Illustration : © Anonyme
Depuis le 25 mai 2018 une nouvelle règlementation, la RGPD (Règlementation Générale pour la Protection des Données), est entrée en vigueur dans tous les Etats de l'Union Européenne, dont la France. Ce nouveau cadre juridique s'impose à toutes les entreprises qui recueillent ou traitent des données à caractère personnel de citoyens ou entreprises européens.
L'objectif de la RGPD est de garantir aux différents publics des entreprises la confidentialité, la maîtrise et l'usage qui est fait des données qui les concernent. Il s'agit de maintenir un climat de confiance dans un contexte où la valeur de ces données personnelles représente des enjeux économiques très importants. Le non respect de cette règlementation expose l'entreprise à des sanctions sévères et la responsabilité de son représentant légal est engagée.
Le Principe
Le changement qu'introduit la RGPD repose sur la responsabilité (accountability) de l'entreprise. Ses obligations ne sont plus déclaratives et implicite, comme c'était le cas avec la déclaration CNIL, mais active et explicite. L'entreprise doit être en mesure, à tout moment, de démontrer que toutes les mesures techniques et organisationnelles sont mises en œuvre dans le traitement des données personnelles, dès leur acquisition et tout au long de leur exploitation. Il convient donc de mettre en place des règles de gestion et des procédures formalisées qui seront appliquées par l'ensemble des collaborateurs. Elles pourront ainsi être opposées à toute personne (qu'il s'agisse de celle qui fait l'objet de l'utilisation des données ou de tout organismes de contrôle) souhaitant savoir comment sont traitées les données qui le concernent, souhaitant leur effacement ou souhaitant en disposer pour un usage extérieur.
Faire un état des lieux
Pour commencer il convient de faire un état des lieux pour mesurer l'écart entre les pratiques de l'entreprise et les règles requises. On déterminera d'abord où sont les données collectées : quelles sont-elles, comment elles sont stockées, combien de temps elles sont conservées, quelles sont les personnes qui y ont accès, quelle est l'utilisation qui en est faite, etc...
Ensuite on déterminera les mesures déjà existantes : les mesures juridiques, comment est recueilli le consentement des personnes, quelles sont les conditions existantes dans les contrats entre l'entreprise et ses clients et partenaires, quelles sont les ressources techniques permettant d'analyser et garantir la sécurité des données.
Enfin on pourra établir une étude de risque permettant de prioriser et organiser les mesures à prendre pour se conformer à la RGPD.
Déployer un plan d'action
Il 'agit de répertorier toutes les actions à mener au sein de l'entreprise : mise à jour des contrats (mentions légales, conditions générales de vente, contrats de sous-traitance...), réorganisation interne (nomination d'un DPO, tenue d'un registre, sensibilisation et formation des équipes...), optimisation technologique (sécurisation du réseau informatique, cryptographie, anonymisation de certaines données...), obtention du consentement des utilisateurs, pour les plus importantes.
S'assurer du respect du plan d'action
Pour que le plan d'action conserve son efficacité, il convient de s'assurer régulièrement du respect des pratiques à l'intérieur de l'entreprise. Soit par des audits formels, soit par des tests en situation réelle.
La RGPD en questions
Qu'est-ce qu'une donnée personnelle ?
Une donnée personnelle est une information relative à une personne physique identifiée, directement ou indirectement. Cela peut être le nom, une adresse IP, un numéro de téléphone, une photographie, un identifiant de connexion, un numéro de sécurité sociale, une adresse mail ou postale, un enregistrement vocal, etc. Au sein de l'entreprise, ces informations peuvent concerner les clients, les fournisseurs mais aussi les salariés et managers de l'entreprise ou les candidats proposant leurs services.
A l'intérieur de cette vaste catégorie, certaines données personnelles sont considérées comme plus sensibles. Ce sont toutes les informations pouvant éventuellement conduire à des discriminations : croyance religieuse, opinion politique, engagement syndical, appartenance ethnique, orientation sexuelle, données médicales… Dès lors qu'une entreprise collecte et utilise de telles données, elle doit respecter les principes de protection renforcée posés par le RGPD.
Quelles entreprises sont concernées ?
Toutes les entreprises traitant des données personnelles appartenant à des citoyens européens sont concernées, sans condition de taille ou de secteur d'activité dès lors qu'elle collecte, par exemple, des CVs de candidats ou des adresses emails de clients.
Avec l'ambition d'avoir l'application la plus large possible, le RGPD innove aussi en étendant son application aux sous-traitants. Tous les sous-traitants réalisant des traitements d'informations à caractère personnel pour le compte d'une autre entreprise devront avoir des pratiques conformes au RGPD. Ils devront également informer le délégataire responsable du traitement de toute délégation qu'il effectuerait à son tour.
Que risque une entreprise qui ne respecte pas la RGPD ?
La RGPD prévoit qu'en cas de manquement à ses dispositions, l'autorité de contrôle, comme la CNIL en France, peut condamner une entreprise jusqu'à 20 millions d'euros, dans la limite de 4% du chiffre d'affaires annuel. Des mesures très dissuasives qui visent en particulier les grandes entreprises, mais qui ne devraient pas épargner les petites pour autant. La CNIL devrait en particulier cibler les cas de manquements graves et répétés. Outre les sanctions, la publicité qui semble vouloir être faite par la CNIL autour des sanctions qu'elle prononce (comme le cas d'Optical Center) porte un certain dommage à la réputation et à l'image de l'entreprise.
La CNIL a cependant fait savoir qu'elle serait compréhensive pendant les premiers mois d'application du RGPD vis-à-vis des petites entreprises. En cas de contrôle, elle sera sensible à leur bonne foi lorsqu'elles auront entamé des démarches en ce sens, même si toutes n'ont pas abouties dans les temps.
Quels sont les droits des personnes vis-à-vis de leurs données ?
Un des objectifs du RGPD est de permettre aux personnes physiques de reprendre le contrôle sur leurs données personnelles. Pierre angulaire du dispositif : le consentement. Les entreprises ont l'obligation de recueillir un consentement clair de l'utilisateur pour la collecte et le traitement de ses données personnelles. La demande doit être formulée en termes simples et non équivoques et l'acceptation doit résulter d'un acte positif. Ce consentement n'est par ailleurs donné que pour un usage précis et pour une durée limitée. Dès la finalité du traitement réalisée, l'entreprise collecteur doit effacer de façon définitive les données recueillies.
Dès la conception, les produits et services qu'utilisent les entreprises pour le traitement des données personnelles doivent intégrer les conditions de la protection de la vie privée. Toute nouvelle technologie aura donc pour obligation de garantir à chacun le plus haut niveau de protection possible.
Enfin, le RGPD prévoit tout un ensemble de nouveaux droits directement actionnables par les utilisateurs auprès des entreprises. Objectif : assurer un maximum de transparence et de contrôle sur les données personnelles. Toute personne a ainsi un droit d'accès permanent à ses données et peut demander à l'entreprise de les lui fournir, de les rectifier ou de les effacer. L'utilisateur a également la possibilité de demander à recevoir ses données dans un format structuré et inter-opérable afin de les transmettre à un nouvel opérateur de son choix qui sera par la suite autorisé à opérer des traitements sur ces données.