[#if coverImage??]
    [#if coverImage?is_hash]
        [#if coverImage.alt??]
            ${coverImage.alt}
        [/#if]
    [/#if]
[/#if]
  • Qu’est-ce que le RGPD ?

Le Règlement Général sur la Protection des Données (General Data Protection Regulation en anglais) est le tout nouveau texte de référence en Europe concernant la protection des données personnelles. Il remplacera l’actuelle directive sur la protection des données (qui date de 1995). Voté le 27 avril 2016, le RGPD entrera en vigueur le 25 mai prochain.  

Ce règlement permet d’étendre le champ d’action de la loi sur la protection des données à toutes les entreprises européennes, ainsi que celles en dehors de l’Union Européenne mais qui ciblent des habitants de l’UE. Les mêmes obligations seront ainsi imposées aux entreprises établies hors de l’Union Européenne. Aucune exception à ces obligations ne sera tolérée pour les PME françaises, cependant, elles seront plus ou moins concernées selon leur domaine d'exercice. Le RGPD met l'accent sur la confiance des utilisateurs, et incitera les entreprises à plus de transparence dans leurs relations avec leurs interlocuteurs.

  • A quoi va-t-il servir ?

Nouveau texte de référence en Europe sur la protection des données personnelles, le RGPD va notamment permettre d’harmoniser le cadre juridique européen en matière de protection des données personnelles. Il s’inscrit dans la continuité de la loi française “Informatique et Libertés” de 1978, et pose un cadre juridique unique en Europe pour toutes les entreprises traitant des données personnelles permettant d’identifier des personnes physiques.

L’objectif de l’Europe au travers de ce nouveau règlement est d’adapter le traitement des données personnelles aux récentes évolutions techniques et aux défis qui accompagnent ces évolutions.  Il va permettre d’accroître les droits des citoyens sur la protection de leurs données personnelles.

  • Quelles données sont concernées ?

Selon l’article 2 de la loi “Informatique et Libertés”, “constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne”.

Est donc considérée comme donnée personnelle toute donnée qui permet d’identifier une personne physique directement ou indirectement. Ces données sont nombreuses : une photo, un nom, un prénom, un numéro de téléphone, une adresse IP, une adresse postale, un numéro de sécu, une adresse mail…

Une personne est identifiable lorsqu’un fichier comporte des informations permettant indirectement son identification (ex. : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, éléments biométriques tels que l’empreinte digitale, ADN, numéro d’Identification Nationale Étudiant (INE), ensemble d’informations permettant de discriminer une personne au sein d’une population (certains fichiers statistiques) tels que, par exemple, le lieu de résidence et profession et sexe et âge,....).

Ces informations ne sont pas associées au nom d’une personne mais permettent aisément de l’identifier ou de connaître ses habitudes ou ses goûts. En ce sens, constituent également des données à caractère personnel toutes les informations dont le recoupement permet d’identifier une personne précise. (ex. : une empreinte digitale, l’ADN, une date de naissance associée à une commune de résidence …).

  • Anonymisation et pseudonymisation

Ces deux techniques peuvent être envisagées par les entreprises pour protéger au mieux les données personnelles des individus. Quelles sont les différences entre ces deux procédés ?

En ce qui concerne l’anonymisation, il faut savoir que ce processus permet de supprimer ou modifier les informations permettant d’identifier, directement ou indirectement, un individu (son nom, prénom, son adresse, sa date de naissance). Cependant, ce procédé à ses limites. Il est possible, malgré l’anonymisation, de suivre les habitudes d’un individu. Et en recoupant ces informations de remonter jusqu’à lui et de l’identifier. Par exemple, un individu dont les données d'État Civil ont été anonymisée, mais dont les habitudes de consommation sont toujours suivies (sur quel site internet il se rend quotidiennement, quel restaurant il fréquente etc), cet individu sera facilement identifiable une fois les données recoupées. Selon le G29, le groupe des Cnil européennes, il existe trois risques essentiels à prendre en compte en matière d’anonymisation :

  • L’individualisation : correspond à la possibilité d’isoler une partie ou la totalité des enregistrements identifiant un individu dans l’ensemble de données.

  • La corrélation : capacité de relier entre elles au moins deux enregistrements se rapportant  la même personne. S’il s’avère que ces enregistrements correspondent à un groupe d’individus, sans permettre d’isoler un individu au sein de ce groupe, il s’agira d’individualisation et non de corrélation.

  • L’inférence : c’est la possibilité de déduire de l’information sur un individu, avec un degré de probabilité élevé.

Si un ensemble de données ne permet ni d’identifier, de corréler ou d’inférer un individu, alors l’anonymisation est valide. Si l’un de ces trois critères n’est pas respecté pour un ensemble de données, l’entreprise devra procéder à une analyse détaillée des risques de ré-identification, comme le préconise le G29.

La pseudonymisation semble être la meilleure alternative, promue par le RGPD. Il s’agit là de remplacer un attribut par un autre dans un enregistrement. Cette technique réduit le risque de mise en corrélation d’un ensemble de données avec l’identité d’un individu. Le RGPD mentionne à plusieurs reprise l’utilisation de la pseudonymisation des données personnelles des individus.  Ce procédé permet aux entreprises de se conformer le plus simplement aux nouveaux principes de protection dès la conception (privacy by design) et de protection par défaut (privacy by default). Plusieurs techniques de pseudonymisation sont envisageables, comme un système cryptographique à clé secrète, une fonction de hachage ou encore un chiffrement déterministe.

La technique de la pseudonymisation révèle tout de même un point faible, la clé d’identification qui établit le lien entre les données anonymisées et l’identité des personnes auxquelles elles se rapportent. L’entreprise doit donc mettre en place des solutions de sécurité efficaces ainsi que des contrôles d’identité sûrs, pour que les informations ne tombent pas entre les mains d’individus malveillants. La Cnil a d’ailleurs publié une fiche récapitulative sur la sécurité des données, où elle conseille par exemple de mettre en place une clé secrète longue et difficile à mémoriser.

  • De quelle manière l’utilisateur est-il concerné ?

L’individu est placé au cœur du dispositif RGPD, il voit ses droits sécurisés. Les entreprises auront l’obligation d’informer les individus sur la collecte de leurs données personnelles.

  • Restrictions en termes de recueil de consentement : le consentement est une démarche active de la part de l’utilisateur. Il doit être explicite, écrit de préférence, libre, spécifique et informé. Le consentement est préalable à la collecte des données. Il est notamment requis dans les cas suivants :

    • collecte de données sensibles

    • réutilisation de données à d’autres fins

    • utilisation de cookies pour certaines finalités

    • utilisation des données à des fins de prospection commerciale par voie électronique

 

  • Droit à la portabilité des données : il offre aux individus la possibilité de récupérer une partie de leurs données dans un format ouvert et lisible sur machine. Les personnes pourront ainsi stocker leurs données ou les transmettre facilement d’un système informatique à un autre en vue de leur réutilisation personnelle. Ce droit renforce le droit des individus dans la maîtrise de leurs données personnelles.

 

  • Droit à l’effacement : il s’agit du droit à l’oubli, c’est-à-dire que la personne peut, si elle en fait la demande, effacer les données à caractère personnel la concernant. L’entreprise doit s’exécuter dans les meilleurs délais. L’individu pourra en faire la demande si l’un des motifs suivants se présente :

    • Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées par le responsable de traitement ;

    • La personne souhaite retirer son consentement et il n’existe pas d’autre fondement juridique à ce traitement ;

    • La personne concernée s’oppose au traitement nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable ou s’oppose au traitement nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers

    • La personne concernée s’oppose au traitement de ses données à des fins de prospection ;

    • Les données ont fait l’objet d’un traitement illicite ;

    • Les données doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union Européenne ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

    • Les données ont été collectées dans le cadre d’une offre de services de la société de l’information à des enfants.

Le consentement des personnes concernées est également soumis à des conditions supplémentaires. Plus clairement, il doit s’agir de « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le responsable du traitement, que ce soit une entreprise, une association, un sous-traitant, doit prouver qu’il a obtenu le consentement de la personne. L’individu doit avoir la possibilité de retirer son consentement à tout moment. En résumé, le consentement doit être aussi simple à donner qu’à retirer.

  • Quelles entreprises sont concernées ?

Tout organisme, quelle que soit sa taille, son pays d’implantation et son activité, peut être concerné.  En effet, est impliquée par ce nouveau règlement toute entitée qui manipule des données concernant des résidents européens, et il peut tout aussi bien s’agir de sous-traitants que d’associations.

Le RGPD s’applique également aux organisations non établies dans l’Union Européenne et « ciblant » ou effectuant un « suivi » des personnes concernées dans l’Union Européenne, dans le cadre d’une « offre de biens ou services » (sans qu’il y ait nécessairement lieu à paiement) ou d’un « suivi » de leur comportement à l’intérieur de l’Union.

La simple accessibilité à un site internet à partir de l’Union Européenne ne sera pas l’unique critère : la possibilité de passer des commandes, de payer en euros, etc, pourrait suffire.

  • Quelles sanctions en cas de non-conformité ?

Des sanctions sévères sont prévues à l’encontre des entreprises qui viendraient à ne pas respecter cette nouvelle réglementation. Avertissement, mise en demeure, limitation temporaire ou définitive du traitement, suspension des flux de données, obligation de rectifier, limiter ou effacer, …

Le GDPR prévoit des amendes de plusieurs paliers : en cas de mauvaise tenue des enregistrements (Article 28), défaut de notification de l’autorité de surveillance et de la personne concernée à propos d’une violation (Articles 31 et 32) ou absence d’évaluations d’impact (Article 33), l'amende peut monter jusqu'à 2% du chiffre d'affaire. L'amende maximale pour les entreprises qui ne respectent pas le RGPD peut monter jusqu'à 4% du chiffre d’affaires ou jusqu'à 20 millions d'euros (la somme la plus importante).

  • Comment cela se traduit-il concrètement ?

Les entreprises seront désormais dans l’obligation de signaler toute violation des données personnelles. En cas de fuite, l’entreprise gestionnaire sera tenue de notifier l’autorité nationale de protection dans les 72 heures suivant l’incident, afin que les utilisateurs puissent prendre des mesures appropriées.

Si la fuite présente un risque majeur pour les droits et libertés des individus concernés, ces derniers devront également être informés. L’entreprise devra conserver un registre internes des différents incidents. Le non-respect de cette clause pourrait entraîner une amende de 10 millions d’euros, voire de 2% du chiffre d’affaires annuel global si celui-ci s’avère plus élevé.

Toutes les entreprises devront désigner un DPO (Data Protection Officer), ou Délégué à la Protection des Données, au sein de leur structure. Cela s’applique aux entreprises qui traitent comme celles qui contrôlent les données, quelle que soit leur taille. Trois cas de figure spécifiques rendent nécessaires l’engagement d’un DPO :

  • L'entreprise appartient au secteur public;
  • Le coeur d'activité de l'entreprise implique un suivi régulier et systématique des données d'individus;
  • Le coeur d'activité de l'entreprise la gestion à grande échelle de données personnelles sensibles ou relatives à des condamnations pénales et infractions.

Le DPO doit avoir accès aux onnées personnelles et aux opérations de traitement de l'entreprise. L'entité doit lui fournir les ressources nécessaires pour accomplir au mieux les tâches qui lui sont confiées ainsi que de conserver son niveau de connaissances. L'employeur doit s'assurer que son DPO est impliqué dans tout ce qui concerne la protection des données personnelles, mais aussi de faire en sorte qu'il soit facilement contacté par les autorités publiques et de contrôle.

Les entreprises concernées qui ne respectent pas cette exigence peuvent se voir infligées d’une amende du montant le plus élevé, entre 10 millions d’euros et 2% de leur chiffre d’affaires.

Si une entitée choisit de ne pas nommer un DPO, elle devra établir un rapport des raisons appuyant sa décision, prouvant qu’elle ne correspond à aucun des trois cas de figures mentionnés.

Les entités devront veiller au respect de certaines mesures organisationnelles, comme celles préconisées par le National Cyber Security Center ou le CIS Critical Security Controls. Il s’agit notamment de :

  • Recruter un DPO, ou faire appel à un prestataire

  • Incorporer un régime de gestion des risques

  • Éduquer les utilisateurs et mettre en place des programmes de sensibilisation

  • Former les employés à respecter les mesures de sécurité en dehors de leur lieu de travail.

Vous avez désormais tous les concepts clés en main. En ce qui concerne les mesures techniques, vous pouvez consulter la deuxième partie de notre dossier qui contient tous les éléments nécessaires à la mise en conformité pour votre entreprise.

 

Sources :

https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

https://fr.mailjet.com/rgpd/preparation/

https://www.village-justice.com/articles/preparer-conformer-rgpd-outils,27193.html

https://www.cnil.fr/fr/le-g29-publie-un-avis-sur-les-techniques-danonymisation

http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm