Discussion :

[Stéphane le calme]

GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ?
Mise en lumière de quelques points clés

Au fil des ans, le secteur numérique a entrepris diverses démarches pour contrôler le flux des données des consommateurs en vue de protéger leurs clients, mais aussi d’améliorer l'expérience utilisateur. Le résultat ? Les pays de l'Union européenne suivent des réglementations hétérogènes en matière de sécurité et de confidentialité des données.

Une situation qui n’a pas ravi Bruxelles : « Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres », a estimé Bruxelles.

Aussi, « Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union ».

Définissant les bases, Bruxelles a estimé « qu’en ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. »

C’est ainsi qu’a été élaboré la General Data Protection Regulation (GDPR), le nouveau règlement européen décidé en décembre 2015 qui va s’appliquer dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.

En réalité, ce règlement se substitue à la directive datant de 1995 sur la protection des données, qui définissait déjà le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique. Celui-ci prévoit, entre autres, le droit d'accès et de rectification aux données et le principe du consentement.

Ce cadre juridique a permis à chaque membre de l'UE une transposition dans son droit national. Pour exemple, le modèle général de la Commission nationale informatique et des libertés (CNIL), établi en France, a servi à instituer une autorité de protection des données personnelles à l'échelle européenne, conformément à l'article 28 de la directive du GDPR.

Pour Thiébaut Devergranne, « le texte du nouveau règlement européen va profondément changer la donne en matière de protection des données personnelles ». Dans un long billet explicatif, le docteur en loi a proposé une analyse des articles qui feront office de loi l’année prochaine en privilégiant « une approche pragmatique afin de comprendre comment se préparer à une mise en conformité au GDPR », prenant donc soin d’occulter « les aspects relatifs au droit des personnes qui ont moins besoin d’être préparés en raison de leur nature ».

Il relève quelques statistiques, notamment :

• 100 pages d’obligations à respecter ;
• 99 articles de loi ;
• 20 millions d’euros de sanction en cas d’infraction pour les PME ou les organismes publics ;
• 4 % du CA Global du groupe pour les grandes entreprises (soit entre 3 et 5 milliards d’euros de risques de sanction pour des entreprises comme Google, Amazon, etc.).

« Avec des montants aussi importants de sanctions – et autant d’intervenants qui ont intérêt à se lancer dans un contentieux –, cette réglementation va devenir un contre-pouvoir majeur dont nombre d’organisations vont faire les frais », a-t-il commenté.

Comment se mettre en conformité avec le GDPR ?

1. Minimiser les données personnelles collectées

C'est un des changements les plus substantiels opérés par le règlement européen en pratique, qui tient au fait que celui-ci impose de ne collecter que les données strictement nécessaires. L'article 5 du règlement européen précise à ce titre que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). » Ce principe a un impact pratique majeur quant aux données collectées que l'on va voir en prenant un exemple pratique.

L'exemple d'une newsletter

Afin d’illustrer ses propos, il a évoqué la mise en place d'une newsletter. Le règlement impose, dans un tel cas, de ne collecter que les données qui sont strictement nécessaires à cette newsletter. Quelles sont donc les données susceptibles de pouvoir être collectées à cet égard ? L’email.

Clairement : ni le prénom, ni le nom, ni l’adresse, ni le fait que la personne soit un homme, ou une femme, ni les coordonnées physiques de la personne. Aucune de ces données ne serait en effet strictement nécessaire pour l'envoi de la newsletter (sauf justification particulière – évidemment si vous envoyez une lettre papier – auquel cas vous justifiez alors du besoin de collecter ces informations dans vos finalités).

2. S’assurer du fondement juridique du traitement

Un des éléments clés de la réforme a été de renforcer les droits de personnes au regard de leurs données, et notamment de s'assurer qu'elles donnent leur consentement à leur traitement. En fait c'était déjà le cas de la loi informatique et des libertés (article 7 : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée »), mais le législateur a encore plus insisté sur ce point.

Article 6 - 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité

3. Éviter de traiter des données sensibles

Le règlement s'inscrit ici encore dans la continuité de la loi informatique et des libertés et de la directive de 1995 qui ont adopté une démarche pragmatique centrée autour des risques relatifs au traitement de certaines données, dites sensibles. Celles-ci font l'objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés.

L'article 9 définit cette notion de données sensibles :

« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits »

4. Afficher les mentions légales

Le règlement (comme la loi informatique et des libertés d'ailleurs) impose au responsable de traitement d'informer la personne dont les données sont traitées d'un certain nombre de mentions (les mentions légales). La mise en place de ces mentions est importante pour plusieurs raisons. La principale est qu'elle permet de cerner ouvertement le niveau de maturité informatique et libertés d'une organisation. Ainsi, lorsque l'on procède à un audit, ou lorsque la CNIL procède à un contrôle, l'absence de mentions légales est un indicateur qui permet de déterminer immédiatement l'existence de problèmes majeurs au sein de l'organisation.

5. Respecter le droit à la probabilité des données

Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d'exporter ses données personnelles dans un format structuré (xml...).

Ce droit est défini par l'article 20 du règlement (qui définit également certaines exceptions et limites) :

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (...)

6. Mettre en place un registre de conformité

Le règlement impose aux organisations de tracer l'ensemble des traitements de données personnelles mis en œuvre afin de s'assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de trois dispositions différentes.

7. Assurez la sécurité des données personnelles

De longue date, imposer la sécurité des données personnelles a été une préoccupation importante du législateur. Dès le départ, des obligations ont été imposées dans la loi informatique et des libertés V1 (1978) et V2 (2004), et le règlement européen ne procède, pour l'essentiel, qu'à des mises à jour de ce côté.

8. Maintenez un registre des violations de données personnelles et des procédures de notification à la CNIL et à personne concernée

Une innovation importante opérée par le règlement réside dans la nouvelle obligation de notification des violations de données personnelles à la CNIL. Sauf cas exceptionnels, le responsable du traitement doit notifier à la CNIL toute violation de données personnelles sous 72 heures :

33.1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance

La notion de violation de données personnelles est (heureusement) définie à l'article 4 :

« violation de données à caractère personnel », une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données

9. Nommez un DPO

Pierre angulaire de la conformité, le règlement européen a conservé la fonction du DPO (data privacy officer) qui existait déjà dans la loi française (CNIL) autant que la directive européenne. Le responsable du traitement est tenu de désigner un DPO dans trois cas :

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :
a) le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle ;
b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou
c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10.

10. Mettez en place une PIA pour les traitements sensibles

La PIA est intéressante, car elle permet de mesurer la complexité à laquelle on est confronté lorsque l'on entre dans les détails du texte. Le règlement a prévu d'augmenter le niveau de protection du traitement de données personnelles dans les cas qui présentent le plus de risques pour les droits et libertés des personnes, ce qui, en soit, fait complètement sens. Dans ces termes, l'article 35 impose au responsable du traitement de réaliser une étude d'impact sur la vie privée (une PIA pour « Privacy Impact Assessment ») afin de s'assurer que l'ensemble des risques spécifiques à la vie privée ont bien été maîtrisés.

Le règlement prévoit les dispositions suivantes :

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

11. Assurez-vous de ne pas transférer des données personnelles hors de l'UE

De la même manière que la réglementation ancienne, la mise en œuvre de traitements de données personnelles hors de l'UE est strictement encadrée par le règlement européen. En pratique, la loi va limiter la fourniture de services informatiques par des entreprises hors de l'UE, car elles vont devoir sérieusement se plier à la culture européenne de régulation si elles souhaitent pouvoir vendre à des clients européens.

Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l'objet d'un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l'organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.

Source : Thiébaut Devergranne

Et vous ?

Que pensez-vous de ce nouveau règlement ?
Constitue-t-il, selon vous, un rempart assez solide pour veiller à la protection des données européennes ?

[HaraKity]

"« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits »"

Si on soustrait la liste des cas, on se retrouve avec :
" Le traitement des données à caractère personnel d'une personne physique sont interdits."
L'interdiction englobe en plus les convictions philosophiques... ce qui est plutôt vague et très large à la fois.
Il me semble que ce règlement européen va rendre illicites une majorité de forums, de réseaux sociaux et autres outils communautaires. Sans parler des commentaires qui peuvent être faits suite à des articles de journaux d'actualités en ligne...

Franchement, je n'ai pas l'habitude d'utiliser ce terme, mais ce règlement paraît vraiment liberticide.

[Mingolito]

C'est bon pour l'emploi IT ça, pour faire appliquer un règlement aussi lourd il va falloir recruter une armée d'informaticiens, et pas n'importe qui, des informaticiens capable de documenter correctement leurs traitements ce qui est la perle rare

[marsupial]

Cette loi est tout bonnement fantastique pour les libertés de l'utilisateur, j'approuve à 100% puisque ce n'est que l'esprit de la CNIL voulue par Simone Veil étendue à toute l'Europe. Google, Facebook & co n'ont qu'à bien se tenir. Fini de fouiller dans notre vie privée et d'abuser des possibilités qu'offrent le numérique pour violer nos consciences.
Ouf on respire ! ( un peu ) Et je ne parle pas des compteurs connectés EDF et autres joyeusetés intrusives. Les sanctions vont bien jusqu'à 10% du chiffre d'affaires ?

[ArchiTech]

Le RGPD apporte son lot de contraintes certes, mais avant tout l'objectif est la protection des droits des citoyens (donc y compris ceux dans les entreprises et administrations).
Et l'une des motivations est de redonner confiance aux citoyens dans l'économie numérique (et leurs états).

Donc du point de vue citoyen, je trouve ce RGPD très bien, même si j'aurais préféré moins d'exceptions pour les états (en gros le RGPD c'est pour tous SAUF les surveillances étatiques).
Et du point de vue professionnel, c'est très complexe et coûteux à mettre en œuvre, ils auraient dû le faire en plusieurs étapes réparties dans le temps.