Protection des données personnelles : êtes-vous en conformité avec le RGPD ?
Le règlement général sur la protection des données personnelles (RGPD), adopté en 2016, sera directement applicable dans tous les pays de l’Union européenne le 25 mai 2018.
Le règlement général sur la protection des données personnelles (RGPD), adopté en 2016, sera directement applicable dans tous les pays de l’Union européenne le 25 mai 2018. Ce nouveau cadre réglementaire renforce la protection des données personnelles et les droits des personnes concernées. Les entreprises doivent donc s’assurer de la conformité de leur traitement de données personnelles en matière de ressources humaines, de marketing, etc. au RGPD.
A compter du 25 mai 2018, les formalités à effectuer auprès de la Cnil concernant les traitements de données personnelles (déclaration ou demande d’autorisation) disparaissent, remplacées par un système d’auto-contrôle continu et de responsabilisation (compliance) des entreprises.
Qui est concerné par le RGPD ?
Le RGPD s’applique aux traitements de données personnelles, automatisés ou non, mis en oeuvre par des entreprises établies au sein de l’UE, quel que soit le lieu du traitement. Il en est de même si l’entreprise n’est pas établie dans l’UE mais que le traitement concerne des résidents européens « ciblés » en vue d’une offre de biens ou de services ou qu’il est lié au suivi du comportement de ces personnes.
Ce règlement européen est directement applicable en droit français. Il prévoit toutefois des marges de manoeuvre pour les Etats membres. Un projet de loi visant à adapter la législation nationale au droit de l’Union européenne en matière de protection des données personnelles est actuellement en cours de discussion au Parlement.
Qui est en charge de l’application du RGPD ?
Responsable du traitement
L’obligation d’appliquer les règles de protection des données personnelles découlant du RGPD pèse sur le responsable du traitement (c’est-à-dire l’entreprise qui met en oeuvre le fichier). Il doit donc prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque dans le traitement des données, conformément au RGPD.
Sous-traitant
L’entreprise peut recourir à un sous-traitant (prestataire de services informatiques, par exemple), chargé de traiter des données personnelles pour son propre compte.
Le RGPD liste les obligations du sous-traitant, les mentions devant figurer dans le contrat de sous-traitance et instaure une coresponsabilité du traitement des données entre l’entreprise et le sous-traitant.
Validité des traitements de données personnelles
Les principes concernant la collecte de données à caractère personnel sont maintenus (conditions de licéité du traitement, finalité du traitement, pertinence et proportionnalité des données, durée de conservation limitée, sécurisation des données).
Lorsque le traitement repose sur le consentement de la personne concernée, cette acceptation doit faire l’objet d’une déclaration ou d’un acte positif clair (pas de consentement par défaut). Ainsi, la pratique de l’« opt-in actif » (c’est-à-dire la case à cocher) est valable mais pas celle de l’« opt-out » (case précochée). La personne doit en outre pouvoir retirer son consentement à tout moment, tout aussi facilement.
Une offre de services ne peut être subordonnée à l’obtention du consentement si cela n’est pas nécessaire à sa réalisation.
Le responsable du traitement doit pouvoir prouver qu’il a bien recueilli le consentement de la personne concernée.
Documentation de la conformité
L’entreprise qui collecte des données personnelles doit désormais être en mesure de démontrer à tout moment que la protection des données est optimale et que le traitement mis en oeuvre est conforme aux exigences légales via une documentation interne (principe d’« accountability »).
Protection des données dès la conception et par défaut
La protection des données doit être prise en compte :
– dès la conception d’un service ou d’un produit (« privacy by design ») requérant un ou plusieurs traitements de données personnelles ;
– et par défaut (« privacy by default ») : seules les données personnelles nécessaires à la finalité spécifique du traitement doivent être traitées (principe de « minimisation des données »).
Parmi les techniques destinées à assurer le respect de ces dispositions figurent la pseudonymisation et le chiffrement des données.
De nouveaux outils pour être en conformité
Le registre des activités de traitement
Seules les entreprises d’au moins 250 salariés doivent tenir un tel registre. Toutefois, cette obligation s’impose si le traitement :
– présente un risque au regard des droits et des libertés des personnes concernées ;
– n’est pas occasionnel ;
– ou porte sur des données sensibles ou des données se rapportant à des infractions et condamnations pénales.
Néanmoins, la tenue d’un registre contribue au respect du principe d’« accountability » (consistant à documenter la conformité pour pouvoir la prouver) et est donc vivement conseillée.
L’analyse d’impact sur la protection des données (DPIA ou PIA)
Si le traitement envisagé présente un risque élevé d’atteinte aux droits et libertés des personnes, une analyse d’impact doit être effectuée par le responsable du traitement préalablement à sa mise en oeuvre.
Sont notamment visés les traitements suivants : profilage, traitement à grande échelle de données sensibles, surveillance systématique d’une zone accessible au public.
Désignation d’un DPO
Est-ce obligatoire ?
La désignation d’un délégué à la protection des données (« Data Protection Officer » ou « DPO »), en remplacement de l’actuel correspondant Informatique et libertés (« CIL »), est obligatoire dans certaines entreprises.
Il s’agit des entreprises dont l’activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou qui effectuent des traitements de données sensibles (opinions politiques, convictions religieuses, santé, données biométriques, génétiques, etc.) ou relatives à des condamnations pénales et des infractions.
Dans les autres entreprises, la désignation d’un DPO n’est donc pas obligatoire mais fortement recommandée afin de s’assurer de leur conformité au RGPD.
Désignation
Le DPO peut être désigné en interne (salarié de l’entreprise ou du sous-traitant) ou être externe à l’entreprise (prestataire extérieur). Il est possible de ne désigner qu’un seul DPO pour un groupe d’entreprises (DPO mutualisé).
Afin d’éviter tout conflit d’intérêts, il est recommandé que le DPO n’exerce pas en parallèle un poste pour lequel il serait amené à déterminer les finalités et moyens d’un traitement de données à caractère personnel, tel que directeur des ressources humaines, directeur du marketing ou des systèmes d’information, etc.
Sa désignation s’effectue en ligne auprès de la Cnil.
Missions
Les missions du DPO sont nombreuses et élargies par rapport au CIL : informer et conseiller l’entreprise ou le sous-traitant, assurer la conformité au RGPD des traitements de données personnelles mis en place par l’entreprise, conseiller cette dernière dans le cadre de la réalisation de l’étude d’impact et de son exécution, coopérer avec la Cnil, etc.
Il doit donc disposer de compétences techniques, juridiques et informatiques et de moyens matériels et organisationnels afin de pouvoir exercer sa mission.
Le DPO n’est pas personnellement responsable en cas de non-respect du RGPD. C’est l’entreprise ou le sous-traitant qui est responsable des manquements constatés.
Protection renforcée des droits des personnes
Droit d’accès
Les droits des personnes dont les données personnelles sont traitées sont renforcés et de nouveaux droits sont consacrés.
Toute personne a le droit de savoir si les données la concernant font l’objet d’un traitement et, si tel est le cas, d’accéder à ces données et d’obtenir certaines informations (finalité du traitement, destinataires des données, durée de conservation, etc.).
L’entreprise doit fournir gratuitement au demandeur une copie de ses données personnelles (sauf en cas de demande de copies supplémentaires ou de demande manifestement infondée ou excessive).
Droit de rectification
En cas de données inexactes ou incomplètes, la personne concernée peut demander à l’entreprise que celle-ci les rectifie.
Droit d’opposition
Le droit d’opposition peut être exercé pour des motifs liés à la situation particulière de la personne concernée, si le traitement est fondé sur l’intérêt légitime poursuivi par le responsable du traitement ou s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique.
Dès lors que ce droit est exercé, les données en cause ne doivent plus être traitées, sauf à pouvoir justifier de motifs « légitimes et impérieux » qui prévalent sur la personne concernée ou si le traitement est nécessaire à la constatation, l’exercice ou la défense de droits en justice.
Il est également possible de s’opposer aux traitements suivants :
– traitement de données à des fins de prospection (y compris le profilage lié à cette prospection) ;
– traitement à des fins de recherche scientifique, historique ou statistique (sauf si le traitement est nécessaire à l’exécution d’une mission d’intérêt public).
L’entreprise doit informer la personne concernée de son droit d’opposition au plus tard au moment de la première communication avec cette dernière. Cette information doit être présentée clairement et séparément de toute autre information.
Droit à l’effacement des données
Ce droit à l’oubli permet aux personnes d’obtenir l’effacement de leurs données à caractère personnel. Il ne concerne que certains cas énumérés limitativement par le règlement :
– les données ne sont plus nécessaires au regard de la finalité du traitement pour laquelle elles ont été collectées ou traitées ;
– la personne concernée a retiré son consentement au traitement et il n’existe pas d’autre fondement juridique à ce traitement ;
– elle s’est opposée au traitement des données (et l’entreprise est tenue de ne plus les traiter) ;
– les données personnelles ont fait l’objet d’un traitement illicite ;
– les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou celui de l’Etat membre auquel le responsable du traitement est soumis ;
– les données ont été collectées dans le cadre d’une offre de services de la société de l’information (services en ligne) à des enfants.
Et si les données à effacer ont été rendues publiques ?
Le responsable du traitement doit, dans ce cas, informer les autres responsables traitant ces données que la personne concernée a demandé qu’ils effacent tout lien avec elle ou encore toute copie ou reproduction de ces données.
Exceptions
Le droit à l’effacement ne s’applique pas si le traitement est nécessaire :
– à l’exercice du droit à la liberté d’expression et d’information ;
– pour respecter une obligation légale prévue par le droit de l’Union ou celui de l’Etat membre auquel l’entreprise est soumise, ou encore pour exécuter une mission d’intérêt public, ou relevant de l’exercice de l’autorité publique dont est investi le responsable de traitement ;
– à des fins de santé publique ;
– à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou encore à des fins statistiques, si l’effacement des données risque de rendre impossible ou de compromettre gravement la réalisation des objectifs du traitement ;
– à la constatation, à l’exercice ou à la défense de droits en justice.N° 369 - MAI 2018 11
Droit à la limitation du traitement
Ce nouveau droit, consacré par le RGPD, permet à une personne d’obtenir du responsable du traitement qu’il limite le traitement de ses données dans certains cas : contestation de l’exactitude des données (limitation du traitement le temps qu’elles soient vérifiées) ; opposition au traitement (limitation du traitement le temps que le responsable du traitement vérifie si les intérêts légitimes qu’il poursuit peuvent faire échec à l’opposition) ; traitement illicite des données (mais la personne s’oppose à l’effacement de ses données) ; données devenues inutiles à l’entreprise, mais nécessaires à la personne concernée dans le cadre d’une procédure judiciaire.
Les données conservées ne peuvent alors plus être traitées ni modifiées, sauf si :
– la personne concernée y consent ;
– le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ; à la protection des droits d’une autre personne physique ou morale ; pour des motifs importants d’intérêt public de l’UE ou d’un Etat membre.
Droit à la portabilité des données
Le droit à la portabilité des données, autre nouveauté du RGPD, permet à toute personne de récupérer auprès d’un responsable de traitement ses données personnelles soit pour son usage personnel, soit pour les transmettre à un autre responsable de traitement.
Ce droit est limité aux données personnelles fournies par la personne concernée et son exercice ne doit pas porter atteinte aux droits et libertés de tiers (dont les données se trouveraient dans celles transmises à la suite d’une demande de portabilité).
Il doit s’agir de données traitées de manière automatisée (fichiers papier non concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec celle-ci.
Les données personnelles doivent être transmises dans un format structuré, couramment utilisé et lisible par machine.
Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.
Quel délai pour traiter ces demandes ?
L’entreprise a 1 mois à compter de la réception de la demande pour la traiter. Ce délai peut être exceptionnellement prorogé dans certains cas.
Violation des données personnelles
Le responsable de traitement doit notifier toute violation de données à caractère personnel (piratage informatique, par exemple) à la Cnil dans les meilleurs délais et, au plus tard, dans les 72 heures après en avoir pris connaissance.
Il doit également informer les personnes concernées en cas de risque élevé pour leurs droits et leurs libertés. Il est toutefois dispensé de cette obligation de communication si :
– des mesures de protection techniques et organisationnelles appropriées ont été appliquées aux données concernées (cryptage des données, par exemple) ;
– des mesures ultérieures garantissant que le risque élevé pour la personne concernée n’est plus susceptible de se matérialiser ont été mises en place ;
– la communication exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique.
En cas de sous-traitance du traitement des données, le sous-traitant doit notifier au responsable de traitement toute violation de données à caractère personnel dans les meilleurs délais.
De lourdes sanctions encourues
En cas de manquement au RGPD, la Cnil peut, outre des sanctions pénales, prononcer à l’encontre du responsable de traitement (ou du sous-traitant) des amendes administratives dont les montants diffèrent selon la nature du manquement :
– jusqu’à 10 M€ ou, dans le cas d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent en cas de manquement concernant la sous-traitance, l’analyse d’impact, etc. ;
– jusqu’à 20 M€ ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent en cas de manquement aux droits des personnes (droits d’accès, de rectification, etc.), à la licéité du traitement, etc.
Dans les 2 cas, le montant le plus élevé est retenu.
Remarque : En pratique
Des guides et des outils pratiques de mise en oeuvre du RGPD sont disponibles sur le site de la Cnil, notamment : un logiciel PIA facilitant la réalisation des études d’impact, un modèle de registre des traitements, des formulaires (recueil du consentement, désignation du DPO...).
La Cnil a d’ores et déjà précisé que les premiers contrôles de conformité au RGPD ne donneront pas lieu à des sanctions en cas de bonne foi de l’entreprise.
Remarque : Qu’est-ce qu’une donnée personnelle ?
Constitue une donnée personnelle toute information permettant d’identifier une personne physique, directement ou indirectement : nom, prénom, date de naissance, adresse (mail, postale, IP), numéro de téléphone, de carte bancaire, de sécurité sociale, cookies, photo, mot de passe, etc.
© Copyright Editions Francis Lefebvre