RGPD : MODE D’EMPLOI
Posted on: avril 12, 2018, by : François-René Lebatard
La tendance est au renforcement de la protection des données à caractère personnel, les affaires CAMBRIDGE ANALYTICA ou encore la mise en demeure récente de la CNIL à DIRECT ENERGY sur les compteurs LINKY[1]en sont des illustrations récentes.
La bonne gestion de ces données et la maitrise des traitements, notamment en matière de sécurité, devient un enjeu en matière de responsabilité, d’éthique et de crédibilité pour les différents utilisateurs de data, particulièrement les entreprises.
Le Règlement européen sur la protection des données (RGPD) du 27 avril 2016[2]réaffirme les grands principes sur les traitements des données à caractère personnel, renforce les droits des personnes concernées et impose de nouvelles obligations aux responsables de traitement de données à caractère personnel basées sur la transparence et la responsabilisation des acteurs.
Il est directement applicable au 25 mai 2018 !
3 grands principes :– Accountability[3],– Privacy by design[4],– Privacy by default[5] |
Nous passons d’un mécanisme de protection reposant sur des formalités préalables à une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement des autorités nationales comme la CNIL.
Si les formalités administratives sont allégées ou supprimées, obligations à la charge des responsables de traitement sont renforcées car ils doivent être en mesure de justifier la conformité de leurs traitements aux nouvelles obligations en vigueur à partir du 25 mai 2018.
-
Lexique préliminaire :
L’article 1 de la loi informatique et liberté pose le principe que :
« Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant. »
Corolaire du droit au respect de la vie privée, il s’agit d’un droit fondamental auquel l’Union Européenne et les états membres attachent une importance particulière.[6]
Les traitements de ces données sont en conséquence soumis à des obligations légales et réglementaires dont l’importance est fonction du type de données collectées, de la finalité du traitement et des risques afférents à la divulgation de ces données.
La loi informatique et libertés[7]définit les notions suivantes qui permettent d’appréhender ces obligations :
- Données à caractère personnel (DCP)
Sont notamment considérées comme DCP, les données suivantes :
- Etat civil : nom, prénom(s), date de naissance, sexe, situation familiale
- Adresses postales, électroniques
- Numéros de téléphone
- Photographies
- Formation, diplômes, distinctions
- Coordonnées bancaires
- Données de connexion (date, heure, adresse IP de l’ordinateur, visiteur, page consultée)
Les coordonnées professionnelles peuvent être considérées également comme des DCP.
- Traitement de données
Collecte, enregistrement, organisation, conservation, consultation et utilisation des DCP.
- Responsable du traitement
Le responsable du traitement des données est celui qui détermine ses finalités et ses moyens.
- Sous-traitant
Tout prestataire à qui le responsable du traitement confie des opérations de traitements des DCP, par exemple à des fins de prospection, d’actualisation.
Le contrat liant le sous-traitant au responsable du traitement doit comporter l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.
- Personnes concernées
Personnes dont les données font l’objet du traitement.
- Droits des personnes concernées
– Droit à l’information
– Recueil du consentement
– Droit d’opposition et d’effacement
– Droit d’accès et de rectification
- Durée de conservation des données
Il n’est pas nécessaire de définir une durée précise, mais il faut distinguer entre usages et finalités des données afin de ne conserver les données que le temps strictement nécessaire à la finalité du traitement. Au-delà du délai estimé, la loi n’autorise à conserver les données qu’à des fins historiques, statistiques ou scientifiques.
- Obligations du responsable du traitement
Les responsables du traitement doivent :
- informer de façon claire et non équivoque les personnes concernées,
- recueillir leur consentement a priori,
- répondre a posteriori à toutes leurs demandes.
L’organisation et les mesures techniques mises en œuvre doivent permettre d’assurer la sécurité et l’intégrité des données vis-à-vis des destinataires du traitement (salariés) ou des sous-traitants.
-
RGPD– Quoi de neuf ?
- Quoi de vieux ?
Pas de bouleversement, les grands principes déjà présents dans la loi informatique et liberté, la directive de du 24 octobre 1995 relative aux DCP sont actualisés, précisés et renforcés pour certains d’entre eux, notamment pour tenir compte des évolutions numériques récentes :
- licéité, loyauté et transparence du traitement ;
- limitation des finalités : les DCP sont collectées pour des finalités déterminées, explicites et légitimes ;
- minimisation des données : les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement ;
- exactitude : les données doivent être exactes et, si nécessaire, tenues à jour ;
- limitation de la conservation à une durée n’excédant pas celle nécessaire au regard des finalités du traitement ;
- intégrité et confidentialité : les données sont traitées de façon à garantir une sécurité appropriée, à l’aide de mesures techniques et organisationnelles adaptées.
- Ce qui change pour les personnes concernées ?
Le RGPD renforce les droits des personnes concernées et facilite l’exercice de ceux-ci :
- pour certains traitements de DCP, les personnes doivent avoir exprimé leur consentement. La charge de la preuve du consentement incombe au responsable du traitement. Les conditions de l’expression du consentement sont désormais définies et précisées par le règlement.
- transparence des informations et des communications. Le RGPD impose la mise à disposition des personnes d’une information « concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples» ;
- droit d’accès de la personne concernée ;
- droit de rectification des données inexactes ou incomplètes ;
- droit à l’effacement (« droit à l’oubli »), notamment lorsque les données ne sont plus nécessaires au regard des finalités du traitement ;
- droit à la portabilité des données. Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies, dans un format aisément réutilisable, et le cas échéant de les transférer à un autre responsable de traitement ;
- droit d’opposition au traitement des données, notamment celles traitées à des fins de prospection ;
- droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage[8].
- Ce qui change pour les responsables de traitement ?
Vous êtes concernés. Vous êtes une personne physique ou morale qui, à titre professionnel, commercial ou gratuit, de manière principale ou accessoire, collecte, stock, gère, transfère ou utilise, directement ou indirectement, de quelconque façon des DCP ?
Vos obligations :
Certaines obligations du RGPD ( Etude d’impact, autorisation …) s’imposent seulement pour certains traitements, soit en raison de la qualité des données traitées (caractère sensible des données) ou leur quantité (traitement à grande échelle), soit en fonction de seuils (250 employés), soit encore à raison de la qualité du responsable du traitement (organismes publics).
Mais la plupart des obligations du RGPD sont applicables à l’ensemble des responsables de traitement ou d’application fortement recommandée.
– Le registre des activités de traitements – RAT
Si le RGPD n’impose la tenue d’un registre des activités de traitements que pour les entreprises ou organisations de plus de 250 employés (ou pour les traitements de données sensibles), nous recommandons fortement la tenue d’un tel registre, quelque soit la taille de l’entreprise, car cela permet de documenter la conformité au RGPD en regroupant l’ensemble des informations requises à cet effet.
– Le délégué à la protection des données (DPO – « data protection officer »)
Correspondant informatique et libertés en version 2.0 aux missions et aux responsabilités renforcées.
Il pilote les traitements des données à caractère personnel de l’entreprise, vous conseille régulièrement sur vos obligations et assure votre conformité. Il est votre intermédiaire officiel avec la CNIL.
Il n’est pas obligatoire pour des traitements à petite échelles de données non sensibles mais fortement recommandé par la CNIL. La désignation d’un DPO de préférence externe à l’entreprise permet de sécuriser le processus de mise en conformité et de maintenir un haut degré de conformité par la suite.
– La notification de failles de sécurité
Le RGPD impose aux responsables de traitement de notifier dans un délai de 72H00 toute violation de données à caractère personnel aux autorités et dans certains cas aux personnes concernée.
– La responsabilité des sous-traitants
Le sous-traitant est désormais tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité aux côtés du responsable de traitement.
– Renforcement des sanctions
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. La CNIL peut notamment :
- Prononcer un avertissement ;
- Mettre en demeure le responsable du traitement ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données ;
- Prononcer des amendes administratives (en fonction de l’infraction de 10 à 20 M€, ou, dans le cas d’une entreprise, de 2 à 4% du chiffre d’affaires annuel mondial (art. 83 du RGPD;
Pour mémoire, les sanctions pénales sont quand à elles inchangées (article 226-16 et suivant et R625-10 et suivant du code pénal).
-
Actions à envisager
Oubliez votre vieille déclaration CNIL et vos mentions informatique et libertés obsolètes :
- Action 1 – Documenter la conformité
C’est le principal défi imposé par le RGPD, la simple déclaration à la CNIL ne suffit plus pour s’assurer de la régularité du traitement. La documentation doit regrouper les éléments suivants :
- Le Registre des activités de traitement
- Les éléments justificatifs de l’information des personnes concernées (mentions CNIL, charte Données personnelles, procédure interne pour l’exercice des droits d’accès et de rectification
- Les éléments justificatifs du consentement (Formulaire de recueil et preuves)
- Procédure en cas de violation des données
- Justificatifs des mesures de sécurité organisationnelles (Contrats avec les sous-traitants, clause confidentialité salariés )
- Action 2 – Établir et tenir un registre des activités de traitement
Nous conseillons de partir des anciens traitements déclarés à la CNIL.
Le registre recense l’identité du responsable, les finalités du traitement, les personnes et les catégories de données concernées, les destinataires des données, les durées de conservation des données, ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles.
Ce document de référence peut servir également afin de sensibiliser les salariés aux limites du traitement des données à caractère personnel. Il pourra servir de source pour l’information des personnes concernées en cas d’exercice de leur droit d’accès
- Action 3 – Améliorer l’information des personnes concernées
LE RGPD exige que les informations suivantes soit communiquées de façon concise, transparente, compréhensible et aisément accessible par écrit, notamment par voie électronique :
1° Identité du responsable du traitement ;
2° Finalité du traitement ;
3° Caractère obligatoire ou facultatif des réponses ;
4° Conséquences éventuelles, à son égard, d’un défaut de réponse ;
5° Destinataires ou catégories de destinataires des données ;
6° Droit d’accès, de rectification ou d’opposition et celui de définir des directives relatives au sort de ses données à caractère personnel après sa mort;
7° Le cas échéant, transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne ;
8° Durée de conservation des catégories de données traitées ou des critères permettant de définir cette durée.
9° Droit d’introduire une réclamation auprès de la CNIL
Nous recommandons de regrouper l’ensemble des informations nécessaires dans un document unique type charte des données personnelles directement accessible depuis le site internet du responsable de traitement.
Le type d’information à communiquer diffère selon que les données sont obtenues directement auprès de la personne concernée ou auprès de tiers.
Lorsqu’il collecte les données auprès de tiers le responsable du traitement doit communiquer outre les informations énumérées ci-dessus, la source d’où proviennent les données, le cas échéant, si celles-ci proviennent de sources accessibles au public.
Le RGDP impose de communiquer ces informations à la personne concernée au plus tard dans un délai d’un mois après avoir obtenu les données ou lors de la première communication avec la personne concernée.
Le RGDP limite la rigueur de cette obligation qui s’analyse en une obligation de moyen. En effet l’information en cas de collecte indirecte ne s’applique pas si la fourniture de telles informations se révèle impossible ou exigerait des efforts disproportionnés.
La page Données personnelles du site internet évoquées ci-dessus pourrait être satisfaisante à cet égard.
- Action 4 – Recueillir explicitement le consentement des personnes concernées et anticiper le défaut de réponse
Le RGPD impose un principe d’opt-in (recueil du consentement de la personne préalable au traitement) contraignant pour les responsables de traitement de données à caractère personnel. Ce principe est tempéré par quelques exceptions.
A défaut de recueillir le consentement des personnes concernées, la conformité du traitement au RGPD risque d’être compromise, sauf à pouvoir invoquer un fondement alternatif relevant des régimes d’exception prévus par le RGPD.
- Action 5 – Savoir comment réagir en cas de violation des données
Le RGPD introduit une nouvelle obligation de notification à l’autorité de contrôle en cas de violation de données à caractère personnel. Auparavant cette obligation ne s’imposait qu’aux fournisseurs de service de communications électroniques (Fournisseurs d’accès à Internet, opérateurs de téléphonie fixe ou mobile).
Cette violation doit être suffisamment grave pour engendrer un risque pour les droits et libertés des personnes concernées. Le risque lui-même n’est pas défini et devra être apprécié au cas par cas.
Lorsqu’une telle violation se produit la procédure à respecter est la suivante :
- Notification de la violation à la CNIL dans les meilleurs délais et 72 heures au plus tard après en avoir pris connaissance.
- La personne concernée doit également être informée si la violation est a susceptible d’engendre un risque élevé pour ses droits, dans les meilleurs délais.
Des dérogations sont prévues :
- Le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement ;
- Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ;
- L’information exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être informées de manière tout aussi efficace.
- Action 6 – Assurer la confidentialité effective des données – Mesures techniques et Mesures organisationnelles
Pour la partie technique il s’agit d’organiser avec son service ou son prestataire informatique la sécurité effective des données (gestion de accès, protections contre le piratage, cloud sécurisé, site en https, détection des flux anormaux de données.).
Les mesures de sécurité organisationnelles sont réalisées soit au moyen de nouveaux contrats RGPD compatibles, soit par le biais d’avenants relatifs à la protection des données personnelles (clause de confidentialité) que ce soit avec les prestataires extérieurs (sous-traitants) et les salariés ;
-
Conclusion
Il faut :
- Auditer ses traitements de DCP,
- Établir un registre des activités de traitements ;
- Renforcer l’information des personnes concernées (mise à jour des CGU et page données personnelles) ;
- Mettre en œuvre ses meilleurs efforts pour recueillir le consentement exprès des personnes concernées ;
- Renforcer sa sécurité informatique ;
- Faire signer des accords de confidentialité avec ses sous-traitants, salariés ;
- Désigner un DPO et en tout cas se faire assister et conseiller pendant le processus de mise en conformité.
François-René Lebatard
NOTES :
[1]https://www.cnil.fr/fr/direct-energie-mise-en-demeure-pour-une-absence-de-consentement-concernant-les-donnees-issues-du
[2]Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
[3]Obligation de traçabilité et transparence vis-à-vis des autorités, visant à démontrer respect de la protection des donnéesà caractère personnel.
[4]Garantir dès la conception et lors de chaque utilisation le plus haut niveau possible de protection des données à caractère personnel par des mesures techniques et organisationnelles.
[5]Limitation par défaut de la collecte et de l’utilisation des données au regard de la finalité spécifique du traitement.
[6]Article 16 du traité sur le fonctionnement de l’Union européenne (traité FUE) Articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne.
[8]Profilage : « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » (article 4 du RGPD).
[9]« Toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement »