Le Règlement général sur la protection des données (RGPD): nous sommes tous concernés !
-
A quelle date prend-il effet ?
RGPD : le règlement général sur la protection des données personnelles (RGDP) remplace la loi de 1995 EU Data Protection Directive. La loi Européenne relative à la protection des données entrera en vigueur le 25 mai 2018.
-
Constat
Il est évident que depuis le milieu des années 1990, le paysage technologique et numérique a beaucoup évolué. Le RGPD a été conçu pour moderniser le cadre juridique en matière de protection des données. Il l’adapte à ces évolutions.
Plus largement, le RGPD a pour ambition de “redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises”.
-
Quel est l’objectif de la loi ?
Cette loi a pour objectif de renforcer les droits des individus concernant leurs données personnelles. Elle vise à uniformiser les lois sur la protection des données au sein de l’Union européenne. Quel que soit le pays où les données sont traitées. Le RGPD poursuit plusieurs objectifs ambitieux :
- Uniformiser au niveau européen la réglementation sur la protection des données.
- Responsabiliser davantage les entreprises en développant l’auto-contrôle.
- Renforcer le droit des personnes concernant :
- l’accès
- l’oubli
- la portabilité…
-
A qui s’adresse-t-elle ? Quelles sont les entreprises concernées ?
Les règles du RGPD s’appliqueront, à compter de mai 2018, à toutes les entreprises privées ou publiques des 28 Etats membres de l’Union européenne.
Plus précisément, aux entreprises :
- Proposant des biens et services sur le marché de l’UE.
- Collectant et traitant des données à caractère personnel sur les résidents de l’UE.
Le règlement s’appliquera également aux entreprises non implantées en UE. Et dès lors, qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.
-
Périmètre d’application du RGPD
Les règles et obligations du RGPD s’appliquent au traitement – automatisé ou non – des données à caractère personnel.
Le RGPD donne une définition précise des « données à caractère personnel » (DCP) : il s’agit de “ toute information se rapportant à une personne physique identifiée ou identifiable”
Le RGPD concerne uniquement la protection des données personnelles rattachées à des personnes physiques. Ce qui signifie que le RGPD ne s’applique pas aux entreprises ne traitant que des données relatives à des personnes morales, sauf si celles-ci sont amenées à collecter des données sur des représentants des personnes morales (ce qui, dans les faits, est presque toujours le cas…).
En revanche, la collecte d’informations sur l’entreprise (dénomination sociale, objet social, numéro de TVA, SIRET, etc.) en est exclue.
Le « traitement des données », fait référence à la collecte, à l’accès, au stockage, à la manipulation, à la destruction et à la consultation à distance des données. Concrètement, une entreprise qui délègue à un prestataire la collecte et le stockage des données fait néanmoins du traitement de données dans la mesure où elle les consulte.
-
Quelles sont les 4 mesures à retenir ?
- Le consentement…
- … des individus quant à la collecte et au traitement des données à caractère personnel devra être explicite.
- La transparence
- Les entreprises devront, dès la phase de collecte, fournir aux individus des informations claires. Elles devront être sans ambiguïté sur la manière. (conditions générales de ventes, dans les formulaires de contact sur un site Web, sur un contrat…).
- La responsabilité
- Faciliter l’accès de la donnée aux utilisateurs,
- Droit à l’oubli d’un mois pour la suppression des données par le service concerné,
- Droit à la portabilité, les utilisateurs peuvent demander à ce que les données soient transmises à un autre fournisseur.
- Le droit de la personne
- Informer sur le contenu des nouvelles obligations,
- Sensibiliser les décideurs sur l’impact de ces nouvelles règles,
- Réaliser l’inventaire des traitements de données de votre organisme :
- Concevoir des actions de sensibilisation,
- Piloter la conformité en continu.
- Le consentement…
-
Définition des différents acteurs concernés par le RGPD…
- Les responsables de traitement des données sont les clients et les revendeurs de solution. Les clients G Suite et Google Cloud Platform sont responsables du contrôle des données personnelles qu’ils fournissent à Google. Toutes les éditeurs sont concernés à partir du moment où ils traitent de la donnée.
- Le prestataire de traitement se charge des opérations au nom du responsable. Google est considéré comme étant un prestataire de traitement qui traite les données.
- Les responsables du contrôle des données définissent quant à eux, les finalités des données personnelles et leurs modes de traitement.
- Le délégué à la protection des données est une personne désignée par votre entreprise et qui s’assurera en interne de veiller au respect de la loi.
Et maintenant, par où commencer ?
Tout d’abord, en tant que client actuel et futur, vous pouvez commencer à vous préparer au RGPD. Pour vous aider à vous préparer, la CNIL a partagé une méthode en 6 étapes que nous avons synthétisé dans ce document pour une meilleure compréhension.
-
Etape 1 : Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigné un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.
Avoir un référent en interne est obligatoire pour les organismes public et pour toute entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Le rôle du délégué à la protection des données est d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés, de contrôler le respect du règlement et du droit national en matière de protection des données, de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution et de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Il a pour obligation de s’informer sur le contenu des nouvelles obligations, de sensibiliser les décideurs sur l’impact de ces nouvelles règles, de réaliser l’inventaire des traitements de données de votre organisme, de concevoir des actions de sensibilisation et de piloter la conformité en continu.
-
Etape 2 : Cartographier
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles dans un registre des traitements pour faire le point. Dans ce registre devront apparaître les éléments suivants :
- Les différents traitements de données personnelles,
- Les catégories de données personnelles,
- L’objectif du traitement des données personnelles,
- Les acteurs concernés,
- Les flux de données.
Concrètement, vous devrez répondre aux questions suivantes :
Pour entrer dans les détails, après vous être posé toutes ces questions, il va falloir que vous mesuriez l’impact du règlement sur votre activité en répondant à certaines exigences. Réalisez une analyse fine des opérations effectuées à caractère personnel comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion, l’interconnexion et l’effacement ou la destruction. (Consultez ce lien pour en savoir plus…)
Comment définir les catégories de données traitées ? Toute personne pouvant être identifiée par un identifiant, un nom, un numéro d’identification, des données localisables, un identifiant en ligne, une identité physique et une identité psychologique, génétique, psychique, économique, culturelle ou sociale.
Puis, vous devrez définir les objectifs, la finalité de chacune de vos opérations comme la gestion des recrutements, la gestion des clients, les enquêtes de satisfaction, la surveillance des locaux..
Enfin, vous devrez identifier les acteurs internes et externes qui traitent la donnée comme les prestataires sous traitant afin d’actualiser les clauses de confidentialité et les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l’Union européenne.
-
Etape 3 : Prioriser
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées (les plus sensibles).
Pour ce faire, vous devrez identifier la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale), réviser vos mentions d’information afin qu’elles soient conformes aux exigences du règlement, vérifier que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, connaître l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées, prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…) et vérifier les mesures de sécurité mises en place.
-
Etape 4 : Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d’impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA). Pour cela, vous devrez bâtir un traitement de données personnelles ou un produit respectueux de la vie privée. Apprécier les impacts sur la vie privée des personnes concernées et démontrer que les principes fondamentaux du règlement sont respectés.
Ce qu’il faut retenir : votre étude d’impact devra être réalisée avant de collecter des données et de mettre en oeuvre le traitement et, nous le rappelons, sur tous traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes physiques.
-
Etape 5 : Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes. Elles garantissent la prise en compte de la protection des données à tout moment. Elles prenent en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement.
Pour cela, il faudra prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement, sensibiliser, organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs et traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits en définissant les acteurs et les modalités.
Et enfin, anticiper les violations de données en prévoyant, dans certains cas, la notification à l’autorité de protection des données dans les 72 heures et aux personnes concernées dans les meilleurs délais.
-
Etape 6 : Documenter
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés.
Dans ce dossier, vous devrez mettre en avant : la documentation, les analyses d’impact sur la protection des données (PIA), l’information des personnes et les contrats qui définissent les rôles et responsabilités des acteurs.
En ce qui concerne la documentation, elle devra faire référence au registre des traitements (pour les responsables de traitements) ou les catégories d’activités de traitements (pour les sous-traitants). Pour l’analyse d’impact sur la protection des données (PIA), faire apparaître les traitements susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes. Et enfin pour l’encadrement des transferts de données hors de l’Union européenne (notamment, les clauses contractuelles types, les BCR et certifications)
En ce qui concerne l’information des personnes, faire apparaître les mentions d’information, les modèles de recueil du consentement des personnes concernées et les procédures mises en place pour l’exercice des droits.
En ce qui concerne les contrats qui définissent les rôles et responsabilités des acteurs vous aurez besoin des contrats avec les sous-traitants, des procédures internes en cas de violations de données et des preuves que les personnes concernées ont donné leur consentement lorsque le traitement de leurs données repose sur cette base.
En conclusion…
Suivez les 6 étapes clés pour préparer votre dossier, vous serez en mesure d’accueillir cette nouvelle loi européenne avec sérénité.
Cependant, pas d’inquiétude si vous n’avez pas répondu à tous ces critères à la date tampon du 25 mai 2018. Il faut simplement montrer votre volonté à vous conformer à cette nouvelle loi.
Rappelons que toutes les entreprises sont concernées à partir du moment où elles proposent des biens et services sur le marché de l’UE et qu’elles collectent et traitent des données à caractère personnel sur les résidents de l’UE et également celles non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.
Nous sommes conscients que toutes les entreprises ne disposent pas de ressources internes.
Surout, vous avez trois solutions :
- Désigner un délégué à la protection des données au sein de votre entreprise
- Embaucher un délégué à la protection des données
- Consulter les conseils en matière de régulation OU faire appel à un avocat.
Digital Collab a décidé de s’appuyer sur un cabinet spécialisé en matière de droit de l’immatériel (Avocats experts en droit du numérique et de l’innovation : Informatique, internet, marques, protection et valorisation de vos idées) pour nous aider dans cette démarche. Par la suite, nous vous partagerons, les informations clefs que nous avons apprises, les erreurs à ne pas commettre ainsi que nos conseils.
D’ores et déjà, nous prévoyons la révision de nos documentations et actions tous les ans afin d’être en mesure de vous le proposer.
En savoir plus…
- Règlement européen : se préparer en 6 étapes
- Google Cloud et le Règlement général sur la protection des données (RGPD)
- Google Cloud: Our Commitment to the General Data Protection Regulation (GDPR) (en anglais)