La réforme du RGPD est une réforme majeure augmentant la protection des données personnelles. Son système, universel à toute l’union européenne, confère de nouveaux droits à tous les citoyens européens tout en renforçant la responsabilité des professionnels et des organismes publics. La réforme remplacera la directive actuelle sur la protection des données datant de 1995 et les professionnels doivent donc incessamment se conformer au règlement pour son entrée en vigueur le 25 mai 2018.
Quels sont les nouveaux droits des citoyens européens?
Les personnes concernées par les traitements de données personnelles sont principalement les clients, les salariés, les prestataires, les fournisseurs, les candidats à un poste ou encore les sous-traitants. Ils se verront conférer les droits numériques suivants
- Le droit à l’oubli : le droit à l’oubli numérique correspond au droit d’obtenir du responsable du traitement l’effacement de tout ou partie de ses données à caractère personnel, ainsi que la cessation de la diffusion de ses données. Le droit à l’oubli sert à gérer sa e-réputation, représentation que les internautes vont se constituer en fonction des flux d'informations qu'ils rencontrent sur le net. Le droit à l’oubli comprend lui-même les trois droits suivants : le droit d’opposition, permettant de s’opposer aux traitements de ses données, le droit à l’effacement et e droit au déréférencement, permettant de se faire effacer des moteurs de recherches
- Les entreprises devront désormais obtenir un consentement véritablement clair et explicite de la personne quant à l’utilisation de ses données personnelles
- Le droit de transférer ses données vers un autre fournisseur de services, il s’agit du droit à la portabilité ;
- Le droit d’être informé en cas de piratage des données ;
- L'obligation pour les entreprises de présenter leurs politiques relatives à la vie privée de façon claire et compréhensible : les cookies, petit fichier texte au format alphanumérique déposé sur le disque dur de l’internaute par le serveur du site visité ou par un serveur tiers, sont notamment visés par cette obligation.
Quels sont les changements pour les entreprises?
L'apparition d’un nouvel acteur : le Data protection officer Le RGPD introduit un délégué à la protection des données dit le « Data protection officer » (ci-après DPO). Ce délégué doit être désigné dans les cas suivants :
- Pour les traitements de données personnelles mis en œuvre par une autorité ou un organisme public ;
- Lorsque les activités de base de l’entité nécessitent un suivi régulier et systématique d’un nombre n’important de personnes ;
- Lorsque l’entité de base traite à grande échelle des données personnelles sensibles notamment celles révélant l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données génétiques ou biométriques, l’orientation sexuelle et les condamnations pénales des personnes physiques.
Il est conseillé de désigner un DPO dans le cas où l’entité n’est pas sûre de répondre aux critères, il exercera les missions d’information, de conseil et de contrôle du respect du RGPD.
Le DPO devra être rattaché au niveau le plus élevé au sein de l’entité et celle-ci devra s’assurer qu’il n’existe aucun conflit d’intérêt.
Il sera soumis à une obligation de confidentialité renforcée, devra disposer d’un budget accompagné d’une équipe en support et servira de point de contact entre entité et autorités de contrôle, clients, salariés.
Le RGPD précise que le DPO ne pourra pas être relevé de ses fonctions ou pénalisé par le responsable de traitement (ou le sous-traitant) car la conformité à la réglementation sur les données personnelles relève de la responsabilité sociale et non celle du DPO.
Des responsables de traitement
Le responsable du traitement devra être l’entité en charge des moyens et des finalités du traitement des données sauf énonciation expresse de la loi.
Il appartient au responsable de traitement de définir les finalités et les moyens de traitement des données personnelles.
Une donnée personnelle permet d’identifier directement ou indirectement une personne physique notamment par :
- Son nom et prénom ;
- Son adresse mail ;
- Son numéro de téléphone ;
- Son matricule salarié ;
- Son numéro de sécurité sociale ;
- Le poste qu’elle exerce dans son entreprise ;
- Ses logs de connexion ;
- Son adresse IP etc.
Par exemple s’agissant des salariés, les traitements de données qui sont relatifs à des dossiers sur leurs carrières et formations ou encore sur leurs mobilités sont des traitements de données personnelles.
Afin de se conformer au RGPD, le responsable de traitement devra protéger les données personnelles dès l’élaboration et la conception du produit ou du service par lequel va se faire le traitement de données. Il s’agit du principe de « Privacy by design ». Cette protection devra se faire par défaut (« Privacy by « default »).
Le responsable de traitement ne devra conserver les données personnelles que pour la durée strictement nécessaire à la réalisation de la finalité du traitement. Cette obligation devra être conciliée avec les obligations légales applicables notamment en matière fiscale qui exigent de conserver certaines données pour une certaine durée. Il s’agit par exemple de l’obligation de conserver les factures pour la TVA.
Lorsque des traitements de données personnelles pourront engendrer un risque élevé pour les droits et libertés des personnes physiques, il faudra que le responsable de traitement réalise une analyse d’impact, dite « Privacy impact assessment » (ci-après PIA).
Les traitements suivants peuvent être facteurs de risques élevés :
- Les traitements de profilage comme le credit scoring ;
- Les traitements de données sensibles impactant un nombre important de personnes ;
- Les traitements impliquant la combinaison de données ;
- Les traitements impliquant la surveillance systématique d’une zone accessible au public comme la vidéosurveillance ;
- L’utilisation de technologies comme la reconnaissance faciale. Le responsable de traitement devra notifier à l’autorité de contrôle, dans les meilleurs délais ou si possible sous 72 heures, toute violation de données personnelles qui pourrait constituer un risque pour les droits et libertés des personnes physiques.
Des sous-traitants
Les entités qui sous-traitent des données personnelles pour le compte et sur les instructions du responsable de traitement doivent se soumettre au RGPD.
Par exemple un organisme externe qui gère la paie des salariés ou qui gère l’e-mailing des clients du responsable du traitement est un sous-traitant selon le RGPD.
Le contrat passé entre le responsable de traitement et le sous-traitant devra mentionner l’obligation pour ce dernier d’assister le responsable en cas de violation des données personnelles. Le sous-traitant devra mettre en place des mesures aptes à garantir la sécurité et la confidentialité des données et devra se conformer aux modalités de suppression ou de restitution de celles-ci. Il ne pourra faire sous-traiter son travail que sur autorisation préalable du traitement.
Le responsable de traitement et le sous-traitant seront qualifiés de coresponsables s’ils définissent ensemble les finalités et les moyens de traitement des données personnelles.
Pour bien définir la responsabilité de chacun, il est conseillé :
- D’identifier le niveau d’instruction donné par chaque partie ;
- D’identifier l’autonomie dans la prise de décision des parties pour traiter les données
De nouveaux cadres d’action pour la CNIL
Avec le RGPD vont disparaître la plupart des formalités actuelles auprès de la CNIL telles que les déclarations et les autorisations au profit d’une logique de conformité continue. Ainsi les entreprises visées par le RGPD devront veiller au respect des règles tout au long du cycle de vie de la donnée. Les pouvoirs de la CNIL resteront les mêmes, toutefois le RGPD renforcent les contrôles à l’international.
La CNIL accompagne les responsables de traitement afin de s’assurer de leur mise en conformité via différents outils comme le logiciel d’analyse d’impact, des référentiels pour guider les professionnels ou des packs à l’attention des TPE-PME.
La CNIL n’infligera pas de sanctions pour les nouvelles obligations qui résultent du RGPD si l’entreprise ou l’entité est de bonne foi. Les règles sur la protection des données antérieures au RGPD feront l’objet de contrôles normaux qui pourront déboucher sur des sanctions.
La CNIL indique que les traitements qui ont fait l’objet d’une formalité préalable auprès d’elle avant le 25 mai 2018 ne seront pas immédiatement soumis à l’obligation d’analyse d’impact exigée par le RGPD. Les traitements en cours susceptible de présenter un risque élevé devront faire l’objet d’une analyse d’impact dans un délai de 3 ans à compter du 25 mai 2018.
Toutefois la CNIL a annoncé qu’une analyse d’impact devra être réalisée sans attendre le délai de 3 ans pour les traitements suivants :
- Les traitements antérieurs au 25 mai 2018 qui n’ont pas fait l’objet des formalités préalables auprès de la CNIL
- Les traitements antérieurs au 25 mai 2018 qui ont fait l’objet d’une modification substantielle ;
- Tous les nouveaux traitements postérieurs au 25 mai 2018.
Une coopération renforcée entre les autorités de contrôle et les autorités policières
Le RGPD donne aux autorités de contrôle européennes un pouvoir de sanction plus important en augmentant le plafond des sanctions financières qu’elles pourront prononcer. Les décisions qui résulteront de ces contrôles auront la même portée à travers l’ensemble du territoire de l’Union européenne. Pour contraindre les entreprises et les entités à se conformer au RGPD, une amende de 20 millions d’euros ou une amende s’élevant à 4% du chiffre d’affaires mondial de l’entité contrevenante pourra être infligée. Des sanctions qui impacteront directement la mise en œuvre des traitements pourront être prononcées.
En outre le RGPD est accompagné d’une directive relative aux transferts de données à des fins policières et judiciaires. Cette directive s’appliquera même aux données transférées en dehors du territoire de l’Union européenne et fixera des normes minimales pour le traitement des données à des fins policières au sein chaque Etat membre de l’Union européenne. Cette directive fixera les droits et les limites quant aux transferts de données à des fins de détection et de prévention des infractions pénales et des menaces à la sécurité publique entre les autorités répressives des Etats membres.