Entré en vigueur le 25 mai 2018, le RGPD ou Règlement Général sur la Protection des Données est la nouvelle règlementation de l’Union Européenne sur la protection des données personnelles (numériques ou non) c’est-à-dire des informations liées à une personne physique identifiée ou identifiable. Dans la plupart des cas, cela concerne également des données anonymisées car elles n’empêchent pas l’identification du sujet. Ce règlement, qui introduit un socle commun de droits pour les personnes physiques et de devoirs pour les entreprises quant aux traitements des données personnelles, doit être respecté par toutes les entreprises mondiales collectant des données de citoyens de l’Union Européenne, qu’elles portent sur leurs clients ou leurs employés. C’est pourquoi, en tant qu’organismes privés ou publics, vous êtes tous concernés par cette réforme. L’objet de cet article est de faire le point sur les éléments que vous devez mettre en place pour être en conformité avec le nouveau règlement européen.
Quels sont les grands principes introduits par le RGPD ?
Tout d’abord, le RGPD vous oblige à renseigner toutes vos activités de traitement de données dans un registre, sauf si votre entreprise compte moins de 250 salariés. Cela signifie que vous devez renseigner dans un tableau : les catégories de données que vous exploitez (quoi), leurs objectifs (pourquoi), les parties prenantes qui les exploitent ou en ont la responsabilité (qui), la durée de leur conservation (quand) et les modalités de sécurisation (comment). Ce registre doit être tenu à jour en cas de contrôle et sa création est l’occasion de faire du tri dans les données collectées afin d’éliminer celle qui se révèleront non pertinentes.
Vous pouvez vous appuyer sur ce dernier pour remplir une seconde obligation : obtenir le consentement explicite des personnes dont vous traitez les données. Avant de collecter les données de quelqu’un, il doit avoir donné son accord sans ambiguïté. C’est pourquoi, vous devez l’informer des 5 points précédents, présents dans le registre, auxquels s’ajoutent le renseignement des éléments juridiques qui vous autorisent à exploiter ses données, ainsi que le rappel de ses droits et les coordonnées de la personne à contacter pour faire respecter ses droits. Les nouveaux droits qui sont introduit par le RGPD pour les personnes physiques sont : le droit d’accès aux données les concernant, le droit de rectification, le droit d’opposition, le droit d’effacement, le droit de limitation de leur traitement et le droit de portabilité. Vous avez l’obligation de conserver les déclarations de consentement et concernant l’exercice des droits des personnes dont vous traitez les données, vous devez traiter leurs requêtes dans un délais maximal d’un mois.
Le droit de portabilité des données, cité ci-dessus, implique aussi des dispositions particulières dans votre entreprise. Il signifie que n’importe qui doit pouvoir récupérer les données collectées à son sujet sous un format numérique. Le but est de pouvoir les faire parvenir soi-même à un autre organisme. Ainsi, vous devez vous assurer que les données que vous traitez soient bien récupérables sous un format « ouvert et lisible par machine » selon les termes de la CNIL.
La sécurisation des données, dont les modalités doivent être décrites dans le registre, figure également parmi vos devoirs. Si jamais vous êtes victime d’un vol des données personnelles collectées, vous devez en informer la CNIL dans les 72h. L’entrée en application du RGPD est donc l’occasion de faire un point sur vos dispositifs de cybersécurité et également de souscrire à une assurance couvrant ce type de risques.
De plus, le RGPD introduit la notion de données sensibles. Il s’agit des données raciales ou ethniques, religieuses, politiques, philosophiques, génétiques, biométriques, relatives à l’orientation sexuelles, à l’état de santé ou à l’appartenance syndicale. A ces catégories de données, s’ajoutent des modes de traitements jugés sensibles. Il s’agit du profilage ou scoring, des décisions automatiques, de la surveillance systématique, de la collecte de données sensibles, de la collecte de données personnelles à large échelle, de la collecte de données de personnes vulnérables (mineurs, personnes âgées, …), du croisement de données, de l’usage des données personnelles par des nouvelles technologies et de l’arbitrage relatif à un bénéfice ou un droit d’usage sur la base des données personnelles. Si votre entreprise réunie au moins deux de ces pratiques, vous avez l’obligation d’effectuer une étude d’impact sur la vie privée (ou PIA). Cette étude doit être réalisée en amont de la mise en œuvre de ces procédures et consiste en l’identification des risques, la mesure de leur probabilité et d’un indice de gravité ainsi que les modalités de traitement de ces risques. Une fois réalisée, vous devez la transmettre à la CNIL. D’ailleurs, il s’agit, sauf exceptions, de la seule démarche déclarative obligatoire qui subsiste. Cette réforme permet donc une forme de simplification administrative.
Enfin, si le traitement des données que vous collectez implique d’autres acteurs, vous devez respecter plusieurs règles. Dans le cadre d’une sous-traitance de la collecte et du traitement des données personnelles, vous restez responsable du traitement. Cela signifie que vous devez exiger un registre de la part du sous-traitant, le compléter avec des informations comme la finalité du traitement et vous assurer que les mesures de sécurisation des données prises par le sous-traitant sont suffisantes. Si la sous-traitance de la collecte et du traitement des données implique le transfert des données vers des organismes établis dans un pays tiers, il est nécessaire que vous vous assuriez que celui-ci offre des garanties suffisantes en termes de protection des données. La Commission Européenne fournit une liste des pays jugés adéquats. Vous devez ensuite faire un certain nombre de démarches notamment déclaratives auprès de la CNIL et il est nécessaire que vous documentiez les garanties que vous demandez à votre sous-traitant.
Qu’est-ce qu’un DPO ?
Le DPO ou Data Protection Officer est une nouvelle fonction créée par le RGPD. Dès lors que vous traitez des données sensibles, des données à grande échelle ou que vous êtes un organisme public, vous êtes dans l’obligation de nommer un DPO. Son rôle est de coordonner la mise en place de processus en conformité avec le RGPD, de les mettre à jour, de renseigner les autres collaborateurs sur les obligations du RGPD et de permettre l’exercice des droits des personnes dont vous collectez les données. Il peut être interne ou externe (c’est-à-dire mutualisé) mais dans les deux cas, vous devez vous assurer de ses aptitudes professionnelles, c’est-à-dire de ses compétences techniques et juridiques. Etant donné la fonction de contrôle qu’il occupe, vous devez vous assurer qu’il ait suffisamment d’autonomie et d’indépendance. Il ne peut par exemple pas être relevé de ses fonctions pour un conseil qu’il aurait prodigué dans le cadre de ses missions. Ce ne doit pas être une personne chargée de déterminer les finalités du traitement des données personnelles et a fortiori pas un directeur ou un responsable de département.
Enfin, même si vous êtes dans un cas de figure où le DPO n’est pas obligatoire, il est préférable de nommer un responsable RGPD, qui s’assure de la conformité de l’entreprise au règlement, qui soit en mesure de renseigner les autres collaborateurs et qui se charge de l’exercice des droits des personnes dont vous collectez les données.
Quelles sont les sanctions encourues ?
En France, c’est la CNIL, qui est chargée de faire respecter le règlement et elle dispose d’un véritable pouvoir de coercition. En effet, en cas de non-respect de la RGPD, les entreprises s’exposent à de lourdes sanctions administratives. Elles sont de deux types et peuvent aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, le montant retenu étant le plus élevé des deux.
A ce premier type de sanction, s’ajoute les sanctions pénales prévues par la législation nationale. Le détournement de données personnelles est par exemple puni de 5 ans d’emprisonnement et de 300 000€ d’amende. De plus, les victimes peuvent porter l’affaire au civil afin d’obtenir des dommages et intérêts en réparation de leur préjudice. Enfin, il ne faut pas négliger le préjudice réputationnel pour votre entreprise que pourrait entrainer un non-respect du RGPD.
Pour conclure, compte tenu des enjeux, il est essentiel que vous vous mettiez en conformité avec le RGPD dans les plus brefs délais. Cet article constitue une synthèse des mesures à mettre en œuvre et il est préférable de vous adresser à un véritable expert, pour qu’il valide vos nouveaux processus. Cependant, soyez vigilants, la CNIL a mis en garde contre la prolifération de pseudo-experts du RGPD. D’ailleurs, pour poursuivre votre sensibilisation à cette problématique, les sites de la CNIL et de la BPI sont riches de nombreuses ressources complémentaires, notamment des matrices vierges de registre ou de demande de consentement. Enfin, n’oubliez pas de former vos collaborateurs au RGPD pour garantir un meilleur respect de celui-ci au sein de votre établissement.
