En application depuis le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) à pour objectif de responsabiliser les organisations publiques et privées qui traitent des données personnelles dans le cadre de leur activité.
Etant donné la complexité du sujet il est nécessaire d’en comprendre les principaux fondements.
Entré en vigueur le 25 mai 2018, le Règlement Général sur la Protection des Données s’inscrit dans la continuité de la loi française Informatique et Libertés de 1978, et remplace la dernière directive sur la protection des données, datant de 1995 devenu alors obsolète avec l’explosion du numérique
Le RGPD a pour principal objectif d’encadrer les pratiques en matière de collecte et d’utilisation des données personnelles sur le territoire de l’Union Européenne
Principe de finalité / licéité : collecte de données et constitution d’un fichier que dans un objectif, légal et légitime
Principe de proportionnalité et pertinence / minimisation des données : données collectées pertinentes et nécessaires au regard de la finalité du fichier
Principe de durée de conservation limitée : durée précise de conservation des informations fixée en fonction du type d’information et de la finalité du fichier
Principe de sécurité et de confidentialité : sécurité et confidentialité des données personnelles collectées
Droit des personnes : transparence / information des personnes, consentement à la collecte, droit d’accès, de rectification, d’objection et de suppression
By design / By default : Intégration dès la conception d’une offre de biens ou services des problématiques de protection des données / par défaut, la plus protectrice possible
Responsabilité : le responsable du traitement de données doit pouvoir démontrer le respect du RGPD
Le RGPD s’applique à toute organisation publique et privée qui traite des données personnelles pour son compte ou le compte de tiers dès lors qu’elle est établie sur le territoire de l’Union Européenne, et que son activité cible directement des résidents européens.
Elles concernent également les « sous traitants » qui traitent des données personnelles pour le compte d’un autre organisme privée et publique « Responsable de Traitement » dans le cadre d’un service ou une prestation.
Une « donnée personnelle » est « toute information se rapportant à une personne physique identifiée » (un nom, prénom…) ou « identifiable » (identifiant, numéro de client, téléphone…), il peut s’agir d’une donnée ou un croisement de données.
Un traitement de données personnelles est une opération ou un ensemble d’opérations portant sur les données personnelles quelque soit le procédé (informatisé ou papier) : collecte, enregistrement, organisation, consultation, utilisation, communication, diffusion…
Les données dites « sensibles » sont des données révélant l’origine raciale ou ethnique, portant sur des opinions politiques, philosophiques ou religieuses, relatives à l’appartenance syndicale, concernant la santé ou l’orientation sexuelle, génétiques ou biométriques. Les données d’infraction ou de condamnation judiciaire doivent être par ailleurs utilisées sous certaines conditions encadrées par la loi informatique et libertés et par le RGPD.
Une analyse d’impact sur la protection des données (AIPD) doit être menée quand le traitement est « susceptible d’engendrer un risque élevé pour les doits et libertés des personnes concernées » :
– Soit le traitement figure dans la liste des types d’opération de traitement (liste non exhaustive) pour lesquelles la CNIL a estimé qu’une AIPD était requise
– Soit le traitement remplit au moins deux des neuf critères suivants :
Cette analyse d’impact doit être menée avant de collecter et de mettre en œuvre le traitement et sur tout traitement susceptible d’engendrer des risques élevés sur les droits et libertés des personnes physiques . Elle permet de bâtir un traitement de données personnelles respectueux de la vie privée, d’apprécier les impacts sur la vie privée des personnes concernées et de démontrer que les principes fondamentaux du RGPD ont été respectés
Elle contient une description du traitement et de ses finalités, une évaluation de la nécessité et de la proportionnalité du traitement, une appréciation des risques sur les droits et libertés des personnes concernées les mesures envisagées pour traiter ces risques et se conformer au règlement.
1 – DESIGNER UN PILOTE DU RGPD – DPO
2 – MENER UN AUDIT POUR IDENTIFIER LES ÉCARTS CONSTATES PAR RAPPORT AUX EXIGENCES DU RGPD
Identification, recensement et cartographie des traitements de données de l’entreprise par service, site, application, extranet, intranet…, par catégorie de données personnelles traitées, par type d’acteurs traitant ces données (internes ou externes), par type d’objectif poursuivi, par destination : UE / hors UE.
Inventaire des solutions techniques et processus (accès interne ou externe, sauvegarde, conservation, destruction, alertes intrusion…)
Analyse des traitements et appréciation de la conformité des ces traitements au RGPD :
S’assurer que seules les données nécessaires à la poursuite des objectifs de l’organisation sont collectées et traitées
3 – ORGANISER LES PROCESSUS INTERNES ET DOCUMENTER SA CONFORMITÉ
Constituer un registre des traitements, un répertoire des sous traitants, des analyses d’impact si nécessaire, rédiger des clauses contractuelles spécifiques dans le cadre de transfert hors UE
Organiser les processus internes qui garantissent la prise en compte de la protection des données à tout moment (information, consentement, effacement…), de traiter les réclamations et demandes de personnes concernées, d’anticiper les violations de données (notification dans les 72h à la cnil et information des personnes concernées)
Sécuriser les accès informatiques et les systèmes d’information (authentification des utilisateurs, gestion des habilitations, traçabilité des accès, sécurisation des postes de travail, sécurisation de l’informatique mobile, sécurisation des serveurs, sécurisation du réseau informatique, procédure de sauvegarde, destruction …)
Rédiger l’ensemble de la documentation obligatoire :
La CNIL recommande fortement aux entreprises de nommer un DPO (Délégué à la protection des Données) et l’impose dans certains cas (organisme public, suivi systématique des personnes à grande échelle, ou traitement à grande échelle de données dites « sensibles » ou relatives à des condamnations pénales ou infractions). Le DPO coordonne toutes les questions relatives à la protection des données personnelles et assure le lien avec les autorités européennes et françaises (la Cnil). Il peut être interne ou externe et exerce la fonction de « pilote » du RGPD.
Des sanctions administratives, civiles, pénales
La CNIL peut déclencher un contrôle au cours duquel elle dispose de plusieurs pouvoirs contraignants : audit sur pièce et sur place, production de documents, témoignages, etc. Au terme de son enquête, la CNIL a la possibilité de mettre en demeure et d’ordonner à l’organisation de mettre en œuvre certaines mesures de mise en conformité ou d’infliger une sanction pécuniaire.
La Cnil a prévu deux niveaux de sanctions : une amende d’un montant de 2% du Chiffre d’affaires mondial ou 10 millions d’euros (ex : absence de tenue d’un registre des traitements ou l’absence d’AIPD) et dans les cas les plus graves une amende d’un montant de 4% du chiffre d’affaires annuel mondial de l’entité ou 20 millions d’euros (ex : défaut de consentement de la personne concernée…), le montant le plus élevé étant retenu.
Les sanctions peuvent être également judiciaires :
Le risque est également commercial, l’organisme non conforme pouvant perdre des marchés en raison d’un déficit d’image et de qualité.