Entré en vigueur en mai 2018, le Règlement Général sur la Protection des Données (RGPD) est une législation de l’Union européenne qui vise à protéger les données personnelles des citoyens européens.
Le RGPD a des implications significatives pour les entreprises, qui doivent mettre en place des processus et des politiques pour assurer la protection des données personnelles de leurs clients au risque de subir des amendes considérables.
Cependant, la conformité RGPD ne se limite pas à éviter des amendes. Elle est également importante pour la réputation de votre entreprise puisqu’elle est gage de confiance aux yeux de vos clients. En effet, les utilisateurs sont de plus en plus sensibles à la façon dont leurs données sont utilisées et peuvent préférer aller vers la concurrence s’ils ne sont pas confiants dans votre capacité à protéger leurs données.
Dans cet article, nous explorerons les concepts clés liés au RGPD et vous présenterons les droits et obligations que votre entreprise doit suivre pour se conformer aux règles établies par ce règlement.
L’essentiel à savoir sur le RGPD
Qu’est-ce que le RGPD ?
Le RGPD, ou Règlement Général sur la Protection des Données (General Data Protection Regulation ou GDPR en anglais), est une réglementation européenne qui vise à encadrer le traitement des données personnelles sur le territoire de l’Union Européenne.
Ce règlement a été mis en place pour répondre aux évolutions constantes des technologies et de nos sociétés, caractérisées par l’essor du numérique et du commerce en ligne. Il s’agit d’une continuité de la Loi française Informatique et Libertés de 1978, renforçant le contrôle des citoyens sur l’utilisation de leurs données.
Le RGPD établit un cadre juridique unique en Europe, harmonisant les règles pour les professionnels. Il permet ainsi de développer leurs activités numériques tout en inspirant confiance aux utilisateurs. Cela se traduit par une meilleure gestion des données personnelles, garantissant leur protection et leur confidentialité.
Qui est concerné par le RGPD ?
Toutes les organisations, qu’elles soient de petite ou de grande taille, qu’elles soient publiques ou privées, implantées dans n’importe quel pays et exerçant n’importe quelle activité peuvent potentiellement être soumises au RGPD.
En effet, le Règlement Général sur la Protection des Données s’applique à toute organisation qui manipule des données personnelles pour son propre compte ou pour le compte de tiers, dès lors que :
- Elle est implantée sur le territoire de l’Union Européenne ;
- Son activité cible directement des résidents européens.
Par exemple, une entreprise basée en France et exportant toutes ses marchandises en Algérie pour une clientèle sud-américaine doit se plier aux règles du RGPD. De même, une entreprise japonaise qui opère un site de e-commerce en français et qui livre ses produits en Espagne doit respecter les dispositions du RGPD.
Bon à savoir : il est important de souligner que le RGPD s’applique également aux sous-traitants qui manipulent des données personnelles pour le compte d’autres organismes et sont donc soumis aux mêmes conditions.
Qu’est-ce qu’une donnée à caractère personnel ?
Une donnée à caractère personnel est toute information qui peut permettre l’identification directe ou indirecte d’une personne physique. Cela peut inclure des informations telles que le nom, la photo, l’empreinte, l’adresse postale, l’adresse électronique, le numéro de téléphone, le numéro de sécurité sociale, le matricule interne, l’adresse IP et d’autres informations similaires.
Il est important de noter que ces informations peuvent être confidentielles ou publiques. Cependant, pour que ces données ne soient plus considérées comme personnelles, elles doivent être rendues anonymes de manière à ce qu’il soit impossible d’identifier la personne concernée, en masquant les noms ou en floutant les visages, par exemple.
Il convient de souligner que même si l’âge, le sexe, la ville de résidence ou le diplôme d’une personne ne sont pas des informations directement identifiables, il est toujours possible de les utiliser pour identifier une personne en croisant plusieurs informations ou en utilisant des moyens techniques divers tels que des moteurs de recherche. Par conséquent, ces données sont également considérées comme des données à caractère personnel.
Qu’est-ce qu’un traitement de données à caractère personnel ?
Un traitement de données à caractère personnel correspond à toute opération qui implique l’exploitation des données personnelles, qu’importe la méthode utilisée. Cela peut inclure l’enregistrement, l’organisation, la conservation, la modification, l’association avec d’autres données ou encore la transmission de données personnelles.
Cependant, ce traitement ne se limite pas qu’aux fichiers ou aux bases de données. Il peut également s’agir d’un système de vidéosurveillance, d’un système de paiement par carte bancaire ou de reconnaissance biométrique, d’une application pour smartphone, etc.
Il est important de noter que les traitements de données à caractère personnel ne sont pas nécessairement informatisés. Un fichier papier organisé selon un plan de classement, des formulaires papiers nominatifs ou des dossiers de candidatures classés par ordre alphabétique ou chronologique, sont également considérés comme des traitements de données personnelles, par exemple.
Les 5 grands principes des règles de protection des données personnelles
Si ces principes sont bien appliqués, ils permettent de protéger les données personnelles des personnes et d’éviter leur utilisation abusive ou détournée. Les voici :
- Le principe de finalité : les informations sur les personnes physiques ne peuvent être enregistrées et utilisées que dans un but précis, légal et légitime.
- Le principe de proportionnalité et de pertinence : seules les informations strictement nécessaires et pertinentes par rapport à la finalité du fichier peuvent être enregistrées.
- Le principe d’une durée de conservation limitée : il n’est pas possible de conserver indéfiniment les informations sur les personnes physiques dans un fichier. La durée de conservation doit être déterminée en fonction du type d’information et de la finalité du fichier.
- Le principe de sécurité et de confidentialité : le responsable du fichier est tenu de garantir la sécurité des informations qu’il détient. Seules les personnes autorisées peuvent y accéder.
- Le principe de responsabilité : le responsable du fichier doit être en mesure de démontrer qu’il respecte les principes de protection des données personnelles.
Conformité RGPD
Les droits des personnes
Les personnes concernées par le traitement de données personnelles ont le droit de garder le contrôle sur leurs données et peuvent exercer ce droit quand ils le souhaitent. Les professionnels ont ainsi l’obligation de leur expliquer la démarche à suivre pour le faire, notamment auprès de qui et sous quelle forme.
À noter : lorsqu’une personne exerce ses droits, elle doit obtenir une réponse dans un délai d’un mois. Cela garantit que les personnes concernées peuvent accéder à leurs données personnelles et les contrôler, conformément aux dispositions du RGPD.
Le droit à l’information
Toute collecte de données personnelles doit être transparente et légale. Les personnes concernées doivent être informées de manière claire et précise sur les éléments suivants :
- L’identité de la personne responsable de la collecte des données ;
- La finalité de la collecte de données ;
- Le caractère obligatoire ou facultatif des réponses, ainsi que les conséquences en cas de non-réponse ;
- Les destinataires des données ;
- Les droits des personnes concernées, notamment leur droit d’accès, de rectification et d’opposition ;
- Les éventuels transferts de données vers des pays situés en dehors de l’Union européenne, le cas échéant.
Il est essentiel que les personnes concernées soient pleinement informées de ces éléments afin de pouvoir exercer leurs droits de manière éclairée. En effet, le droit à l’information est un droit fondamental en matière de protection des données personnelles.
Le droit d’opposition
Les individus ont le droit de s’opposer à l’utilisation de leurs informations de contact, notamment à des fins commerciales, lorsque celles-ci sont fournies lors d’une commande ou de la signature d’un contrat.
Pour leur permettre de faire ce choix facilement, une case à cocher doit être incluse dans le formulaire ou le bon de commande, sans être cochée par défaut. Il est insuffisant de simplement mentionner l’existence de ce droit dans les conditions générales.
Toute personne a ainsi le droit de s’opposer au traitement de ses données pour des motifs légitimes, à moins que cela ne soit requis par une obligation légale tels que les fichiers fiscaux, par exemple.
Il est important de noter que les individus ont également le droit de retirer leur consentement à tout moment, ce qui signifie que leurs informations ne peuvent plus être utilisées pour quelque raison que ce soit.
Les droits d’accès et de rectification
Toute personne dont les données personnelles sont traitées a le droit de :
- Consulter l’ensemble des informations la concernant ;
- Connaître l’origine des informations la concernant ;
- Accéder aux informations sur lesquelles le responsable du fichier s’est basé pour prendre une décision la concernant, tels que les éléments qui auraient servi à refuser une demande de crédit par une banque, par exemple ;
- Obtenir une copie de ces informations. Des frais raisonnables peuvent être demandés pour la reproduction ;
- Exiger que ses données soient corrigées, complétées, mises à jour ou supprimées.
Le droit à la portabilité
Tel que mentionné dans l’article 20 du RGPD, toute personne a le droit de recevoir les données qui la concernent et qu’elle a fournies à un responsable de traitement, de les réutiliser et de les transmettre à un autre responsable de traitement .
Le droit à la portabilité permet ainsi à toute personne de :
- Recevoir dans un format structuré, couramment utilisé et lisible par machine (ordinateur) les données personnelles la concernant déjà fournies à un responsable de traitement ;
- Faire transmettre directement ces données à un autre responsable de traitement lorsque cela est techniquement possible.
Le droit à la portabilité des données permet aux individus de garder le contrôle de leurs données personnelles en leur permettant de les transférer d’un responsable de traitement à un autre.
Cela peut être particulièrement utile lorsque la personne change de fournisseur de services ou de plateforme en ligne, par exemple, en lui permettant de transférer facilement les données qu’elle a fournies.
Les obligations des professionnels
L’obligation d’information
Tel qu’énoncé dans les articles 12, 13 et 14 du RGPD, les professionnels doivent fournir une information concise, transparente, compréhensible et facilement accessible aux personnes concernées. La transparence est importante car elle permet à ces dernières :
- De comprendre la raison pour laquelle leurs différentes données sont collectées ;
- De comprendre comment leurs données seront traitées ;
- De garder le contrôle sur leurs données en facilitant l’exercice de leurs droits.
Il est important que les modalités de présentation de l’information soient adaptées au contexte pour fournir une information complète et précise. Pour les responsables de traitement, la transparence est essentielle pour assurer un traitement loyal des données et instaurer une relation de confiance avec les personnes concernées.
Le recueil du consentement
Le consentement est une démarche active que l’utilisateur doit entreprendre de manière explicite et de préférence écrite. Ce consentement doit être libre, spécifique et éclairé. Sur un formulaire en ligne, cela peut se traduire par une case à cocher qui ne soit pas cochée par défaut, par exemple.
Le consentement doit obligatoirement être antérieur à la collecte de données.
En particulier, le consentement préalable de la personne concernée est nécessaire dans les cas suivants :
- La collecte de données sensibles ;
- La réutilisation des données à des fins autres que celles initialement prévues ;
- L’utilisation de cookies pour certaines finalités ;
- L’utilisation des données à des fins de prospection commerciale par voie électronique.
La sécurisation des données collectées
Il est de la responsabilité des entreprises de mettre en place des mesures de sécurité adéquates afin d’assurer la protection optimale de l’intégrité des données personnelles stockées dans leur système d’information.
Les mesures de sécurité à mettre en place sont multiples et incluent notamment le cryptage des données, la pseudonymisation/anonymisation, les analyses d’impact sur la protection des données (AIPD), les tests d’intrusion, etc.
Les entreprises ont également l’obligation de mettre en place des procédures en cas de fuite de données, car elles seront directement tenues responsables le cas échéant.
En cas de violation de données, l’entreprise doit immédiatement contacter la Commission Nationale de l’Informatique et des Libertés (CNIL). Cette obligation s’applique également aux sous-traitants, tels que les sociétés tierces hébergeant des données personnelles de l’entreprise (sociétés d’hébergement cloud, éditeurs de logiciels cloud, etc.).
La tenue d’un registre des traitements des données
Toutes les entreprises ont l’obligation légale de tenir un registre des traitements, c’est-à-dire un document dans lequel sont recensés tous les traitements de données personnelles effectués par l’entreprise, tel qu’un fichier Excel, par exemple.
Ce document doit être régulièrement mis à jour et peut servir de preuve en cas de contrôle de la CNIL.
Si votre entreprise compte moins de 250 salariés, votre registre des traitements ne doit recenser que les traitements non occasionnels, les traitements potentiellement à risque et enfin les traitements portant sur des données à caractère sensible (données médicales, données judiciaires, etc.).
Les autres obligations
Voici quelques autres obligations importantes que les entreprises doivent respecter en vertu du RGPD :
- Désigner un délégué à la protection des données (DPO) : cette fonction peut être remplie par un employé de l’entreprise ou par un prestataire externe tel qu’un cabinet d’avocats spécialisé en droit de l’informatique et de l’Internet, par exemple ;
- Mettre en place des mesures de protection des données personnelles dès la conception de leurs produits ou services. C’est ce que l’on appelle le principe de la protection de la vie privée dès la conception ou “ Privacy by design “ en anglais ;
- Limiter la collecte de données aux informations strictement nécessaires ;
- Fixer une durée de conservation raisonnable pour les données collectées.
Pour quels organismes la désignation d’un DPO est-elle obligatoire ?
Le RGPD impose la désignation d’un délégué à la protection des données pour certaines organisations :
- Les autorités et organismes publics, tels que les ministères, collectivités territoriales et établissements publics ;
- Les organismes qui suivent régulièrement et systématiquement des personnes à grande échelle, comme les compagnies d’assurance ou les banques pour leurs fichiers clients, ainsi que les opérateurs téléphoniques ou les fournisseurs d’accès internet ;
- Les organismes qui traitent à grande échelle des données qualifiées de « sensibles« telles que les données biométriques, génétiques, relatives à la santé, à la vie sexuelle, à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques ou à l’appartenance syndicale, ainsi que les informations relatives à des condamnations pénales et infractions.
Quelles sont les sanctions encourues en cas de manquement au RGPD ?
Que ce soit à l’issue de vérifications ou de plaintes, le non-respect du RGPD peut entraîner des sanctions aux responsables de traitement des données et aux sous-traitants. Il existe deux procédures de sanctions.
La procédure régulière
En ce qui concerne la procédure régulière, les sanctions pécuniaires peuvent atteindre un maximum de 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% de son chiffre d’affaires annuel mondial. Il est à noter que ces sanctions peuvent être rendues publiques.
Ainsi, lorsque des violations du RGPD ou de la loi sont portées à l’attention de la CNIL, celle-ci peut :
- Prononcer un rappel à l’ordre ;
- Ordonner de se conformer aux dispositions, y compris sous astreinte, c’est-à-dire, un ordre de se mettre en conformité accompagné d’une somme à payer ;
- Restreindre temporairement ou définitivement le traitement des données ;
- Suspendre les flux de données ;
- Ordonner de répondre aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
- Imposer une amende administrative.
La procédure simplifiée
Pour la procédure simplifiée, la loi Informatique et Libertés prévoit des sanctions moins nombreuses et moins sévères que celles de la procédure régulière. Cette procédure ne peut être entreprise que dans le cas d’un dossier peu complexe ou de faible gravité. De plus, ces sanctions ne sont pas rendues publiques.
Dans ce contexte, la CNIL peut :
- Prononcer un rappel à l’ordre ;
- Ordonner de se conformer aux dispositions, y compris sous astreinte d’un montant maximum de 100 € par jour de retard ;
- Imposer une amende administrative d’un montant maximum de 20.000€.