Malgré les craintes suscitées le RGPD va alléger les formalités déclaratives, ainsi la plupart des déclarations à la CNIL autrefois obligatoires vont disparaître. Cependant les sanctions seront plus lourdes, en cas de violations des dispositions une amende administrative pourra s'élever jusqu'à 20,000,000 d'euros ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé sera retenu.
Le RGPD doit être appliqué par tous les responsables de fichiers contenant des données personnelles sur des personnes physiques (employés, clients, prospects, ...) quelque soit leur nationalité (État membre de l'UE ou non), les sous-traitants de ces données sont eux aussi concernés. Ce règlement a donc pour but de protéger les libertés et droits fondamentaux des personnes physiques sur leurs données personnelles, dès lors que ces données font l'objet d'un traitement, qu'il soit automatisé, en partie ou non. Le RGPD ne s'applique pas lorsqu'il s'agit d'une activité personnel ou domestique.
Attention : Le simple fait de collecter et d'enregistrer une donnée est en soit un traitement. De même que le RGPD ne se limite pas aux données électroniques, les données sur papier sont aussi concernées.
Le RGPD prend en compte le lieu de rattachement du responsable de traitement ou de son sous-traitant. Si un de ses derniers a un établissement sur le sol de l'Union Européenne le règlement doit s'appliquer, même si le traitement s'effectue hors de l'UE. De plus, le règlement prend aussi en compte le lieu de rattachement des personnes physiques concernées. Par conséquent une entreprise non européenne proposant des biens ou des services, payant ou non, doit aussi appliquer le RGPD. Bien évidemment cette dernière disposition laisse songeur, ne serait-ce qu'au niveau du contrôle voire des sanctions.
Dès lors que les données personnelles se rapportent à une personne physique identifiée ou identifiable, directement ou indirectement le responsable du traitement ou le sous-traitant doit garantir les principes relatifs au traitement des données à caractère personnel (article 5 du RGPD) ainsi que la licéité du traitement (article 6 du RGPD). Ainsi la personne concernée doit être informée du traitement de ses données et des finalités afin d'obtenir son accord exprès. Il en est de même en cas d'évolution ou de changement des finalités. Le RGPD prévoit l'interdiction de traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Sauf en cas de consentement explicite de la personne concernée.
Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13)
Lorsque des données à caractère personnel relatives à une personne concernée sont collectées auprès de cette personne, le responsable du traitement lui fournit, au moment où les données en question sont obtenues, toutes les informations suivantes :
a) l'identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement ;
b) le cas échéant, les coordonnées du délégué à la protection des données ;
c) les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
d) les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers ;
e) les destinataires ou les catégories de destinataires des données à caractère personnel, s'ils existent ; et
f) le cas échéant, le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l'existence ou l'absence d'une décision d'adéquation rendue par la Commission ou, dans le cas des transferts visés à l'article 46 ou 47, ou à l'article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d'en obtenir une copie ou l'endroit où elles ont été mises à disposition ;
Le responsable du traitement doit aussi fournir à la personne concernée, au moment où les données à caractère personnel sont obtenues, les informations complémentaires suivantes qui sont nécessaires pour garantir un traitement équitable et transparent :
a) la durée de conservation des données à caractère personnel ou, lorsque ce n'est pas possible, les critères utilisés pour déterminer cette durée ;
b) l'existence du droit de demander au responsable du traitement l'accès aux données à caractère personnel, la rectification ou l'effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s'opposer au traitement et du droit à la portabilité des données ;
c) l'existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci ;
d) le droit d'introduire une réclamation auprès d'une autorité de contrôle ;
e) des informations sur la question de savoir si l'exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d'un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données ;
f) l'existence d'une prise de décision automatisée, y compris un profilage, visée à l'article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l'importance et les conséquences prévues de ce traitement pour la personne concernée.
Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée (article 14)
Lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée, le responsable du traitement doit réaliser les mêmes obligations citées précédemment.
Obligations du responsable de traitement et du sous-traitant
À partir du 25 mai 2018, il n'y aura plus de déclaration préalable à établir auprès de la CNIL. Cependant le responsable de traitement ainsi que le sous-traitant seront soumis à une obligation de rendre compte (principe d'accountability), c'est à dire d'apporter la preuve que tous deux respectent les obligations du RGPD. Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au RGPD. Ces mesures sont prises librement par le responsable du traitement, tout en prenant compte de la nature, de la portée, du contexte et des finalités du traitement ainsi que du risque que celui-ci présente pour les droits et libertés des personnes physiques. Concrètement les mesures prises peuvent se traduire par la pseudonymisation des données à caractères personnelles ou encore le chiffrement de celles-ci. Le responsable doit aussi documenter toutes ses décisions ou encore adopter un code de conduite ou des mécanismes de certification pour démontrer le respect des obligations.
Plan de mise en conformité RGPD
Afin de vous guider dans la mise en place du RGPD nous vous proposons un plan de mise en conformité. Chacune de ces actions doivent être matérialisées par un document accessible par l'autorité de contrôle, à savoir la CNIL.
1. Lister les traitements de données à caractère personnel
Les entreprises de plus de 250 employés ou celles réalisant des traitements susceptible de comporter un risque pour les droits et des libertés des personnes concernées, réalisant des traitements de façon habituelle doivent établir un registre des activités de traitement. Par conséquent la plupart des PME et TPE bénéficient d'une dérogation sur cette obligation.
Si vous considérez que vous êtes dans le cas où vous devez tenir un registre des activités de traitement, vous pouvez télécharger le modèle disponible sur le site de la CNIL (https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf) (page source : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles).
2. Établir un plan d'actions à réaliser
Grâce au registre des activités de traitement vous avez identifié les données personnelles des personnes physiques que vous avez en votre possession. Si vous avez trouvé des manquements aux principes du RGPD, vous devez mettre en place les correctifs nécessaires. La planification de ces correctifs doit être établie en fonction du degré de risque sur les droits et libertés des personnes concernées.
Ainsi la CNIL conseille d'être attentif sur les points suivant :
- S'assurer que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
- Identifier la base juridique sur laquelle se fonde le traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale).
- Réviser les mentions d’information afin qu’elles soient conformes aux exigences du règlement. (Mise à jour des CGV, des contrats, des mentions sur votre site Internet, ...)
- Vérifier que les sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, ainsi de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.
- Prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement...).
- Vérifier les mesures de sécurité mises en place.
Une fois de plus, vous devez être en mesure d'apporter la preuve de votre action. Par conséquent pensez à consigner votre programme de mise en conformité dans un document qui sera accessible par l'autorité de contrôle (la CNIL).
3. Gérer les risques
Si vous devez traiter des données personnelles susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques concernées, en tant que responsable du traitement vous devez effectuer une analyse d'impact sur la protection des données (AIPD). Cette étude doit être réalisée avant le traitement.
Une analyse d'impact est obligatoire lorsqu'au moins deux des critères suivants sont remplis :
- évaluation et notation (y compris le profilage) ;
- décision automatique avec effet légal ou similaire ;
- surveillance systématique ;
- collecte de données sensibles ;
- collecte de données personnelles à large échelle ;
- croisement de données ;
- personnes vulnérables (salariés si le responsable de traitement est l'employeur, patients, personnes âgées, enfants, etc.) ;
- usage innovant (utilisation d’une nouvelle technologie) ;
- exclusion du bénéfice d’un droit/contrat.
La méthode pour faire l'analyse d'impact consiste à décrire les traitements ainsi que leurs finalités, d'évaluer la nécessité ainsi que la proportionnalité des traitement par rapport aux finalités, d'évaluer les risques sur les droits et libertés des personnes physiques concernées, et les mesures prises pour faire face aux risques et assurer le respect du RGPD. S'il demeure un risque résiduel, l'analyse d'impact doit alors être envoyée à la CNIL pour consultation.
La CNIL a par ailleurs mis en ligne un logiciel open source (gratuit), PIA, permettant de réaliser l'analyse d'impact sur la protection des données, celui-ci est disponible en version portable ou web. (https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil)
4. Mettre en place les procédures internes
Le fait de mettre en place de solides procédures internes va être la base de la protection des données personnelles. Vous devez au minimum modéliser les procédures suivantes :
- respecter le privacy by design : cela consiste à prendre en compte la protection des données personnelles lors de la conception d'un traitement ou de la conception de l'application pour réaliser ce dernier. Concrètement cela se traduit par la minimisation de la collecte de données (c'est à dire de collecter uniquement les données nécessaires aux finalités), limiter la durée de conservation des données, protéger par défaut les données en limitant leur accessibilité, sécuriser le traitement en mettant en place des technologies améliorant la confidentialité (privacy enhancing technologies), etc ;
- former et sensibiliser ses collaborateurs : en effet les failles les plus appréciées et exploitées en priorité par les pirates sont les failles humaines. En effet il est plus facile pour un individu mal intentionné d'utiliser une information délivrée par un collaborateur alors que ce dernier la considère comme non sensible ou stratégique, alors que cette information va permettre de réaliser une attaque, usurper une identité dans le but de se faire ouvrir les portes ou faire du phishing ;
- gérer les droits des personnes : vous devez être en mesure de proposer une interface simple et facile d'accès afin que les personnes physiques puissent disposer de leurs droits (accès, rectification, opposition, portabilité, retrait du consentement) ;
- gérer les violations de données : dès lors qu'il y a eu destruction, perte, altération, divulgation ou accès non autorisé à des données à caractère personnel de manière accidentelle ou illicite vous êtes dans l'obligation de le notifier à la CNIL dans les 72 heures suivant la découverte de la violation. Vous devez aussi prévenir les personnes concernées s'il s'agit d'un risque élevé.
5. Regrouper la documentation
Nous l'avons évoqué précédemment, toutes vos actions démontrant votre pro-activité en matière de RGPD doivent être documentées, cette documentation doit être regroupée en cas de contrôle, en voici le récapitulatif :
- documentation sur les traitements de données personnelles : registre des traitements, analyses d'impact sur la protection des données (AIPD), l'encadrement des transferts de données hors se l'Union Européenne ;
- l'information aux personnes : les mentions d'information, les modèles de recueil du consentement des personnes concernées, les procédures mises en place pour l'exercice des droits ;
- les contrats définissant les rôles et responsabilités des acteurs : les contrats avec les sous-traitants, les procédures en cas de violation des données, les preuves de consentement des personnes concernées.
Nomination d'un DPO
Afin de vous accompagner dans la mise en œuvre du règlement général sur la protection des données, vous pouvez désigner un DPO (délégué à la protection des données). Celui-ci est obligatoire pour les organismes publics ou si l'activité de base de votre entreprise consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Dans tous les cas il est tout de même conseillé de désigner un délégué à la protection des données.
Le DPO peut être interne ou externe à votre société, de même qu'il peut y avoir un même DPO pour plusieurs entreprises. Celui-ci a pour mission de vous informer et vous conseiller en votre qualité de responsable de traitement, de contrôler le respect du règlement, de sensibiliser et informer le personnel, d'être l'interlocuteur avec l'autorité de contrôle (CNIL).
Le DPO n'a pas de profil spécifique, il n'est pas nécessaire que celui-ci soit un professionnel du droit. Selon notre avis, il est intéressant de désigner un DPO dont le métier premier est l'informatique car ce dernier dispose des connaissances techniques nécessaires, cependant il doit avoir impérativement une excellente connaissance juridique en matière de protection des données personnelles.
Le délégué à la protection des données doit être à l'abri des conflits d'intérêts et doit être indépendant au sein de la structure où il intervient, ainsi le DPO ne peut être un membre de la direction ou encore un représentant du personnel. Il doit disposer des ressources nécessaires pour exercer ses missions ainsi d'avoir un accès illimité aux données à caractère personnel et aux opérations de traitement. La direction et les différents services de la société ne doivent pas faire obstruction à ses missions ni faire preuve d'ingérence dans celles-ci.
Le DPO est tenu au secret professionnel et dispose d'une obligation de confidentialité et de loyauté, si celui-ci est extérieur à l'entreprise, il est nécessaire de veiller à ce qu'il n'intervienne pas pour le compte d'une société concurrente.
Enfin le DPO ne sera en aucun cas responsable en cas de violation des données personnelles ou de manquement à la réglementation. Seul le responsable du traitement est le garant du RGPD et engage sa responsabilité en cas de non-conformité.
Pour en savoir plus
Rendez-vous sur le site de la CNIL (https://www.cnil.fr), retrouvez aussi le texte du RGPD sur le site de l'Union Européenne (https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR).