Directeur Conseil Data & CRM
Le Règlement Général sur la Protection des Données vise à protéger les consommateurs à l’égard du traitement de leurs données à caractère personnelles.
Cette loi concerne tous les consommateurs et de nombreuses entreprises. Il est important d’y être en conformité pour ne pas risquer d’importantes sanctions.
Nous faisons le point sur ce que le RGPD implique et ses enjeux.
Depuis le 25 Mai 2018, le Règlement Général sur la Protection des Données a permis de répondre aux enjeux suivants :
- Harmoniser les politiques gouvernementales autour des pratiques de gestion et de partage des données personnelles des 27 Etats membres de l’UE.
- Inclure toute personne physique ou morale qui collecte des données sur les résidents de l’UE.
- Renforcer les droits des personnes à disposer de leurs données et à limiter leur collecte et leur usage.
- Responsabiliser les entreprises sur la gestion des données personnelles de leurs clients.
- Renforcer les pouvoirs des différentes autorités de contrôle européennes à l’exemple de la CNIL pour la France.
De quoi parle-t-on ?
Avant de voir quels sont les principaux apports du RGPD, voyons d’abord la définition des données à caractère personnel ainsi que la définition du traitement des données à caractère personnel.
Données à caractère personnel
Les données à caractère personnel sont toutes les informations qui se rapportent à une personne physique identifiée ou identifiable. Ce sont donc les identifiants basiques permettant l’identification des personnes directement ou indirectement. Nom, prénom, adresse e-mail, adresse postale, numéro de téléphone, habitudes de consommation, etc…
Il existe des identifiants avancés tel que :
- les données de localisation (Adresse IP, Données GPS),
- les cookies « first and third party » (First party = donnée propriétaire, cookie interne ou primaire ; Third party = cookie tiers),
- le n° client,
- le numéro d’identification,
- les éléments correspondants à l’identité physique, psychique, génétique ou économique.
Traitement de données à caractère personnel :
Il s'agit de toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel. Il peut aussi bien s'agir d'un traitement informatique que papier.
Il peut s’agir par exemples de : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion, etc…
Le RGPD a une portée universelle
Il concerne toute organisation (privée ou publique), indépendamment du pays où elle est implantée, qui collecte, stocke ou traite des données relatives à des personnes qui résident sur le territoire de l'UE.
Il implique le traitement automatisé ou non d'une partie ou de la totalité de données à caractère personnel, contenues ou appelées à figurer dans un fichier.
Quels sont les grands apports du RGPD ?
Une portée géographique étendue
Le RGPD s’applique à toute organisation dès lors qu’elle traite de données personnelles de résidents en UE, quel que soit son lieu d’établissement.
Le principe d'adéquation
L’Union européenne reconnaît pour certains pays un principe d’adéquation, c'est-à-dire qu’elle considère que le régime juridique offre les mêmes garanties que le RGPD localement. Par exemple, le Japon, le Chili, la Nouvelle-Zélande sont concernés par le principe d’adéquation.
Des sanctions plus fortes
En effet, avec le RGPD les sanctions sont encadrées, graduées et renforcées.
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Ces sanctions peuvent être du simple avertissement, en passant par le rappel à l’ordre, ou à la suspension du traitement de données, puis des amendes allant jusqu’à 4% du CA mondial ou 20 Millions d’euros.
Un signalement des failles de sécurité
Les entreprises ou organisations traitant des données ont l'obligation de communiquer à l’autorité de contrôle et aux personnes concernées les failles de sécurité dans les 72 heures, suite à la constatation de l’incident.
Art 4 (12) : « Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. »
Le principe d’accountability (responsabilité)
Il y a désormais une obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
L’extension de la responsabilité
Le règlement européen étend une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.
Responsabilités du Sous-traitant :
- Obligation pour le sous-traitant d’obtenir l’accord du responsable de traitement avant d’engager un autre prestataire. Les responsables de traitement doivent veiller à ne travailler qu’avec des sous-traitants qui s’engagent à respecter les dispositions du RGPD.
- Les sous-traitants doivent également aider les responsables de traitement dans leur démarche permanente de mise en conformité de leurs traitements.
Le privacy by design / privacy by default
Chaque produit ou service développé, traitant des données personnelles ou permettant d’en traiter, doit garantir dès sa conception et durant toute son utilisation, le plus haut niveau possible de protection des données.
Le contrôle des données third-party (consentement)
Le consentement préalable doit être donné par un acte positif, clair, par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données.
Le renforcement des droits des internautes
Le RGPD prévoit que les personnes dont les données à caractère personnel font l’objet d’un traitement, disposent du droit de demander au responsable de traitement de faciliter l’exercice de ses droits : droit d’accès, droit à la rectification, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité, droit d’opposition et droit de ne pas faire l’objet d’une décision automatique.
Quels sont les grands acteurs ?
La CNIL, Commission nationale de l’informatique et des libertés
La CNIL est l’autorité administrative indépendante qui constitue l’unique guichet des entreprises établies en France.
Le responsable de traitement
Il s’agit de la personne physique ou morale qui détermine les finalités et les moyens du traitement. Elle se caractérise donc par son autonomie dans la mise en place et la gestion d’un traitement. Le responsable de traitement est responsable du respect de ces principes et est en mesure de démontrer que ceux-ci sont respectés.
Le sous-traitant (Avanci par exemple)
Ce sont toutes les personnes physiques ou morales (non salariées) distinctes du responsable de traitement qui traite des données et exécute des tâches pour le compte du responsable du traitement.
Le DPO (Data Protection Officer)
La traduction française de cette fonction serait "Délégué à la Protection des Données". Il est obligatoire de disposer d’un DPO pour toutes les entreprises disposant de données sur des personnes physiques. À l’exception des PME, en effet elles peuvent ne pas disposer de DPO hormis si elles font preuve d’un traitement massif des données.
Les personnes concernées
Toute personne physique dont les données à caractère personnel sont protégées.
Elles sont les actrices principales et seules propriétaires de ces données personnelles.
Quels sont les principes clés ?
- La licéité, la loyauté, la transparence du traitement au regard de la personne concernée
- La limitation des finalités
- L’exactitude
- La minimisation des données
- La limitation de la conservation
- l’intégrité et confidentialité
J’espère que cette piqûre de rappel des fondamentaux sur le RGPD vous sera utile pour être en conformité avec la loi et pour protéger vos consommateurs.