Les 5 concepts-clés du RGPD version 2018
N.B : Cet article présente de façon simple et synthétique une réalité juridique complexe. Elle ne remplace donc pas l’avis d’un professionnel du droit, ni n’engage la responsabilité de ses auteurs.
Quelles sont les nouveautés du nouveau règlement européen sur la protection des données ? Quelles sont les politiques à mettre en place ? Cet article vous donnera les points clés de la nouvelle législation européen en matière de protection des données à caractère personnel.
Mais tout d’abord un peu de contextualisation….
Le règlement européen ou Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais) a été adopté le 27 Avril 2016. Il abroge l’ancienne Directive européenne du Parlement européen et du Conseil, du 24 octobre 1995 [1], relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Il va entrer pleinement en application le 25 mai 2018. Autrement dit, il reste aux entreprises et organisations un peu moins de 250 jours pour se préparer aux nouveaux changements prévus par cette nouvelle législation.
Une application du RGPD étendue aux entreprises étrangères :
Les entreprises au sens large du terme, les administrations et les individus sont concernés par cette nouvelle législation.
Les entreprises implantées hors de l’Union européenne n’échappent pas à l’application de cette règlementation européenne car elles sont soumises à ce règlement à partir du moment où elles disposent d’un établissement implanté en Union européenne (filiale ou siège…) mais aussi à partir du moment où elles adressent leurs offres de biens et de services à des citoyens européens. En outre, les entreprises utilisant des méthodes de suivi et d’analyse du comportement des consommateurs européens (profilage, étude du comportement des consommateurs…) sont également dans l’obligation de respecter le RGPD.
Deux bonnes nouvelles : la première concerne la possibilité pour les entreprises de disposer de moyens juridiques nouveaux à partir de l’entrée en vigueur du RGPD pour contourner l’interdiction d’envoyer des données à caractère personnel hors de l’Union européenne (possibilité d’avoir recours à des règles d’entreprise contraignantes, l’adhésion à des codes de conduite…). La seconde est relative à la clarification de l’autorité de contrôle compétente : pour tout conseil et contentieux, les entreprises s’adresseront à l’autorité de contrôle implantée dans le lieu du siège de la société, qui sera l’interlocutrice privilégiée et la seule autorité compétente.
Pourquoi tant de textes sur cette nouvelle législation et tant de préoccupations ?
Tout simplement parce que les amendes prévues par le RGPD sont plus que significatives pour les contrevenants : l’amende peut monter jusqu’à 4% du chiffre d’affaires mondial pour les entreprises.[2] Sans compter les dommages sur la réputation de l’entreprise en question….
Maintenant, le vif du sujet et les cinq nouveautés qui ressortent du RGPD :
-
Accountability
-
Privacy by design
-
Security by default,
-
Droits des individus
-
Data protection officer
1. Accountability : principe de responsabilisation des entreprises et des organisations
Concrètement, ce principe signifie que les entreprises, responsables de traitement (= les entreprises traitant des données personnelles) auront l’obligation de mettre en place des process internes aussi bien pour démontrer qu’elles respectent les règles relatives à la protection des données mais aussi pour démontrer qu’elles ont mis en place des mesures pour prévenir tout problème de sécurité informatique.
La nouvelle logique de la législation est de responsabiliser les entreprises. Les entreprises sous-traitantes comme Quantmetry sont soumises à de nouvelles obligations et peuvent même devenir co-responsable du traitement. Il va donc être nécessaire de bien définir les responsabilités et les obligations de chacun, entre le sous-traitant et son client, responsable de traitement.
En parallèle, les entreprises n’auront plus à déclarer leurs traitements sauf cas particuliers prévus par la loi (par exemple en matière de santé, le législateur national pourra choisir de maintenir l’obligation de demander l’autorisation à la CNIL…). En outre, les entreprises devront mettre en place un registre des traitements qui pourra recenser tous les traitements effectués sur les données à caractère personnel au sein de leurs entreprises et évaluer les risques de leurs traitements de données à caractère personnel au travers d’un deuxième document, l’étude d’impact sur la vie privée.
2. Le principe de Privacy by design (art 32 RGPD)
Il s’agit de penser le droit de la protection des données dès la conception du projet. Concrètement, les entreprises devront avoir une réflexion sur les questions en matière de protection des données dans toutes les phases de création du projet, et ce dès la conception.
3. Le principe de security by default
Selon ce principe, « quiconque traite de données personnelles doit permettre aux personnes concernées d’obtenir rapidement et facilement le plus hait niveau de protection possible [3]» En d’autres termes, les entreprises devront dès la conception d’un projet réfléchir à des moyens informatiques ou humains surs et rapides afin de protéger la donnée qu’ils ont en leur possession [4].
En outre, si les entreprises ont rencontré un problème informatique (fuite de données, déni d’accès autour des données…) elles devront le notifier rapidement à la CNIL et aux individus concernés [5].
Ces deux principes, Privacy by design et Security by default, ont un impact non négligeable sur le Système d’information et l’organisation y afférente, de même qu’en matière de gouvernance de la donnée. La mise en place des registres de traitement ainsi que leur maintenance font partie des chantiers qu’impose le RGPD.
4. La Réaffirmation des droits des individus
Le RGPD crée de nouveaux droits en faveur des individus : il consacre notamment un droit à l’oubli / droit au déréférencement [6], un droit à la portabilité [7] et un droit au consentement renforcé [8].
Désormais, les entreprises devront mettre en place un moyen ou une structure pour permettre aux individus de demander une copie lisible de leurs données. Également, il incombera aux entreprises d’agencer une structure afin que les individus puissent demander l’effacement de leurs données.
Par ailleurs, la notion de consentement libre, exprès et éclairé est précisée par le RGPD. Concrètement, le consentement ne devra plus être implicite et ne devra pas être recueilli à l’aide d’une case pré cochée, ni être déduit de l’absence de réponse de l’individu. Il faudra que les entreprises puissent prouver à travers un document écrit ou numérique qu’un consentement explicite a bien été recueilli préalablement à toute opération sur les données à caractère personnel. Les entreprises devront s’efforcer de recueillir le consentement des représentants des mineurs de moins de seize ans.
5. L’obligation de désigner un data protection officer
Certaines entreprises ont maintenant l’obligation de désigner un data protection officer [9] (DPO) qui contrôlera la conformité de l’entreprise au RGPD.
Il s’agit d’une obligation pour les entreprises dans 3 cas de figure :
-
Lorsque le traitement est effectué par une autorité publique ou un organisme public
-
Lorsque la principale activité de l’entreprise consiste à opérer des traitements de grande échelle qui exigent un suivi régulier et systématique des personnes concernées (Par exemple, toutes les opérations d’analyse prédictive, comportementale…)
-
Lorsque les activités de base de l’entreprise consistent en un traitement à grande échelle de données sensibles comme les données de santé, biométriques, opinions politiques… et des données personnelles relatives à des condamnations pénales et à des infractions
La mise en conformité des entreprises au RGPD est donc un chantier de longue haleine qui demande aux entreprises de repenser leurs organisations internes. Il nécessite l’implication de plusieurs acteurs au sein de l’entreprise tel que les directions juridique, marketing, ressources humaine, système d’information, …
Surtout, le RGPD impose aux entreprises d’adopter une démarche éthique et respectueuse des consommateurs, qui voient l’exploitation de leurs données prendre un essor incontrôlé voire incontrôlable. Le RGPD peut donc être considéré comme une opportunité pour les entreprises de redéfinir la relation avec leurs clients et de se démarquer par la gestion transparente des données personnelles.
La CNIL sera particulièrement attentive aux efforts faits par les entreprises en matière de gouvernance de la donnée et de transparence sur les traitements de données à caractère personnel. Chacun devrait pouvoir redevenir maître de son patrimoine de données et définir les acteurs qui pourront y avoir accès : à quand la monétisation des données personnelles ?
[1] http://eur-lex.europa.eu/legal-content/FR/ALL/?uri=LEGISSUM:l14012
[2] Pour calculer cette amende, le chiffre d’affaire le plus élevé enregistré par l’entreprise est pris en compte
[3] http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
[4] Ces mesures peuvent se concrétiser soit par la mise en œuvre de procédure de chiffrement, VPN…
[5] Article 33 du RGPD et suivants
[6] Art 17 du RGPD
[7] Art 20 RGPD
[8] Considérant 32 du RGPD
[9] Article 37 et suivants du RGPD