Règlement Général sur la Protection des Données (RGPD) : les 6 questions à se poser

Le compte à rebours est lancé pour toutes les entreprises traitant des données personnelles. Adopté le 14 avril 2016, le Règlement Général sur la Protection des Données (RGPD) sera directement applicable dans tous les états membres de l’Union européenne le 25 mai 2018. Un texte majeur pour les professionnels de la data, qui soulève beaucoup de questions. Mais aussi une opportunité pour les enseignes d’établir des relations de confiance avec le consommateur.
85% des Français se disent préoccupés par la protection de leurs données personnelles en général, soit une augmentation de 4 points par rapport à 2014, nous apprend l’édition 2017 de l’étude de CSA Research sur « Les Français et la protection de leurs données personnelles ».
Le nouveau Règlement Général sur la Protection des Données (RGPD) pose les bases d’une bonne gouvernance des données. Comment ? Réponse en 6 points principaux avec Nathalie Phan Place, Secrétaire Général du SNCD.

1) Qu’y a-t-il de nouveau dans le RGPD ?

La protection des données telle que prévue par le règlement se fonde sur des principes déjà existants, prévus par la Directive 46 CE de 1995 transposée en France dans la loi Informatique et Libertés. Le règlement apporte toutefois davantage de détails sur la mise en œuvre de cette protection des données. Il étend ainsi le périmètre d’application de la réglementation en matière de protection des données en introduisant une définition étendue des données à caractère personnel et en élargissant la zone géographique concernée au-delà de l’Europe. Il octroie davantage de droits aux individus et fixe de nouvelles obligations en matière de traitement des données personnelles.

2) A qui s’applique le RGPD ?

Aux entreprises et aux sous-traitants implantés dans l’Union européenne et conservant ou traitant des données à caractère personnel, que le traitement des données se fasse ou non au sein de l’Union européenne, qu’il concerne des individus résidant ou non dans l’Union européenne.
Mais aussi aux entreprises situées hors de l’Union européenne, dès lors qu’elles opèrent un traitement de données concernant des résidents de l’Union et que celui-ci est lié à une offre de biens ou services (gratuits ou payants) ou au suivi du comportement de ces personnes au sein de l’Union.

3) Quelles sont les données concernées par le règlement européen RGPD ?

Les données à caractère personnel correspondent à « toute information se rapportant à une personne physique identifiée ou identifiable » ; par « personne physique identifiable », on entend une « personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Une définition qui a donc été élargie puisqu’elle inclut désormais certaines données online telles que les données de localisation, les identifiants en ligne, les numéros d’identification (identifiants de terminaux, cookies, adresses IP…). A noter que le RGPD est neutre sur le plan technologique : il s’applique à l’ensemble des données personnelles, en ligne ou hors ligne, qu’elles fassent l’objet d’un traitement automatisé ou manuel.

4) Que doivent faire les entreprises pour se mettre en conformité avant le 25 mai 2018 ?

4-1. La documentation interne

Dans le cadre du futur règlement, les entreprises doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces derniers respectent bien les nouvelles obligations légales. Ce qui suppose de recenser précisément :

[su_list icon= »icon: chevron-circle-right » icon_color= »#00988A »]

• Les différents traitements de données personnelles,
• Les catégories de données personnelles traitées,
• Les lieux et durées de stockage pour chaque catégorie de données,
• Les objectifs poursuivis par les opérations de traitement des données,
• Les acteurs (internes ou externes, notamment sous-traitants) qui traitent ces données,
• Les flux de données, afin d’identifier les éventuels transferts de données hors de l’Union européenne.[/su_list]

4-2. Les actions à mener

Sur la base du registre des données personnelles mis en place, chaque entreprise concernée doit identifier les actions à mener pour se conformer aux nouvelles obligations règlementaires :

[su_list icon= »icon: chevron-circle-right » icon_color= »#00988A »]

• S’assurer que seules les données strictement nécessaires sont collectées et traitées ;
• Identifier le fondement juridique des traitements de données effectués (contrat, obligation légale, consentement de la personne, etc.) ;
• Mettre à jour ses mentions d’information, clauses de confidentialité, conditions générales… afin qu’elles soient conformes aux exigences du RGPD ;
• Prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, retrait du consentement, droit à la portabilité, etc.) ;
• Vérifier que les sous-traitants éventuels connaissent leurs nouvelles obligations et responsabilités et s’assurer de l’existence des clauses contractuelles rappelant leurs obligations en matière de sécurité ainsi que de confidentialité et de protection des données personnelles traitées ;
• Vérifier la mise en place de mesures de sécurité adaptées.[/su_list]

4-3. Les obligations légales

Le RGPD introduit également un principe de responsabilité, selon lequel les entreprises concernées doivent être en mesure de démontrer aux autorités de contrôle (les CNIL nationales) qu’elles sont en conformité avec les nouvelles exigences du règlement. Cela se traduit notamment par :

[su_list icon= »icon: chevron-circle-right » icon_color= »#00988A »]

• La nécessité de prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement (collecte de données limitée au strict nécessaire, durée de conservation, cookies, mentions d’information, recueil du consentement, sécurité et confidentialité des données, etc.),
• L’obligation de documenter systématiquement l’ensemble des politiques, procédures et traitements mis en œuvre (cf. premier paragraphe) ;
• L’obligation de traiter les réclamations et demandes des personnes quant à l’exercice de leurs droits et d’anticiper les violations de données en prévoyant la notification aux personnes concernées dans les meilleurs délais (et dans certains cas, à l’autorité de protection sous 72 heures) ;
• La désignation – obligatoire dans un certain nombre de cas – d’un délégué à la protection des données (DPD), qui exerce une mission d’information, de conseil et de contrôle en interne.
• La nécessité de réaliser une étude préalable d’impact sur la protection des données (PIA), dans le cas de traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées.[/su_list]

Cette mise en conformité est impérative car le RGPD prévoit le renforcement du pouvoir de sanction des CNIL nationales. L’amende administrative pour des violations graves du règlement pourra ainsi atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel.

5) Quelles sont les informations à fournir aux personnes dont les données sont collectées ?

Le RGPD a considérablement augmenté le nombre d’informations à fournir. Par exemple :

[su_list icon= »icon: chevron-circle-right » icon_color= »#00988A »]

• outre l’identité et les coordonnées du responsable de traitement (RT), les coordonnées du délégué à la protection des données (DPD), le cas échéant ;
• les objectifs poursuivis ;
• les destinataires ou les catégories de destinataires des données à caractère personnel, le cas échéant ;
• la durée de conservation des données (en cas d’impossibilité, le critère utilisé pour définir cette durée) ;
• des précisions sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou bien si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données, ainsi que sur les conséquences éventuelles de la non fourniture de ces données ;
• les informations concernant une finalité envisagée autre que celle pour laquelle les données ont été collectées ;
• les informations relatives aux transferts internationaux de données, notamment les garde-fous mis en place.[/su_list]

Ces informations doivent être facilement accessibles, aisément compréhensibles et fournies dans un délai raisonnable (ne dépassant pas un mois). Les politiques de confidentialité doivent être tenues à jour et faciles à trouver. À chaque fois qu’un responsable de traitement collecte des données, un lien vers ces notices doit être inséré (page d’accueil, formulaires d’inscription en ligne, etc.).

6) Quels sont les nouveaux droits des consommateurs posés par le RGPD ?

Le droit à la portabilité d’abord. Il implique pour le responsable de traitement de communiquer à la personne qui en fait la demande les données qu’il lui a fournies, dans un format structuré, courant et lisible, afin qu’il puisse les transmettre à un autre responsable de traitement. La transmission peut même se faire directement d’un responsable de traitement à l’autre si la personne le souhaite. Ce nouveau droit vise principalement à faciliter le changement de prestataire, notamment pour les applications online.

Le droit d’opposition au profilage à des fins de prospection ensuite. Pour mémoire, le profilage est défini comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».
Dans un contexte de marketing direct, l’utilisation d’un algorithme visant à analyser les données d’un individu afin d’évaluer son intérêt pour certains types de produits et services, la probabilité qu’il les achète, qu’il se comporte de telle ou telle manière ou encore qu’il soit à tel ou tel endroit, pourrait être qualifiée de profilage, donc faire l’objet d’un droit d’opposition.

Le RGPD renforce donc la responsabilité des entreprises : elles devront désormais assurer une protection optimale et permanente des données personnelles et être en mesure de la démontrer en documentant leur conformité. Ne voyez pas pour autant dans le règlement européen une mesure coercitive mais plutôt l’opportunité d’une remise à plat de votre stratégie pour plus de transparence dans vos relations commerciales avec vos clients ou prospects.
Envie d’en savoir plus : n’hésitez pas à questionner nos équipes.

[su_box title= »Les principaux acteurs du RGPD » box_color= »#00988A »]

Commission Nationale de l’Informatique et des Libertés (CNIL)
La CNIL représente le « bras armé » de la réglementation. Elle joue le rôle d’autorité de contrôle au plan national.

Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO)
Chef d’orchestre de la conformité, ses principales missions consistent à s’assurer du respect du règlement dans tous ses aspects. Il est le point de contact avec l’autorité de contrôle. Sa nomination est obligatoire pour :

• les organismes publics,
• les organisations dont les activités de base amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou bien à traiter à grande échelle des données dites sensibles.
• Dans les autres cas, la nomination d’un DPD / DPO n’est pas obligatoire mais fortement encouragée…

Responsable de Traitement (RT)
Personne physique ou morale déterminant les finalités et les moyens du traitement des données à caractère personnel. Le RT est responsable de l’ensemble des obligations mises à sa charge par le RGPD et du dommage causé en cas de manquement, le cas échéant.

Sous-traitant (ST)
Personne physique ou morale traitant des données à caractère personnel pour le compte du RT. Il est responsable du dommage causé par le traitement des données uniquement s’il n’a pas respecté ses obligations ou agi en dehors des instructions du RT.[/su_box]