Protection des données personnelles : êtes-vous en conformité avec le RGPD ?

Le règlement général sur la protection des données personnelles (RGPD), adopté en 2016, sera directement applicable dans tous les pays de l’Union européenne le 25 mai 2018.

Le règlement général sur la protection des données personnelles (RGPD), adopté en 2016, sera directement applicable dans tous les pays de l’Union européenne le 25 mai 2018. Ce nouveau cadre réglementaire renforce la protection des données personnelles et les droits des personnes concernées. Les entreprises doivent donc s’assurer de la conformité de leur traitement de données personnelles en matière de ressources humaines, de marketing, etc. au RGPD.

A compter du 25 mai 2018, les formalités à effectuer auprès de la Cnil concernant les traitements de don­nées personnelles (déclaration ou demande d’auto­risation) disparaissent, remplacées par un système d’auto-contrôle continu et de responsabilisation (com­pliance) des entreprises.

Qui est concerné par le RGPD ?

Le RGPD s’applique aux traitements de données per­sonnelles, automatisés ou non, mis en oeuvre par des entreprises établies au sein de l’UE, quel que soit le lieu du traitement. Il en est de même si l’entreprise n’est pas établie dans l’UE mais que le traitement concerne des résidents européens « ciblés » en vue d’une offre de biens ou de services ou qu’il est lié au suivi du comportement de ces personnes.

Ce règlement européen est directement applicable en droit français. Il prévoit toutefois des marges de manoeuvre pour les Etats membres. Un projet de loi visant à adapter la législation nationale au droit de l’Union européenne en matière de protection des données personnelles est actuellement en cours de discussion au Parlement.

Qui est en charge de l’application du RGPD ?

Responsable du traitement

L’obligation d’appliquer les règles de protection des données personnelles découlant du RGPD pèse sur le responsable du traitement (c’est-à-dire l’entreprise qui met en oeuvre le fichier). Il doit donc prendre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque dans le traitement des données, conformé­ment au RGPD.

Sous-traitant

L’entreprise peut recourir à un sous-traitant (presta­taire de services informatiques, par exemple), chargé de traiter des données personnelles pour son propre compte.

Le RGPD liste les obligations du sous-traitant, les mentions devant figurer dans le contrat de sous-traitance et instaure une coresponsabilité du traite­ment des données entre l’entreprise et le sous-traitant.

Validité des traitements de données personnelles

Les principes concernant la collecte de données à caractère personnel sont maintenus (conditions de licéité du traitement, finalité du traitement, pertinence et proportionnalité des données, durée de conserva­tion limitée, sécurisation des données).

Lorsque le traitement repose sur le consentement de la personne concernée, cette acceptation doit faire l’objet d’une déclaration ou d’un acte positif clair (pas de consentement par défaut). Ainsi, la pratique de l’« opt-in actif » (c’est-à-dire la case à cocher) est valable mais pas celle de l’« opt-out » (case préco­chée). La personne doit en outre pouvoir retirer son consentement à tout moment, tout aussi facilement.

Une offre de services ne peut être subordonnée à l’obtention du consentement si cela n’est pas néces­saire à sa réalisation.

Le responsable du traitement doit pouvoir prouver qu’il a bien recueilli le consentement de la personne concernée.

Documentation de la conformité

L’entreprise qui collecte des données personnelles doit désormais être en mesure de démontrer à tout moment que la protection des données est optimale et que le traitement mis en oeuvre est conforme aux exigences légales via une documentation interne (principe d’« accountability »).

Protection des données dès la conception et par défaut

La protection des données doit être prise en compte :

– dès la conception d’un service ou d’un produit (« privacy by design ») requérant un ou plusieurs traitements de données personnelles ;

– et par défaut (« privacy by default ») : seules les données personnelles nécessaires à la finalité spé­cifique du traitement doivent être traitées (principe de « minimisation des données »).

Parmi les techniques destinées à assurer le respect de ces dispositions figurent la pseudonymisation et le chiffrement des données.

De nouveaux outils pour être en conformité

Le registre des activités de traitement

Seules les entreprises d’au moins 250 salariés doivent tenir un tel registre. Toutefois, cette obligation s’impose si le traitement :

– présente un risque au regard des droits et des libertés des personnes concernées ;

– n’est pas occasionnel ;

– ou porte sur des données sensibles ou des don­nées se rapportant à des infractions et condamna­tions pénales.

Néanmoins, la tenue d’un registre contribue au res­pect du principe d’« accountability » (consistant à documenter la conformité pour pouvoir la prouver) et est donc vivement conseillée.

L’analyse d’impact sur la protection des données (DPIA ou PIA)

Si le traitement envisagé présente un risque élevé d’atteinte aux droits et libertés des personnes, une analyse d’impact doit être effectuée par le respon­sable du traitement préalablement à sa mise en oeuvre.

Sont notamment visés les traitements suivants : pro­filage, traitement à grande échelle de données sen­sibles, surveillance systématique d’une zone acces­sible au public.

Désignation d’un DPO

Est-ce obligatoire ?

La désignation d’un délégué à la protection des don­nées (« Data Protection Officer » ou « DPO »), en remplacement de l’actuel correspondant Informatique et libertés (« CIL »), est obligatoire dans certaines entreprises.

Il s’agit des entreprises dont l’activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou qui effectuent des trai­tements de données sensibles (opinions politiques, convictions religieuses, santé, données biométriques, génétiques, etc.) ou relatives à des condamnations pénales et des infractions.

Dans les autres entreprises, la désignation d’un DPO n’est donc pas obligatoire mais fortement recomman­dée afin de s’assurer de leur conformité au RGPD.

Désignation

Le DPO peut être désigné en interne (salarié de l’en­treprise ou du sous-traitant) ou être externe à l’entre­prise (prestataire extérieur). Il est possible de ne dési­gner qu’un seul DPO pour un groupe d’entreprises (DPO mutualisé).

Afin d’éviter tout conflit d’intérêts, il est recommandé que le DPO n’exerce pas en parallèle un poste pour lequel il serait amené à déterminer les finalités et moyens d’un traitement de données à caractère per­sonnel, tel que directeur des ressources humaines, directeur du marketing ou des systèmes d’informa­tion, etc.

Sa désignation s’effectue en ligne auprès de la Cnil.

Missions

Les missions du DPO sont nombreuses et élargies par rapport au CIL : informer et conseiller l’entreprise ou le sous-traitant, assurer la conformité au RGPD des traitements de données personnelles mis en place par l’entreprise, conseiller cette dernière dans le cadre de la réalisation de l’étude d’impact et de son exécution, coopérer avec la Cnil, etc.

Il doit donc disposer de compétences techniques, juridiques et informatiques et de moyens matériels et organisationnels afin de pouvoir exercer sa mission.

Le DPO n’est pas personnellement responsable en cas de non-respect du RGPD. C’est l’entreprise ou le sous-traitant qui est responsable des manquements constatés.

Protection renforcée des droits des personnes

Droit d’accès

Les droits des personnes dont les données person­nelles sont traitées sont renforcés et de nouveaux droits sont consacrés.

Toute personne a le droit de savoir si les données la concernant font l’objet d’un traitement et, si tel est le cas, d’accéder à ces données et d’obtenir cer­taines informations (finalité du traitement, destina­taires des données, durée de conservation, etc.).

L’entreprise doit fournir gratuitement au demandeur une copie de ses données personnelles (sauf en cas de demande de copies supplémentaires ou de demande manifestement infondée ou excessive).

Droit de rectification

En cas de données inexactes ou incomplètes, la personne concernée peut demander à l’entreprise que celle-ci les rectifie.

Droit d’opposition

Le droit d’opposition peut être exercé pour des motifs liés à la situation particulière de la personne concer­née, si le traitement est fondé sur l’intérêt légitime poursuivi par le responsable du traitement ou s’il est nécessaire à l’exécution d’une mission d’intérêt public ou relève de l’exercice de l’autorité publique.

Dès lors que ce droit est exercé, les données en cause ne doivent plus être traitées, sauf à pouvoir jus­tifier de motifs « légitimes et impérieux » qui prévalent sur la personne concernée ou si le traitement est nécessaire à la constatation, l’exercice ou la défense de droits en justice.

Il est également possible de s’opposer aux traite­ments suivants :

– traitement de données à des fins de prospection (y compris le profilage lié à cette prospection) ;

– traitement à des fins de recherche scientifique, historique ou statistique (sauf si le traitement est nécessaire à l’exécution d’une mission d’intérêt public).

L’entreprise doit informer la personne concernée de son droit d’opposition au plus tard au moment de la première communication avec cette dernière. Cette information doit être présentée clairement et séparé­ment de toute autre information.

Droit à l’effacement des données

Ce droit à l’oubli permet aux personnes d’obtenir l’ef­facement de leurs données à caractère personnel. Il ne concerne que certains cas énumérés limitative­ment par le règlement :

– les données ne sont plus nécessaires au regard de la finalité du traitement pour laquelle elles ont été collectées ou traitées ;

– la personne concernée a retiré son consentement au traitement et il n’existe pas d’autre fondement juridique à ce traitement ;

– elle s’est opposée au traitement des données (et l’entreprise est tenue de ne plus les traiter) ;

– les données personnelles ont fait l’objet d’un traite­ment illicite ;

– les données doivent être effacées pour respecter une obligation légale prévue par le droit de l’Union ou celui de l’Etat membre auquel le responsable du traitement est soumis ;

– les données ont été collectées dans le cadre d’une offre de services de la société de l’information (ser­vices en ligne) à des enfants.

Et si les données à effacer ont été rendues publiques ?

Le responsable du traitement doit, dans ce cas, infor­mer les autres responsables traitant ces données que la personne concernée a demandé qu’ils effacent tout lien avec elle ou encore toute copie ou reproduction de ces données.

Exceptions

Le droit à l’effacement ne s’applique pas si le traite­ment est nécessaire :

– à l’exercice du droit à la liberté d’expression et d’in­formation ;

– pour respecter une obligation légale prévue par le droit de l’Union ou celui de l’Etat membre auquel l’entreprise est soumise, ou encore pour exécuter une mission d’intérêt public, ou relevant de l’exer­cice de l’autorité publique dont est investi le res­ponsable de traitement ;

– à des fins de santé publique ;

– à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique, ou encore à des fins statistiques, si l’effacement des données risque de rendre impossible ou de com­promettre gravement la réalisation des objectifs du traitement ;

– à la constatation, à l’exercice ou à la défense de droits en justice.N° 369 - MAI 2018 11

Droit à la limitation du traitement

Ce nouveau droit, consacré par le RGPD, permet à une personne d’obtenir du responsable du traitement qu’il limite le traitement de ses données dans certains cas : contestation de l’exactitude des données (limitation du traitement le temps qu’elles soient vérifiées) ; opposition au traitement (limitation du traitement le temps que le responsable du traitement vérifie si les intérêts légitimes qu’il poursuit peuvent faire échec à l’opposition) ; traite­ment illicite des données (mais la personne s’oppose à l’effacement de ses données) ; données devenues inutiles à l’entreprise, mais nécessaires à la personne concernée dans le cadre d’une procédure judiciaire.

Les données conservées ne peuvent alors plus être traitées ni modifiées, sauf si :

– la personne concernée y consent ;

– le traitement est nécessaire à la constatation, à l’exercice ou à la défense de droits en justice ; à la protection des droits d’une autre personne phy­sique ou morale ; pour des motifs importants d’in­térêt public de l’UE ou d’un Etat membre.

Droit à la portabilité des données

Le droit à la portabilité des données, autre nouveauté du RGPD, permet à toute personne de récupérer auprès d’un responsable de traitement ses données personnelles soit pour son usage personnel, soit pour les transmettre à un autre responsable de traitement.

Ce droit est limité aux données personnelles fournies par la personne concernée et son exercice ne doit pas porter atteinte aux droits et libertés de tiers (dont les données se trouveraient dans celles transmises à la suite d’une demande de portabilité).

Il doit s’agir de données traitées de manière automa­tisée (fichiers papier non concernés) et sur la base du consentement préalable de la personne concernée ou de l’exécution d’un contrat conclu avec celle-ci.

Les données personnelles doivent être transmises dans un format structuré, couramment utilisé et lisible par machine.

Ce droit ne s’applique pas au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

Quel délai pour traiter ces demandes ?

L’entreprise a 1 mois à compter de la réception de la demande pour la traiter. Ce délai peut être exception­nellement prorogé dans certains cas.

Violation des données personnelles

Le responsable de traitement doit notifier toute viola­tion de données à caractère personnel (piratage infor­matique, par exemple) à la Cnil dans les meilleurs délais et, au plus tard, dans les 72 heures après en avoir pris connaissance.

Il doit également informer les personnes concernées en cas de risque élevé pour leurs droits et leurs liber­tés. Il est toutefois dispensé de cette obligation de communication si :

– des mesures de protection techniques et organi­sationnelles appropriées ont été appliquées aux données concernées (cryptage des données, par exemple) ;

– des mesures ultérieures garantissant que le risque élevé pour la personne concernée n’est plus sus­ceptible de se matérialiser ont été mises en place ;

– la communication exigerait des efforts dispropor­tionnés. Dans ce cas, il est plutôt procédé à une communication publique.

En cas de sous-traitance du traitement des données, le sous-traitant doit notifier au responsable de traite­ment toute violation de données à caractère person­nel dans les meilleurs délais.

De lourdes sanctions encourues

En cas de manquement au RGPD, la Cnil peut, outre des sanctions pénales, prononcer à l’encontre du responsable de traitement (ou du sous-traitant) des amendes administratives dont les montants diffèrent selon la nature du manquement :

– jusqu’à 10 M€ ou, dans le cas d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exer­cice précédent en cas de manquement concernant la sous-traitance, l’analyse d’impact, etc. ;

– jusqu’à 20 M€ ou, dans le cas d’une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exer­cice précédent en cas de manquement aux droits des personnes (droits d’accès, de rectification, etc.), à la licéité du traitement, etc.

Dans les 2 cas, le montant le plus élevé est retenu.

 

Remarque : En pratique

Des guides et des outils pratiques de mise en oeuvre du RGPD sont disponibles sur le site de la Cnil, notamment : un logiciel PIA facilitant la réalisation des études d’impact, un modèle de registre des traitements, des formulaires (recueil du consentement, désignation du DPO...).

La Cnil a d’ores et déjà précisé que les premiers contrôles de conformité au RGPD ne donneront pas lieu à des sanctions en cas de bonne foi de l’entreprise.

www.cnil.fr

Remarque : Qu’est-ce qu’une donnée personnelle ?

Constitue une donnée personnelle toute information permettant d’identifier une personne physique, directement ou indirectement : nom, prénom, date de naissance, adresse (mail, postale, IP), numéro de téléphone, de carte bancaire, de sécurité sociale, cookies, photo, mot de passe, etc.

© Copyright Editions Francis Lefebvre