Il aura fallu 4 ans de négociation, 99 articles et 4 000 amendements pour aboutir à un texte unique adopté par le Parlement européen en avril 2016.
Êtes-vous concernés par le RGPD ?
LE RGPD EN QUELQUES MOTS
Le RGPD est le texte de référence européen en matière de protection des données à caractère personnel.
Il remplace l’actuelle directive sur la protection des données personnelles adoptée en 1995.
Nom de code : RGPD (acronyme français de Règlement Général de Protection des Données)
Date d’entrée en vigueur : le 25 mai 2018
Les règles du GDPR (RGPD en français) s’appliqueront à toutes les entreprises privées ou publiques des 28 états membres de l’Union Européenne.
Cette nouvelle réglementation s’adresse aux organismes publics et privés qui traitent, manipulent, gèrent ou stockent des données à caractère personnel sur les résidents de l’UE.
Le RGPD s’applique (Art. 3) « Si le responsable de traitement ou le sous-traitant est établi dans l’UE » ou « Si les activités de traitement sont liées à l’offre de biens ou de services à des personnes établies dans l’Union (peu importe que cette offre fasse l’objet d’un paiement ou non), ou au suivi du comportement dans l’UE de ces personne »
Quelques exemples d’opérations considérées comme des traitements : Collecte, enregistrement, organisation, structuration, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion, mise à disposition, rapprochement, interconnexion, limitation, effacement, destruction,…
Qu’est-ce qu’une DONNÉE PERSONNELLE ?
Date de naissance, adresse postale, adresse email, adresse IP, activité professionnelle, n° sécurité sociale,…
… toute information se rapportant à une personne physique identifiée ou identifiable.
Le Règlement ajoute qu’est ainsi réputée être une « personne physique identifiable », une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant comme son nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
La notion de données personnelles est donc extrêmement large !
Le RGPD poursuit un double objectif en uniformisant les règles applicables au sein de l’UE :
- Réaffirmer ou renforcer le droit des personnes à la protection de leurs données personnelles (droit à l’accès, droit à l’oubli, droit à la portabilité,…)
- Réaffirmer la libre circulation des données à caractère personnel
Le RGPD n’a pas vocation à freiner ou réduire les collectes ou les traitements de données mais à les encadrer par des mesures techniques et organisationnelles propres à protéger les données personnelles en responsabilisant tous les intervenants.
L’accountability est le principe fondamental du règlement européen. Il consiste en une responsabilisation plus forte des entreprises qui doivent être en mesure de démontrer à tout moment qu’elles respectent les principes relatifs aux traitements des données personnelles.
Le RGPD, outre de créer de nouveaux droits pour les personnes concernées par les traitements de données personnelles, modifie substantiellement notamment :
- La responsabilisation des intervenants dans les traitements de données en leur imposant des mesures techniques et organisationnelles permettant le respect des principes gouvernant la protection des données personnelles tels qu’issus du RGPD.
- La responsabilité des intervenants dans les traitements de données en plaçant au même niveau de responsabilité le sous-traitant et le responsable de traitement (jusqu’ici seul concerné par cette responsabilité) et en imposant la contractualisation de leurs relations et certaines obligations réciproques.
Le RGPD, contrairement à la réglementation actuelle, prône une responsabilisation de chaque intervenant dans les traitements en influant notamment sur son organisation afin d’assurer le respect de ses obligations légales.
Mettre en place le RGPD
Organisation publique ou privée, vous êtes concerné par les obligations relatives au RGPD. Le manquement à ces nouvelles normes relatives au traitement des données personnelles entraîne des sanctions administratives. Mais ces infractions peuvent également entraîner des condamnations pénales. Le cadre législatif élargi au niveau européen demande la plus grande vigilance de la part des responsables de traitements. Le choix de sous-traitant ayant mis en place les processus qui respectent le RGPD s’avère indispensable.
Quelle que soit votre structure organisationnelle, vous devez nommer un Data Protection Officer ou Délégué à la Protection des Données. Le DPO est interlocuteur nommé pour assurer le respect des normes de protection des données personnelles. Désigné à la CNIL, il sensibilise les équipes, met en œuvre les chantiers pour la mise en conformité, et se charge de la création des documents à présenter en cas de contrôle. Le RGPD est applicable des communications créées pour la collecte des données, et jusqu’aux usages faits de ces informations personnelles. Leurs utilisations pour remplir des objectifs marketing et commerciaux sont au centre des problématiques.
Le consentement, une notion essentielle du RGPD
Dès la collecte de la donnée personnelle, il est indispensable de prendre en compte le RGPD. La notion de Privacy by design incite les créateurs d’interfaces en ligne à penser l’ensemble des actions réalisées par l’utilisation selon le Règlement Général sur la Protection des Données.
L’absence d’incitation, ainsi que la transparence complète sur l’usage prévu pour les données sont des éléments indispensables. En cas de doute sur les formulations utilisées, l’œil d’un juriste permet de s’assurer de la conformité au RGPD. De la même manière, pour ne pas rendre flou les conditions acceptées par l’utilisateur, les demandes d’acceptation relatives aux données personnelles doivent être bien séparées des autres conditions générales pratiquées. On parle alors de consentement pour “toute manifestation de volonté, libre, spécifique, éclairée et unique par laquelle la personne accepte, par une déclaration ou par acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”.
**Le RGPD n’accepte aucune ambiguïté ! **
Parmi les craintes les plus présentes chez les consommateurs, la réception de messages publicitaires non sollicitée va directement à l’encontre des bonnes pratiques du RGPD. C’est la raison pour laquelle le consentement doit être clairement défini. Les utilisateurs concernés bénéficient impérativement d’une interface de désinscription et d’un droit d’oubli rapide et simple d’accès. La dissimulation des moyens qui permettent le retrait du consentement est également une effraction. Le consommateur est dans son droit pour porter plainte auprès de la CNIL, et pour engager des procédures pénales.
Des compétences techniques indispensables
Délégué à la protection des données privées, le DPO a pour responsabilité la mise en conformité des normes demandées par le RGPD à partir de mai 2018. Le respect du cadre juridique demandé pour le consentement, ainsi que pour le traitement des informations personnelles, sollicite des compétences techniques en ingénierie des systèmes d’information.
**Le saviez-vous ? : La protection des données personnelles fait partie des droits fondamentaux formalisés par l’Union européenne. **
Lors d’une opération de contrôle, vous devez être en mesure de présenter les dispositifs qui permettent à votre organisation de respecter le RGPD. Une cartographie des traitements des données ainsi que les registres d’activités des traitements sont parmi les documents préconisés. Leurs conceptions doivent veiller aux normes techniques, notamment pour assurer les exigences relatives à la cybersécurité. Que les données soient stockées sur des serveurs locaux ou dans le Cloud, le responsable des données et le sous-traitant sont responsables des méthodologies de structuration des informations personnelles, ainsi que de leurs sécurisations.
