Quelles sont les obligations et les applications concrètes pour les entreprises ?
Le Règlement général sur la protection des données (RGPD) représente une modernisation importante des lois européennes sur ce sujet. Il entrera en vigueur dans tous les états membres de l’Union Européenne en mai 2018.
Le règlement protection des données RGPD se veut un contre-pouvoir aux progrès spectaculaires de la technologie et notamment d’Internet qui au fil du temps permettent à des marchands, des publicitaires ainsi qu’à d’autres organismes de récupérer de plus en plus de données personnelles et d’en faire un usage massif sans que les personnes concernées ne le sachent forcément et/ou puissent demander à ce que cesse l’exploitation des données les concernant.
Il est très contraignant pour les entreprises et pour tous les systèmes qui traitent des données personnelles. Toutes les entreprises européennes et tous les entreprises qui gèrent des données sur le territoire européen ou de citoyens européens sont concernées. Son non-respect peut donner lieu à des amendes de 4 % du chiffre d’affaires mondial annuel d’une entreprise ou 20 millions d’euros (article 83.6 du Règlement).
Elargissement du concept de donnée personnelle
Une « donnée à caractère personnel » est pour le RGPD « toute information se rapportant à une personne physique identifiée ou identifiable », « directement ou indirectement », notamment par un nom, un identifiant en ligne ou des données de localisation.
Ceci implique qu’outre les données personnelles évidentes comme le nom, le mail, des éléments tels que l’adresse IP, la géolocalisation ou des informations croisées de cookies sont également concernés.
5 points essentiels
On peut résumer l’essentiel du RGPD en 5 points.
1. Notifications obligatoires des violations de données
Le règlement oblige à déclarer toute fuite de données (ou violation de données personnelles) dans les 72 heures.
Ceci a un impact évident sur les relations que toute entreprise entretient avec ses prestataires puisque chaque membre de la chaine devra assurer aux autres qu’il a mis en place toutes les mesures nécessaires pour éviter des fuites de données.
2. Droit à l’oubli
Le droit à l’oubli, déjà mis en place pour les résultats de recherche sur Google, est étendu. Concrètement, les sites internet et organismes qui gèrent des données doivent répondre positivement à toute demande de suppression de données personnelle.
3. Renforcement de l’obligation du consentement
Le RGPD signe la fin de l’accord par défaut en ce qui concerne l’utilisation de données personnelles.
Ce sera aussi aux gestionnaires de données et de leur traitement de prouver que le consentement a été obtenu. Ils devront aussi garder la trace de ce consentement.
L’accord devra être demandé de manière claire et séparée. Ceci implique par exemple que sur un site web, la demande d’enregistrement des données devra faire l’objet d’un formulaire séparé, sans cases pré-remplies.
Toute personne donnant son accord pour l’utilisation de ses données pourra revenir sur sa décision.
A noter aussi que les entreprises ne pourront plus subordonner l’utilisation de leur service au refus d’utilisation des données personnelles.
4. Collecte de données uniquement pour des objectifs déterminés, explicites et légitimes
Les entreprises devront préciser la finalité du traitement de données et ne récupérer que les données nécessaire à ce traitement.
La durée de conservation des données ne pourra pas excéder celle nécessaire au regard de cette finalité.
5. Responsabilité de gestion des données
Les entreprises qui gèrent des données personnelles devront être capables à tout moment de prouver qu’elles respectent le Règlement général sur la protection des données (RGPD). En France c’est la CNIL qui vérifiera ceci.
Si l’entreprise a plus de 250 employés, elle devra avoir un DPO (Délégué à la protection des données), dont le rôle sera de :
• Surveiller la mise en œuvre du RGPD et la formation des personnels, avec un focus de fait sur le marketing, la communication et les RH.
• Décrire les processus et buts de collectes de données, les flux de données collectées, leur nature et les actions d’éventuels sous-traitants (et tenir un registre actualisé de tous les traitements de données personnelles et des sous-traitants y ayant accès; ce registre devant être consultable en permanence par la CNIL).
• Enregistrer les destinataires des données personnelles, la localisation de celles-ci ainsi que les limites de délais pour leur effacement.
• Gérer les réponses aux requêtes de l’autorité de surveillance, des particuliers et résoudre les éventuels cas de violation du RGPD.
Des changements importants, y compris au niveau contractuel, devront avoir lieu afin que tous les acteurs d’une chaîne de traitement des données puissent garantir ensemble la sécurité de celles-ci et le respect du RGPD. Des clauses spécifiques sont recommandées à ce sujet dans les contrats passés avec des sous-traitants.
Comment se préparer dès maintenant pour mai 2018
Jusqu’à présent, l’utilisation des données personnelles était faite souvent sans en demander l’autorisation aux personnes concernées ou en leur faisant valider par défaut leur accord.
Le RGPD renverse cet état de fait en empêchant par défaut la collecte des données personnelles des individus et en limitant de toutes façons celle-ci à un cadre et une utilisation bien précise.
Concrètement, chaque entreprise devra se préparer au RGPD car même à partir de son site Internet, elle récupère des données. Seules les données strictement nécessaires à la poursuite de vos objectifs doivent être collectées et traitées.
La récupération et le traitement des données doivent être effectués dans le cadre d’un contrat avec consentement de la personne (obtenu par des moyens systèmes compréhensibles et séparés de la collecte) et les mentions d’information doivent être conformes aux nouvelles lois.
Les moyens d’accès et de correction/suppression des données par les personnes concernées devront être mis en place.
Un système de sécurité des données permettant d’éviter ou d’avertir des fuites de données devra être mis en place, en impliquant aussi (techniquement et juridiquement) les prestataires ou sous-traitants ayant un rapport avec ces données.
Enfin, les grosses entreprises devront avoir un DPO.