Le Règlement général sur la protection des données personnelles, RGPD, ou en anglais, General Data Protection Regulation, GDPR, a été adopté le 14 avril 2016 par le Parlement européen et est paru au journal officiel de l’Union Européenne le 4 mai 2016. Ce texte entrera en vigueur le 25 mai 2018.
Ce règlement s’appliquera dans tous les pays de l’Union Européenne, soit pour près de 500 millions de citoyens européens ! Le RGPD en sa qualité de règlement ne fera pas l’objet de transposition nationale.
Les entreprises pourront être sanctionnées de 2 à 4% de leur chiffre d’affaire annuel mondial en cas d’infraction. Les organismes encourront quant à eux des amendes allant de 10 à 20 millions d’euros.
Le RGPD, une opportunité pour les entreprises !
L’offre des services connectés est telle aujourd’hui qu’il est de plus en plus difficile pour une entreprise de se démarquer. Une mise en conformité rapide peut être pour une société un excellent vecteur de communication, d’autant plus si la concurrence est à la traîne.
Cette communication sera d’autant plus efficace que la sécurité est devenue au fil des années le critère numéro un de sélection d’un service, aussi bien pour les entreprises que pour les particuliers.
Cette remise à plat de la sécurisation des données permet également de redéfinir une stratégie globale de sécurité et in fine de lutter plus efficacement contre les cyberattaques.
A qui s’applique le règlement?
Comme évoqué plus haut, le RGPD entrera en vigueur dans tous les états membres de l’Union Européenne sans transposition. Il s’appliquera plus exactement non seulement aux organisations basées en Europe mais aussi à celles fournissant des biens et des services aux résidents européens ou ayant pour cible ces derniers.
Ce nouveau règlement étend la responsabilité aux sous-traitants des traitements des informations. Par exemple, le sous-traitant devra systématiquement informer l’entreprise responsable du traitement de la sollicitation d’un autre prestataire pour la gestion de ces données. Malgré cette extension, l’entreprise responsable des traitements des données sera toujours responsable en cas d’infraction.
Pour le RGPD, le responsable des données est l’entreprise ou l’organisme qui détermine les finalités et les moyens de la récupération et du traitement des données. Un sous-traitant est une organisation en charge du traitement des données pour le compte du responsable du traitement des données.
Deux concepts clés
La définition des données personnelles du RGPD est la même que celle de la loi Informatique et Libertés. Une donnée est dite personnelle quand elle permet, directement ou indirectement, d’identifier une personne physique. Un nom, une adresse email, une adresse IP, des coordonnées bancaires ou un emplacement géographique sont considérées comme des données à caractère personnel.
Les utilisateurs doivent être informés clairement de l’usage de leurs données et doivent donner leurs accords pour le traitement de ces dernières. Le responsable du traitement devra pouvoir fournir une preuve de ce consentement. Pour les mineurs de moins de 16 ans, le consentement doit être effectué par les responsables légaux. Cet âge pourra être abaissé jusqu’à 13 ans par les Etats membres.
Le RGPD repose sur deux concepts clés : le droit d’accès et le droit à l’oubli. Les individus auront le droit à l’effacement de leurs données dans les circonstances suivantes :
- si l’individu n’accepte plus que ses données soient exploitées
- si la période de stockage consentie par l’utilisateur est terminée
- si l’individu s’oppose aux traitements des données personnelles
- si les données collectées ne sont plus nécessaires pour atteindre le buts pour lesquelles elles ont été collectées ou traitées
Ce droit à l’oubli est modifié. Dans certains cas, ce droit ne s’applique pas s’il existe une raison légitime de conserver des données personelles; l’entreprise en charge devra alors prouver que ces données ne peuvent pas être supprimées en raison de leur pertinence ou de leur nécessité.
Le droit d’accès de transférabilité donnent aux individus le droit d’obtenir d’une entreprise l’effacement, le blocage, la restitution ou la rectification de données personnelles le concernant.
Le RGPD permet aux associations spécialisées dans la protection des droits et libertés des personnes de lancer des actions collectives.
Un droit à la réparation morale et matérielle est également prévu par la nouvelle législation.
Un interlocuteur unique
Les entreprises auront un interlocuteur unique. Cette autorité de protection des données, désignée sous le terme de « chef de file » sera nationale. Elle permettra notamment aux organisations d’avoir un seul interlocuteur en cas de traitements de données transnationaux. Cet établissement sera en France la CNIL. Ces autorités « chef de file » constituent le Comité européen de la protection des données, le CEPD. Il remplacera à terme le G29, le Groupe de travail Article 29 sur la protection des données. La CNIL joue un rôle majeur dans la mise en place du RGPD puisqu’elle assure la présidence du G29 jusqu’en février 2018.
La protection des données personnelles érigée en art de vivre
Le Règlement général sur la protection des données va contraindre toutes les entreprises à faire de la gouvernance des données personnelles un véritable art de vivre. Il sera en effet impossible d’opter pour de grands travaux ponctuels effectués à la manière du grand nettoyage printanier. La stratégie mise en place pour la gestion et le traitement des données personnelles devra être constituée de processus temps réel.
Une entreprise peut mettre en place cette stratégie en s’interrogeant sur le lieu de stockage des données, ce que représentent les données, les personnes ayant accès aux données et enfin l’utilisation faite des données. La connaissance et la maîtrise de ces quatre points clés permettent de (re)prendre la maîtrise des données traitées et gérées. Mieux encore, cette approche peut permettre de se délester du poids de la gestion de données devenues obsolètes, doublonnées ou inutiles.
Cette méthodologie est essentielle pour respecter le principe dit de « minimisation » introduit par le RGPD. Les entreprises collectant et traitant des données doivent en effet concevoir ou améliorer leurs services afin de fonctionner avec le strict minimum d’informations confidentielles.
Cette approche permet également de se conformer facilement à un point essentiel du RGPD : les organisations devront pouvoir démontrer à tout moment leur conformité au règlement. La tenue d’un registre des traitements mis en œuvre, la notification de failles de sécurité aussi bien aux autorités qu’aux personnes concernées et des études d’impact sur la vie privée (EIVP) seront notamment exigées lors des investigations menées par les autorités.
« Nul n’est censé ignorer la loi »
La CNIL a mis en ligne sur son site internet le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016. Les responsables des traitements des données à caractères personnel ne peuvent pas ignorer ce texte.
