RGPD

RGPD : Règlement Européen sur la protection des données

La commission européenne produit des directives (de simples textes d’orientation qui ensuite sont confirmés par des lois nationales) et des règlements. Un règlement équivaut à une loi et s’applique de fait à l’identique dans tous les pays de l’UE.

Le RGPD est un règlement européen applicable à compter du 25 Mai. Il concerne toutes les entreprises (appelées dans le texte « le responsable de traitement de données ou ses sous traitants ») qui sont établies sur le territoire de l’Union Européenne ou qui mettent en œuvre des traitements de données visant à cibler ou à fournir des biens et des services aux résidents européens.

Il vise à offrir un cadre législatif harmonisé à l’ensemble des acteurs économiques dans le cadre du marché unique numérique et à assurer un niveau élevé de protection à tous les citoyens de l’Union Européenne.

En plus d’avoir créé un générateur de mentions légales gratuit RGPD, nous dressons une infographie pour vous donner une check-list à respecter pour rendre votre site web RGPD!

Check-list site web RGPD

Pour ajouter cette infographie dans votre blog ou sur votre site internet , il vous suffit de copier/coller ce code dans votre article ou page :

<a href="https://blog-fr.orson.io/creation-de-site-internet/reglement-europeen-sur-la-protection-des-donnees-rgpd" title="Règlement Européen sur la protection des données (RGPD)" target="_blank"><img src="https://blog-fr.orson.io/wp-content/uploads/2018/03/Infographie-Checklist-site-web-RGPD-.png" alt="RGPD réglement européen sur protection des données"></a> 

Après avoir dressé la check-list pour rendre votre site web conforme RGPD nous allons voir ensemble les différents points évoqués! Le sujet est très juridique, nous avons donc tenté de le vulgariser avec notre infographie, voyons maintenant la partie plus complexe à travers notre article.

Résumé sur la RGPD

Entreprises, vous êtes concernées par la RGDP car ce réglement concerne la collecte des données personnelles de toute personne physique résidant dans l’Union Européenne, par votre entreprise et ses sous traitants éventuels.

Concernant les données vous devez :

  • identifier leur origine, finalité, destination et durée de conservation,
  • demander leur consentement à toutes les personnes,
  • identifier les processus et dispositifs de collecte: formulaires, réseaux sociaux… ainsi que le type de données récupérées.

Vous devez intégrer que de nouveaux droits sont accordés aux personnes physiques : droit à la portabilité, droit au refus de profilage, droit à la limitation.

Vous devez, bien sûr, tenir compte de ses évolutions pour modifier vos mentions légales et documents contractuels, vos process internes ( registre de traitement de données, responsable de traitement, tunnel d’adhésion).

Enfin si vous stockez des données personnelles hors Union Européenne lisez attentivement cet article. Il y a de réels impacts à prendre en compte.

Objectifs de la RGPD

Renforcer les droits des personnes physiques dont les données personnelles sont exploitées.

Afin de mesurer le périmètre de cette réglementation il convient de définir :

a) La notion de données personnelles.

Il s’agit de toute information se rapportant à une personne physique identifiée et identifiable (directement ou indirectement) par un identifiant, tel qu’un numéro d’identification, des données de localisation, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Exemples : le nom et prénom, le sexe, les initiales, date et lieu de naissance … , l’adresse IP ou l’adresse MAC, la situation familiale, la situation militaire, la formation, les diplômes, l’adresse.

Le Règlement s’applique à tout traitement de données à caractère personnel et ne fait pas de distinction entre données BtoB et BtoC.

Sont notamment considérées comme des données à caractère personnel en BtoB, l’adresse email et le numéro de téléphone (direct) professionnels, l’intitulé du poste et l’adresse physique du lieu de travail, dans la mesure où ils permettent d’identifier une personne physique.

Ces données sont de 2 natures :

  • les données non sensibles,
  • les données sensibles. Par « sensibles » le législateur entend les données liées à :
    • L’origine raciale, ethnique, les opinions politiques, philosophiques ou religieuses,
    • l’appartenance syndicale,
    • En relatives avec la santé ou l’orientation sexuelle,
    • Des données génétiques ou biométriques,
    • Des données d’infraction ou de condamnation pénale,
    • Des données concernant des mineurs.

Si vous gérez ce genre de données vous avez une obligation de nommer un DPO (data protection officer), délégué à la protection des données.

Enfin, le Règlement européen est neutre sur le plan technologique : il s’applique à l’ensemble des données personnelles, en ligne ou hors ligne, qu’elles fassent l’objet d’un traitement automatisé ou d’un traitement manuel.

b) La notion d’exploitation de données (ou traitement des données)

Il s’agit de toute opération ou tout ensemble d’opérations effectuées à l’aide de procédés automatisés ou non et appliqués à des données ou des ensembles de données. Voici la liste des opérations telles que précisées dans le règlement : collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou l’interconnexion, limitation, effacement ou destruction.

Fondements du RGDP

Le RGPD pose des principes qui fixent de nouvelles obligations aux entreprises et de nouveaux droits aux clients.

• Licéité, transparence, loyauté : le traitement des données doit avoir une finalité autorisée. Les personnes physiques doivent être informées de l’existence de ce traitement qui doit correspondre à la description qui en est faite.

• Limitation des finalités : le responsable de traitement doit déterminer les finalités du traitement. Les mentions relatives aux données personnelles, les conditions générales et autres documents d’information doivent informer les personnes.

• Minimisation des données : les données collectées doivent être celles qui sont strictement nécessaires au traitement. Ce principe s’applique également dans les rapports entre responsable de traitement et sous-traitants : il ne faut pas transmettre au sous-traitant plus de données que nécessaire à la réalisation de sa mission.

• Exactitude : les données traitées doivent être exactes et à jour. Il faut donc mettre en place une procédure afin que les données soient toujours à jour. Il faut aussi mettre en place un process pour que les personnes physiques puissent exercer leur droit de rectification.

• Limitation de la conservation : 
dès lors que les données personnelles ne sont plus nécessaires, elles doivent être supprimées ou anonymisées.

• Intégrité et confidentialité : le responsable de traitement s’expose à des sanctions en cas de violation des données. Il est donc indispensable de prévoir une politique de sécurisation des données et de ne prévoir l’accès qu’aux personnes dont les missions le justifient.

Droit des personnes physiques

Les personnes physiques disposent de nombreux droits sur leurs données personnelles. La RGPD fixe de nouveaux droits : droit à la portabilité des données, droit au refus du profilage ou de décisions automatisées, droit à la limitation.

Quelques rappels des droits existants :

Droit d’accès

Le droit d’accès existait avant le RGPD. Le règlement européen permet à la personne concernée de demander de nouvelles informations complémentaires.

  • durée de conservation des données qui la concernent,
  • source des données quand elles n’ont pas été collectées auprès de la personne,
  • profilage éventuel,
  • garanties prises en cas de transfert des données hors périmètre de l’UE.

Droit d’opposition

La législation française prévoit que toute personne est en droit de s’opposer, pour des motifs légitimes, à ce que des données qui la concernant fassent l’objet d’un traitement. Le RGPD prévoit que le même droit s’exerce, à tout moment pour des raisons tenant « à la situation particulière » de la personne concernée. Par conséquence, la personne peut demander au responsable du traitement la rectification ou l’effacement de données à caractère personnel, une limitation du traitement des données, le droit de s’opposer à ce traitement.

Il faut que la personne soit informée que son adresse électronique sera utilisée à des fins de prospection et qu’elle soit en mesure de s’opposer à cette utilisation de manière simple et gratuite. La Cnil (Commission nationale de l’informatique et des libertés) recommande que ce droit d’opposition soit exercé par le biais d’une case à cocher (opt out) libellé de la façon suivante « si vous ne souhaitez pas recevoir de notre part des offres commerciales pour nos produits analogues à ceux que vous avez déjà achetés / pour ne plus recevoir nos courriels, merci de cocher la case ci-dessous ».

Droit de rectification

Les personnes physiques disposent d’un droit de rectification de leurs données. Elles doivent recevoir une réponse dans les meilleurs délais. En pratique, si les données personnelles sont inexactes ou incomplètes, la personne concernée peut obtenir que ces dernières soient complétées ou modifiées en fournissant une « déclaration complémentaire ».

Droit à l’oubli

Le RGPD prévoit que les données doivent être conservées « pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».

Les informations ne peuvent donc être conservées de façon indéfinie, et ce, d’autant que l’un des principes du règlement européen est la limitation de la conservation.

Les personnes physiques peuvent demander l’effacement (droit à l’oubli) dans les meilleurs délais de leurs données, ce dans plusieurs hypothèses :

  • dès lors que les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées,
  • si la personne retire son consentement sur lequel est fondé le traitement 
ou si elle s’oppose au traitement,
  • si le traitement est illicite ;

Les nouveaux droits introduits par la RGPD:

Droit à la portabilité

Les personnes physiques peuvent demander au responsable de traitement une copie des données personnelles les concernant sous un format structuré, courant et électronique, celui-ci ayant obligation de s’exécuter. L’objectif est de permettre aux utilisateurs de changer de fournisseur sans perdre de données ( exemple pour changement de plateforme numérique, avec transfert des données à une autre plateforme)

Droit au refus du profilage ou de décisions automatisées

Le Règlement instaure explicitement un droit d’opposition au profilage à des fins de prospection. L’utilisation d’un algorithme visant à analyser les données d’un individu afin d’évaluer son intérêt pour certains types de produits et services, la probabilité qu’il les achète, qu’il se comporte de telle ou telle manière ou encore qu’il soit à tel ou tel endroit, peut être qualifiée de profilage, et donc faire l’objet d’un droit d’opposition.

Le droit d’opposition au profilage ne s’applique pas lorsque le profilage :

  • est nécessaire dans le cadre d’un contrat entre la personne concernée et le responsable de traitement,
  • est autorisé par le droit de l’Union ou d’un État membre,
  • est fondé sur le consentement explicite de l’individu.

Droit à la limitation

Concrètement, une personne physique peut demander au responsable de traitement de conserver les données qu’il détient la concernant sans pouvoir cependant les utiliser. Ce droit s’applique si :

  • l’exactitude des données à caractère personnel est contestée par la personne concernée, ce durant une durée permettant de vérifier l’exactitude des données,
  • les données font l’objet d’un traitement illicite,
  • les données personnelles ne sont plus nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droit en justice,
  • la personne concernée s’est opposée au traitement en vertu de son droit d’opposition.

Consentement de la personne physique

Le traitement de données personnelles est fondé sur le consentement préalable de la personne physique.

Le consentement doit être un « acte positif clair qui exprime de façon libre, spécifique, éclairée et univoque l’accord de la personne concernée ». Le consentement doit être donné librement et ne pas résulter de tromperies ou de manœuvres. Il faut aussi que la personne physique puisse être en mesure de refuser le traitement sans subir de préjudice. Le consentement doit être donné pour chaque finalité, peut être retiré à tout moment et doit être traçable. Le fait d’accepter des conditions générales dans un contrat ne vaut en effet pas consentement à être démarché commercialement. Le consentement ne doit pas être associé à l’obtention d’un lot, d’une réduction.

Une case pré-cochée sur un formulaire internet n’est désormais plus acceptable. De même, le silence sans comportement ultérieur, ne constitue pas un consentement valable.

Le consentement tacite est envisageable pour l’acceptation de certaines mesures techniques telles les cookies. La CNIL préconise le recueil du consentement en deux étapes : affichage d’un bandeau précisant les finalités précises des cookies, la possibilité de s’y opposer et de changer les paramètres et le fait que la poursuite de la navigation vaut accord ; si la personne a cliqué sur le bandeau, elle doit être informée de manière simple et intelligible des solutions mises à disposition pour accepter ou refuser tout ou une partie des cookies nécessitant un recueil de consentement.

Le RGPD impose au responsable de traitement de rapporter la preuve de ce consentement tacite, ce qui ne pourra être fait avec la simple poursuite de la navigation sur le site dans le cas des cookies.

Le consentement peut également être exprimé de manière expresse écrite ou orale. Une case pré-cochée sur un formulaire internet n’est donc pas acceptable, en revanche une case à cocher sera acceptée.

Le consentement peut être retiré ultérieurement. Dans ce cas, le retrait n’a d’effet que sur les opérations de traitement réalisées postérieurement à ce retrait. Ainsi, les processus engagés dans le passé ne peuvent donc pas être purement et simplement annulés.

Les formalités existantes actuellement, préalables à la mise en place des traitements de données personnelles sont allégées. En contrepartie, une obligation de tenue d’un registre des traitements des données personnelles est obligatoire :

  • pour les entreprises de plus de 250 salariés,
  • les traitements susceptibles de comporter un risque pour les droits et les libertés des personnes,
  • les données sensibles ou données relatives à des condamnations pénales et à des infractions.

Ce registre doit détailler pour chaque traitement un certain nombre d’éléments (finalité, durée de conservation, etc.) et doit être tenu à jour.

Devoir d’information des personnes physiques

Le RGPD énumère les informations qui doivent être communiquées. Cette liste est assez exhaustive et doit être appréhendée en fonction de l’activité de chaque entreprise:

  • les coordonnées du responsable de traitement et de son DPO. Le délégué à la protection des données (DPD) ou le data protection officer (DPO) est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme qui l’a désigné. Il est ainsi chargé d’informer, de contrôler le respect du règlement et du droit national en matière de protection des données, de conseiller sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution, de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci. Sa désignation est obligatoire pour les autorités ou les organismes publics, les responsables de traitement ou sous-traitants dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, ou dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions,
  • la finalité des informations lorsque le responsable de traitement a l’intention d’effectuer un traitement ultérieur,
  • le fondement juridique du traitement (tels que le consentement, les intérêts légitimes du responsable, le caractère réglementaire ou contractuel de la collecte des données en précisant si celles-ci conditionnent la conclusion d’un contrat et si la personne concernée est tenue de fournir les données ainsi que les conséquences éventuelles de la non fourniture de celles-ci),
  • la durée de conservation,
  • les droits des personnes : droit à la portabilité de vos données, de droits d’accès, de rectification, de limitation et d’opposition ainsi que du droit de définir des directives relatives au sort de vos données personnelles après votre mort, le droit de retirer son consentement lorsque le traitement des données est fondé sur le consentement, le droit d’introduire une réclamation auprès de l’autorité de contrôle,
  • le transfert de données vers un pays hors UE, Une mention est à ajouter en cas de transfert des données personnelles en dehors de UE qui précise le ou les pays d’établissement du destinataire des données dans les cas où ce ou ces pays sont déterminés lors de la collecte des données, la nature des données transférées, la finalité du transfert envisagé, la ou les catégories de destinataires des données, le niveau de protection offert par le ou les pays tiers.
  • s’il est procédé à du profilage (segmentation, approche comportementale, …).
  • la source d’où proviennent les données ainsi que l’indication qu’elles sont issues ou pas de sources accessibles au public.

Le contenu de l’information doit être complété par le consentement (opt-in ou opt-out) en fonction des traitements envisagés :

  • Prospection électronique, collecte ou cession de données sensibles : Opt-in (case à cocher si : « je déclare accepter recevoir des publicités commerciales »),
  • Prospection par voie postale ou téléphonique avec intervention humaine, prospection électronique pour produits ou services analogues, prospection entre professionnels, données relatives à l’identité ou la situation familiale à des fins commerciales : Opt-out (case à cocher si « Je refuse de recevoir des publicités commerciales »), Le sous-traitant a également une obligation d’information mais vis-à-vis du responsable de traitement (voir partie ci-dessus sur les obligations du responsable de traitement et le sous-traitant).

Cas spécifiques des services en SaaS : « software as a service »

Le règlement RGPD concerne tous les traitements de données touchant des citoyens de l’UE. La question du stockage des données hors de l’Union européenne est par conséquence un élément très sensible.

Le principe est qu’à l’exception d’opérations ponctuelles, le transfert de données personnelles (par exemple hébergement de données dans un autre pays, call center, filiale hors UE, usines de fabrication ou prestataire de service hors UE etc) vers un pays situé en dehors de l’Union Européenne et de l’Espace économique européen n’est pas autorisé. Les Etats-Unis sont concernés, leur droit favorise la libre circulation de l’information et donne des droits importants à l’Etat (Patriot act).

Si vous deviez cependant utiliser des services Cloud domiciliés hors zone UE vous devriez alors préciser et informer :

  • les conditions de transfert des données en dehors de l’UE,
  • les délais sous lesquels vous serez informé de tout changement,
  • comment les données sont supprimées en cas de demande du client ou par la simple application de la réglementation sur la durée de stockage,
  • la nature et le contenu des plans de continuité du service en cas de restructuration ou de changement de propriétaire,
  • les modes de notification des failles de sécurité.

Notez que si vous souscrivez à une offre standardisée, le prestataire informatique pourrait a priori être considéré comme conjointement responsable mais pour prévenir tout risque de dilution des responsabilités dû à la présence de plusieurs responsables de traitement, la CNIL demande à ce qu’un partage clair des responsabilités soit réalisé dans le contrat de prestation.

Sécurité des traitements liés au RGPD

Il est nécessaire de sensibiliser les utilisateurs sur la sécurité des données. Il est ainsi nécessaire de documenter les procédures d’exploitation, de les tenir à jour et de les rendre disponibles à tous les utilisateurs concernés. Toute action sur un traitement de données à caractère personnel, qu’il s’agisse d’opérations d’administration ou de la simple utilisation d’une application, doit être expliquée dans un langage clair et adapté à chaque catégorie d’utilisateurs, dans des documents auxquels ces derniers peuvent se référer.

Il peut être nécessaire d’intégrer dans certains contrats de travail des salariés des clauses relatives à la protection des données personnelles. De même, il peut également être ajouté dans les contrats avec les prestataires une clause permettant de retenir la faute de la personne dès lors qu’elle divulgue une information confidentielle sans autorisation préalable.

Sanctions prévues par le RGPD

Le règlement européen prévoit des sanctions plus fortes en cas de non-respect de ses dispositions que ce soit par le responsable de traitement ou le sous-traitant. Les entreprises peuvent être sanctionnées jusqu’à hauteur de 20 millions d’euros ou de 4% de leur chiffre d’affaires annuel mondial en particulier en cas d’absence de consentement des personnes physiques ou la violation des principes de bases de la gestion des données personnelles.

Une personne dont les données personnelles ont été volées peut obtenir réparation en responsabilité civile. La loi informatique et liberté de 1978 permettait déjà aux victimes d’un traitement illicite d’obtenir réparation auprès du responsable de traitement, sur le fondement du droit commun.

Le RGPD introduit plusieurs nouveautés.

Une responsabilité solidaire entre le responsable de traitement et le sous- traitant est créée. Le RGPD pose le principe selon lequel toute victime d’une non-conformité « a le droit d’obtenir du responsable de traitement ou du sous-traitant réparation du préjudice subi » :

  • la personne concernée peut demander réparation de l’intégralité du préjudice soit au responsable de traitement soit au sous-traitant,
  • lorsque l’une des parties a réparé l’intégralité du dommage, celle-ci dispose ensuite d’un recours contre l’autre partie à hauteur de sa part de responsabilité dans le dommage.

Synthèse sur la RGPD

Cette évolution réglementaire majeure va imposer dans toutes les entreprises des modifications à différents niveaux.

Cet article est la synthèse des réflexions que nous avons chez Orson sur ce sujet. Elles nous ont permis de définir notre plan d’actions et d’identifier les différents chantiers à conduire pour être calé sur la réglementation dès le 25 Mai.

En fonction de votre métier, de l’exploitation des données, il vous faudra peut être recourir aux services d’experts.

N’hésitez pas à nous faire part de vos remarques et commentaires, nous serons ravis de les prendre en compte.

> Le texte de loi sur le :Règlement européen sur la protection des données (RGPD)

Frédérique Biau

Traductrice et Rédactrice autour des Nouvelles Technologies et du Web. Frédérique est en charge de partager nos astuces avec l'art et la manière !