RGPD, êtes-vous prêt pour ?

Le Dans Environnement
GDPR @ SéverineAutin.com

À partir du 25 mai 2018, le RGPD (règlement général sur la protection des données ou GDPR en anglais pour General Data Protection Regulation) va entrer en vigueur. Il s'agit d'une importante réforme européenne de la protection des données.

Jusqu'à maintenant, la directive de 1995 (directive 95/46/CE) est en vigueur, mais une révision de la loi était devenue nécessaire suite aux évolutions technologiques. En 1995, Internet n’était alors qu’à ses débuts. Aujourd’hui, la protection des données doit notamment faire face au Big Data, à la robotique et à l’ intelligence artificielle.

Le but du RGPD : réglementer le traitement des données uniformes au niveau de l’UE. D'où 2 questions pour les entreprises : quelles sont les nouvelles lois ? Et quelle conséquence pour les gestionnaires de sites web ? Pour le 25 mai, des modifications doivent alors être faites, surtout pour le e-commerce, ainsi qu’au niveau des données personnelles dans les entreprises publiques ou privées. Donc, si vous n'êtes pas encore à jour, il est temps de le faire !

Autrement dit, voici un résumé de la nouvelle situation juridique avec les points importants à noter.

Le RGPD est tout d'abord un... règlement :

Ce qui signifie que contrairement à une directive européenne, il s'applique à sa date d'entrée en vigueur officielle. Et ce pour tous les états membres de l’UE, donc surpassant toutes les lois nationales existantes. Toutes les entreprises publiques et privées qui travaillent avec des données à caractère personnel doivent alors mettre en œuvre immédiatement les nouvelles dispositions imposées par l’UE.
Apparemment cette urgence n’est pas encore prise en compte totalement par toutes les entreprises ! Selon une étude récente, une entreprise sur 5 ne respectera pas le règlement en France au 25 mai ! Et malgré des sanctions lourdes prévues en cas d’infraction.

Globalement, les obligations contraignantes ont pour but de documenter et prouver quelles données une entreprise collecte, à quelles fins elle les utilise et enfin comment elle les traite. Le RGPD implique avant tout un travail de documentation.
C’est là qu’interviennent les BCR (règles internes d’entreprise ou Binding Corporate Rules en anglais), qui constituent le code de conduite qui définit la politique d’une entreprise pour le transfert de données personnelles.

Le RGPD protège les données à caractère personnel :

Déjà aujourd'hui l'utilisation du Cloud-Computing est sujet à risque. Car le cloud computing implique souvent la manipulation de grandes quantités de données personnelles. Les entreprises qui stockent des données sur la santé risquent d’être encore plus touchées car ces données sont considérées comme particulièrement sensibles.

Les évolutions techniques futures sont également prises en compte par le règlement.
Le RGPD anticipe par exemple la collecte des données biométriques auprès d'employés qui peut être obligatoire pour certaines taches sur des machines intelligentes. Utiliser ces données à d’autres fins comme pour calculer ou surveiller le rendement d'une personne au travail pourrait être une tentation.
Le nouveau règlement européen doit donc également répondre à de tels développements et possibles dérives.

Les personnes suivantes sont concernées par le RGPD :

le RGPD va assurer d'une part une protection accrue pour consommateurs, internautes et utilisateurs de systèmes informatiques tout autant que clients et fournisseurs, et d'autre part pour les employés.

De plus, dans le futur, les autorités publiques et les entreprises dont l’activité principale est liée au traitement de données à grande échelle devront déterminer un délégué à la protection des données, qui sera responsable de la mise en application de cette loi.

Pour aider, RV sur le site de la Cnil.

Le RGPD @ SéverineAutin.com

Les grands principes du RGPD sont :

Interdiction de principe avec réserve d’autorisation : cela signifie que tout traitement de données à caractère personnel et « sensible » est interdit, à l'exception qu’il ne soit expressément autorisé à la fois par les personnes et par une autorité (en France la CNIL).
Les données jugées « sensibles » sont la santé, les opinions, les origines ethniques, etc.
Autrement dit, le RGPD implique le principe de la maîtrise par l’individu de ses données, et toute personne dispose ainsi du droit de décider et de contrôler les usages des données à caractère personnel la concernant.

La finalité : la collecte et le traitement des données ne doivent être faits qu’à des fins déterminées. Par conséquent, avant la collecte, les objectifs doivent être spécifiés et l’utilisation future des données doit être documentée. Ex: des données collectées pour rédiger un contrat sont stockées à ce titre et ne peuvent être utilisées pour de la publicité. S'il y a des changements d’objectifs ils ne sont autorisés que dans certaines circonstances. Le consentement de l’employé ou du consommateur n’est valable que pour les objectifs énoncés.

Minimisation de la collecte : le principe de limitation de données oblige les entreprises à demander le moins de données possible = elles doivent être propres à la réalisation de l’objectif. C'est à dire que les données non pertinentes à la finalité énoncée sont prohibées. D'où l'interdiction de la collecte de données « blinde » en mémoire.
De plus, les données personnelles ne peuvent être gardées que pour la durée nécessaire à la finalité poursuivie. Si l’autorisation de traitement expire (par exemple si le consentement est révoqué), les données doivent être supprimées.

Transparence : le traitement des données doit être clairement énoncé et compréhensible.

Confidentialité : les entreprises doivent s’assurer qu’elles protègent les données personnelles de leurs clients sur le plan technique et organisationnel, que ce soit contre un traitement non autorisé, des altérations des données, des vols ou encore la destruction des données.

Simplicité : la déclaration de consentement doit être faite de manière claire et compréhensible et doit pouvoir être révocable. La révocation doit être aussi facile que pour donner son consentement.

Droit à l’information et au déréférencement : les citoyens de l’Union européenne ont le droit de connaître, sur demande, quelles sont leurs données détenues par une entreprise et comment elles sont utilisées. De plus, un consommateur peut aussi demander aux entreprises de supprimer les données (déréférencement).

En plus des obligations citées ci-dessus, les exploitants de sites Web devront penser aux :
- droit à la transférabilité des données
- interdiction de subordonner le consentement à l’exécution d’un contrat
et subiront des amendes très élevées en cas de non respect des obligations.

Hors-champ : l’e-commerce.

Le RGPD contient peu de règles explicites pour l’e-commerce, et énonce plutôt des principes car ce domaine est régi par d’autres lois.
Il y a néanmoins quelques innovations pour le commerce en ligne : si les cookies, le suivi des utilisateurs, le spam et le marketing direct ne figurent pas explicitement dans le règlement, il est complété par l’ePrivacy, un autre règlement du Parlement européen sur la protection de la vie privée en ligne. Sa date d’entrée en vigueur devrait être la même que celle du RGPD,
Là, une exigence de consentement sera très strict pour les cookies, avec des conséquences sur le ciblage et la publicité personnalisée.

Liste des mesures communes à toutes les entreprises pour se conformer au RGPD :

Si vous désirez commencer à appliquer le nouveau règlement européen de base sur la protection des données, la première règle est déjà de savoir que les mesures requises varient d’une entreprise à une autre. Cependant, il y a certaines mesures et précautions que toute entreprise doit obligatoirement prendre en compte, les voici :

  • Vérifier si vous devez désigner un délégué à la protection des données
  • Adapter la politique de confidentialité de votre site Internet à la nouvelle réglementation
  • Demander au responsable de votre département technique ou au délégué à la protection des données si vos mesures actuelles sont suffisantes. Dans certains cas, des mesures complémentaires peuvent être prises ou alors il peut suffire de mieux intégrer vos mesures existantes dans l’infrastructure informatique.
  • Etablir une liste des activités de traitement
  • Définir une documentation de conformité pour le traitement des données personnelles
  • Etablir des moyens de communications pour les requêtes et demandes des clients et des utilisateurs au sujet de la protection des données

et aussi :

  • Toutes les données personnelles collectées qui violent l’interdiction de la subordination d’un contrat au consentement doivent être collectées différemment et en tant que données fournies de manière volontaire.
  • Si vous faites appel à des sous-traitants pour ce sujet, vérifier avec eux si les accords conclus correspondent à la réforme du RGPD ou modifier vos accords pour être en conformité avec la loi.
  • Vérifier comment vous obtenez l’accord, le consentement de vos clients dans votre boutiques en ligne et adaptez la procédure en fonction de RGPD.
  • Rester attentif à l’application du règlement ePrivacy et notamment de sa date d’application car il va réglementer notamment la façon dont les boutiques en ligne peuvent utiliser les cookies et les outils d’analyse
  • Si vous n’êtes pas sûr, n’hésitez pas à faire appel aux conseils d’un professionnel.

En bref, on l'aura compris : aux entreprises d'être très vigilantes et responsables (d'où le terme d‘accountability) tout comme les exploitants de sites Web.

Suivez l'actualité du RGPD sur Twitter !

Besoin d'aide dans votre communication d'entreprise ?

Autres articles relatifs au domaine juridique :

. Protéger toutes vos idées
. Rappel sur les mentions juridiques

Retour au blog