GDPR : votre entreprise est-elle bien préparée au nouveau règlement européen sur la protection des données ? Mise en lumière de quelques points clés
Au fil des ans, le secteur numérique a entrepris diverses démarches pour contrôler le flux des données des consommateurs en vue de protéger leurs clients, mais aussi d’améliorer l'expérience utilisateur. Le résultat ? Les pays de l'Union européenne suivent des réglementations hétérogènes en matière de sécurité et de confidentialité des données.
Une situation qui n’a pas ravi Bruxelles : « Afin d'assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l'Union, le niveau de protection des droits et des libertés des personnes physiques à l'égard du traitement de ces données devrait être équivalent dans tous les États membres », a estimé Bruxelles.
Aussi, « Il convient dès lors d'assurer une application cohérente et homogène des règles de protection des libertés et droits fondamentaux des personnes physiques à l'égard du traitement des données à caractère personnel dans l'ensemble de l'Union ».
Définissant les bases, Bruxelles a estimé « qu’en ce qui concerne le traitement de données à caractère personnel nécessaire au respect d'une obligation légale, à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, il y a lieu d'autoriser les États membres à maintenir ou à introduire des dispositions nationales destinées à préciser davantage l'application des règles du présent règlement. Parallèlement à la législation générale et horizontale relative à la protection des données mettant en œuvre la directive 95/46/CE, il existe, dans les États membres, plusieurs législations sectorielles spécifiques dans des domaines qui requièrent des dispositions plus précises. »
C’est ainsi qu’a été élaboré la General Data Protection Regulation (GDPR), le nouveau règlement européen décidé en décembre 2015 qui va s’appliquer dès 2018 à toute entreprise qui collecte, traite et stocke des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.
En réalité, ce règlement se substitue à la directive datant de 1995 sur la protection des données, qui définissait déjà le cadre juridique général de la protection des données personnelles dans le domaine de l'informatique. Celui-ci prévoit, entre autres, le droit d'accès et de rectification aux données et le principe du consentement.
Ce cadre juridique a permis à chaque membre de l'UE une transposition dans son droit national. Pour exemple, le modèle général de la Commission nationale informatique et des libertés (CNIL), établi en France, a servi à instituer une autorité de protection des données personnelles à l'échelle européenne, conformément à l'article 28 de la directive du GDPR.
Pour Thiébaut Devergranne, « le texte du nouveau règlement européen va profondément changer la donne en matière de protection des données personnelles ». Dans un long billet explicatif, le docteur en loi a proposé une analyse des articles qui feront office de loi l’année prochaine en privilégiant « une approche pragmatique afin de comprendre comment se préparer à une mise en conformité au GDPR », prenant donc soin d’occulter « les aspects relatifs au droit des personnes qui ont moins besoin d’être préparés en raison de leur nature ».
Il relève quelques statistiques, notamment :
- 100 pages d’obligations à respecter ;
- 99 articles de loi ;
- 20 millions d’euros de sanction en cas d’infraction pour les PME ou les organismes publics ;
- 4 % du CA Global du groupe pour les grandes entreprises (soit entre 3 et 5 milliards d’euros de risques de sanction pour des entreprises comme Google, Amazon, etc.).
« Avec des montants aussi importants de sanctions – et autant d’intervenants qui ont intérêt à se lancer dans un contentieux –, cette réglementation va devenir un contre-pouvoir majeur dont nombre d’organisations vont faire les frais », a-t-il commenté.
Comment se mettre en conformité avec le GDPR ?
1. Minimiser les données personnelles collectées
C'est un des changements les plus substantiels opérés par le règlement européen en pratique, qui tient au fait que celui-ci impose de ne collecter que les données strictement nécessaires. L'article 5 du règlement européen précise à ce titre que les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données). » Ce principe a un impact pratique majeur quant aux données collectées que l'on va voir en prenant un exemple pratique.
L'exemple d'une newsletter
Afin d’illustrer ses propos, il a évoqué la mise en place d'une newsletter. Le règlement impose, dans un tel cas, de ne collecter que les données qui sont strictement nécessaires à cette newsletter. Quelles sont donc les données susceptibles de pouvoir être collectées à cet égard ? L’email.
Clairement : ni le prénom, ni le nom, ni l’adresse, ni le fait que la personne soit un homme, ou une femme, ni les coordonnées physiques de la personne. Aucune de ces données ne serait en effet strictement nécessaire pour l'envoi de la newsletter (sauf justification particulière – évidemment si vous envoyez une lettre papier – auquel cas vous justifiez alors du besoin de collecter ces informations dans vos finalités).
2. S’assurer du fondement juridique du traitement
Un des éléments clés de la réforme a été de renforcer les droits de personnes au regard de leurs données, et notamment de s'assurer qu'elles donnent leur consentement à leur traitement. En fait c'était déjà le cas de la loi informatique et des libertés (article 7 : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée »), mais le législateur a encore plus insisté sur ce point.
Envoyé par Règlement
Article 6 - 1. Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie :
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité
a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
b) le traitement est nécessaire à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci ;
c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
e) le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.
Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité
Le règlement s'inscrit ici encore dans la continuité de la loi informatique et des libertés et de la directive de 1995 qui ont adopté une démarche pragmatique centrée autour des risques relatifs au traitement de certaines données, dites sensibles. Celles-ci font l'objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés.
L'article 9 définit cette notion de données sensibles :
Envoyé par Règlement
« Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits »
4. Afficher les mentions légales
Le règlement (comme la loi informatique et des libertés d'ailleurs) impose au responsable de traitement d'informer la personne dont les données sont traitées d'un certain nombre de mentions (les mentions légales). La mise en place de ces mentions est importante pour plusieurs raisons. La principale est qu'elle permet de cerner ouvertement le niveau de maturité informatique et libertés d'une organisation. Ainsi, lorsque l'on procède à un audit, ou lorsque la CNIL procède à un contrôle, l'absence de mentions légales est un indicateur qui permet de déterminer immédiatement l'existence de problèmes majeurs au sein de l'organisation.
5. Respecter le droit à la probabilité des données
Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d'exporter ses données personnelles dans un format structuré (xml...).
Ce droit est défini par l'article 20 du règlement (qui définit également certaines exceptions et limites) :
Envoyé par Règlement
1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (...)
6. Mettre en place un registre de conformité
Le règlement impose aux organisations de tracer l'ensemble des traitements de données personnelles mis en œuvre afin de s'assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de trois dispositions différentes.
7. Assurez la sécurité des données personnelles
De longue date, imposer la sécurité des données personnelles a été une préoccupation importante du législateur. Dès le départ, des obligations ont été imposées dans la loi informatique et des libertés V1 (1978) et V2 (2004), et le règlement européen ne procède, pour l'essentiel, qu'à des mises à jour de ce côté.
8. Maintenez un registre des violations de données personnelles et des procédures de notification à la CNIL et à personne concernée
Une innovation importante opérée par le règlement réside dans la nouvelle obligation de notification des violations de...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
