Les traitements concernent des données personnelles visées par l’article 10 du règlement (liées à des infractions et des condamnations pénales).
  • Les traitements ne sont pas occasionnels, c’est à dire qu’ils sont réguliers dans le temps.

Enfin, le règlement précise bien que le responsable de traitement doit garantir la sécurité du traitement…en fonction des coûts et des risques.

Les responsables de traitement devront donc mener un audit de leurs traitements et identifier les mesures de sécurités déjà en place ou qui devront être mises en oeuvre pour sécuriser le traitement.

Ainsi, un traitement portant sur des données hautement sensibles (données de santé, données visées par l’article 9 ou 10) mais ne faisant l’objet d’aucune mesure de sécurité particulière (pas de chiffrement, de pseudonymisation, ou transmises à un sous-traitant ne présentant aucune garantie particulière) aura de fortes chances de faire l’objet d’une sanction exemplaire considérant les risques portant sur les droits et libertés des personnes dont les données sont traitées (respect de la vie privée notamment).

A l’inverse, la pseudonymisation d’un traitement portant sur des campagnes marketing emailing est sans doute disproportionné au vu des risques encourus.

En résumé, cette disposition va permettre aux entreprises de reprendre la main sur les différents traitements qui sont effectués : que ces traitements soient affectés à des besoins cœur de métier (communication auprès de clients, facturation de clients, traitements statistiques,…) ou support (calcul de la paie, communication marketing), tous ces traitements et leurs effets devront être identifiés.

2 – Le Délégué à la Protection de la Donnée n’est pas obligatoire

Le Délégué à la Protection de la Donnée, DPD (ou Data Privacy Officer en anglais, DPO) est souvent cité comme l’obligation phare imposée par la RGPD.

Sauf que cette obligation ne s’impose pas à tous les responsables de traitement.

L’article 37 du règlement le précise : le DPD est obligatoire si

  • Le responsable de traitement est une autorité ou un organisme public.
  • Les activités de base du responsable de traitement (ou du sous-traitant) sont par leur nature, leur portée ou leur finalité demandent un suivi régulier
    • Par exemple, une entreprise offrant des biens ou des services à la vente du public (B2C ou B2B2C).
  • Ou si les activités de base du responsable de traitement (ou du sous-traitant) consistent en un traitement de données à grande échelle, ou concernent les données visées par l’article 9 ou 10.
    • Par exemple, une entreprise spécialisée dans le traitement de données statistiques.

Dans les autres cas, il n’existe pas de contrainte posée par le règlement; cette contrainte peut en revanche être créée par la loi nationale.

S’il n’est pas obligatoire, le DPD doit en revanche présenter des qualités professionnelles et des connaissances juridiques le rendant apte à l’accomplissement de cette mission. Si vous disposez d’un Correspondant Informatique et Libertés, c’est le profil parfaitement adapté à cette mission.

En effet, son rôle est d’être un relais de l’autorité de contrôle nationale, et un point de contact privilégié pour cette dernière. Sa mission au sein de l’entrepris est d’apporter une assistance et un conseil au responsable de traitement pour garantir le respect des obligations portées par la RGPD.

3 – Une relation avec le client à encadrer…et approfondir

La RGPD précise les droits des personnes à accéder aux données personnelles qui sont stockées chez un responsable de traitement. De plus, il existe désormais une obligation d’informer une personne de la possible compromission de ses données en cas d’attaque.

Le responsable de traitement est tenu d’organiser et de prévoir les cas où une personne veut faire rectifier les informations dont dispose le responsable de traitement, mais aussi les traitements qui sont effectués sur ces données, ou encore la portabilité de ces données vers un autre responsable de traitement.

Le règlement précise ainsi que toute personne peut demander l’accès, la modification, la rectification ou la suppression des données qui lui sont relatives, à condition de prouver son identité de façon indiscutable au responsable de traitement.

De même, la portabilité des données doit être organisée autour d’un format de donnée couramment utilisé et lisible par machine.

De même, le consentement des personnes doit être recueilli de façon explicite pour chacun des traitements qui seront effectués : le responsable de traitement doit être en capacité de prouver à l’autorité de contrôle qu’il dispose du consentement clairement exprimé de chacune des personnes dont il traite les données, sous peine de sanction.

Ce consentement peut être donné sous diverses formes : consentement écrit, case à cocher,…

L’essentiel est que la demande de consentement présente clairement la portée et la finalité du traitement, et que la personne dispose du droit de retirer son consentement ultérieurement.

Enfin, le responsable de traitement doit prendre en charge la notification de toute modification des données à l’ensemble de la chaîne de traitement.

Un point à noter : si le consentement a été recueilli sous une forme correspondant à la directive européenne 2002/58/CE, ou au sens de la loi Informatique et Libertés (qui fait la transposition de la directive européenne 2002/58/CE), il n’est pas nécessaire de le recueillir à nouveau.

Rappel – un règlement à prendre au sérieux sous peine de sanctions

C’est un point mentionné de façon incontournable dans tous les articles sur le sujets : les sanctions infligées aux responsables de traitement qui ne respectent pas les obligations imposées par le règlement sont lourdes.
Pour une infraction à une obligation “classique”, la sanction peut se monter à 10M€, ou 2% du CA.
Pour une infraction “aggravée”, comme par exemple le non respect de sécurité sur les données mentionnées aux articles 9 et 10, la sanction peut s’élever à 20M€, ou 4% du CA.

De même, le non respect d’une injonction d’une autorité de contrôle peut s’élever à 20M€ ou 4% du CA.

2 réflexions au sujet de “Le RGPD en 3 points”

  1. Bonjour,

    Concernant le registre d’activité, est ce que ca veut dire que l’on doit historiser dans le détail toute requete faite par un opérateur et conserver l’historique de ces demandes pour un possible contrôle ?
    Ou juste que l’on doit préparer un document en amont qui explique de manière détaillé les types de traitement qui vont être fait et le mettre à jour lorsque l’on met en place de nouveaux types de traitement?

    Répondre
    • Bonjour,

      Aujourd’hui, l’obligation identifiée porte sur le document « en amont » : l’enjeu est d’identifier de façon claire les traitements menés au sein de l’entreprise, afin de pouvoir réagir en cas de données compromises et de pouvoir tracer la chaine d’actions.

      Rien n’empeche d’historiser les traitements, ou de conserver les historiques de demande : c’est au contraire une preuve de bonne foi pour respecter la confidentialité des données personnelles.
      De plus, à terme, ce sont des aspects qui pourraient être mentionnés dans des codes de conduite visant à établir les bonnes pratiques.

      Mais en l’état actuel du règlement, rien n’impose cela.

      Répondre

Laisser un commentaire