Le règlement

Le présent article est un guide à destination du profane, on y résume les points essentiels du règlement. Il est évident que ce texte ne doit pas remplacer le texte du règlement ni les conseils d’un avocat ou d’un conseiller spécialisé.

Les principes de base

Les abus récents en matière de protection de la sphère privée ont amené le législateur à poser de nouvelles règles afin de la protéger. Tout citoyen de l’Union européenne est couvert par ce règlement, ainsi toute société ayant des résidents de l’union dans leurs bases de données doit s’y plier, cela quel que soit le pays où elle siège.

Il est bien entendu que votre droit national doit également être respecté, qui bien souvent, a plus d’importance que le règlement lui-même.

La RGPD vise les données à caractère personnel, elle couvre donc toutes les informations permettant d’identifier un individu. Ce qui inclut : les noms, les photos, les empreintes, une adresse postale, un mail, une adresse IP… Les exemples sont nombreux et peu importe que ces informations soient publiques ou privées.

Pour que le traitement des données soit licite, il est indispensable qu’au moins un de ces motifs soit établi :

  • Le sujet a consenti au traitement pour une finalité spécifique.
  • Le traitement est nécessaire à la réalisation d’un contrat ou à la mise en place de celui-ci.
  • Le traitement est nécessaire au respect du droit national.
  • Le traitement est nécessaire à la sauvegarde des intérêts vitaux du sujet ou d’une autre personne.
  • Le traitement est d’intérêt public ou ordonné par une autorité publique.
  • Le traitement est d’intérêt légitime prouvé pour le responsable du traitement.

Au moment de l’enregistrement des données, vous devez en préciser le but. Une fois cela fait, vous n’aurez plus la possibilité de changer les buts de celle-ci. On vous recommande aussi de maintenir à jour celle-ci et de vous assurer de leur exactitude. Il est fortement déconseillé de stocker des informations sensibles comme le prévoit l’article 9 du règlement. Plusieurs choses sont interdites : les données génétiques, de santé, ou biométriques. Ainsi que toute donnée concernant l’orientation sexuelle, raciale, ethnique, politique, religieuse ou philosophique. La logique sous-entendue de toutes ces interdictions est que ces données peuvent causer un risque important si elles sont détournées de leur traitement initial. Cependant, l’article 9.2 prévoit des exceptions, par exemple si « le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée ». Comme dit au début de l’article, n’hésitez pas à faire appel à un professionnel pour être sûr de tout ce que vous allez enregistrer.

Pour les mineurs, l’âge limite de base selon le texte est de 16 ans. En revanche, le règlement européen permet aux états d’ajuster cette limite entre 13 et 16 ans. La France par exemple a fixé cet âge à 15 ans. Sous cette barre, l’accord parental est indispensable.


Droits des personnes concernées

Le texte prévoit aussi le droit à l’oubli, tout résident européen peut demander à tout moment l’effacement de ses données personnelles. Elles doivent respecter les lois du pays responsable du traitement (délai légal de conservation des documents, secret professionnel…). Vous aurez à ce moment l’autorisation de vérifier l’identité du requérant afin qu’un tiers ne puisse pas le faire à la place de l’individu concerné. Le règlement ne protège pas les défunts, cependant le droit de votre pays doit s’appliquer.

N’oublions pas que les personnes dont vous traitez les données ont des droits sur celles-ci. Qui ont étés renforcés par le texte de loi : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du traitement. Nous vous conseillons à cette fin si vous disposez d’un site internet de mettre le plus possible d’outils à la disposition des personnes concernées. Cela peut prendre la forme d’un formulaire de contact, d’un compte client avec les options nécessaires ou alors d’un numéro de téléphone disponible. Soyez à l’écoute des personnes concernées et prenez les devants sur leurs demandes. Cela vous économisera du temps renforcera votre confiance mutuelle.


Registre des traitements

La tenue d’un registre complet est obligatoire pour toute entreprise de plus de 250 salariés. Les autres entreprises doivent tenir un registre limité aux traitements à risque, réguliers et/ou comportant des données restreintes (selon la clarification du WP 29 du 19 avril 2018) par exemple les salaires, les retraites ou les factures. Le registre doit être tenu de manière écrite et de préférence électronique et doit être à disposition des autorités de contrôle. Vous devez bien entendu avoir renseigné clairement les coordonnées du responsable de traitement, du délégué et de leurs différents coresponsables et codélégué s’ils existent.

Chaque traitement documenté dans le registre doit au minimum indiquer:

  • L’intitulé du traitement
  • Sa finalité
  • Licéité du traitement (article 6); voir plus haut.
  • Catégories de personnes et type de données personnelles.
  • Délais prévus avant l’effacement (si possible).
  • Description des mesures de protection techniques et organisationnelles (si possible).
  • Si les données seront communiquées à des tiers, y compris le pays de destination (attention aux décisions d’adéquation et aux contrats; inclure une copie de ceux-ci pour les pays qui ne sont pas au bénéfice d’une décision d’adéquation).
  • Si nécessaire, une copie de l’étude d’impact (PIA).

Lors de la mise en place d’une procédure ou d’un outil et cela dans la mesure d’un budget proportionnel aux risques et à vos moyens à disposition vous avez quelques recommandations à suivre. Vous devrez vous assurer là où c’est possible que le cryptage ou la pseudonymisation soient utilisés. Cette dernière est une technique de sécurisation réversible qui consiste à réduire le lien de corrélation entre les données d’identification et les autres données d’une personne. Vous devez aussi vous assurer que les données sont bien sauvegardées tout en restant confidentielles. Enfin vous devrez vous assurer que la sécurité technique est convenable par des tests.

Nous nous permettons de vous rappeler notre outil de tenue de registre.


Le responsable du traitement

Selon le règlement, il est important de bien distinguer ce que recouvre « traitement des données » : pour faire simple, il s’agit de toutes les opérations que vous effectuerez avec : de la collecte, à son effacement en passant par l’extraction ou la consultation.

On désignera aussi « responsable du traitement », la personne morale qui détermine les finalités et les moyens de ce fichier à sa création. Il a pour obligation d’assurer le respect strict du règlement RGPD au sein de l’entreprise, mais aussi chez les sous-traitants et fournisseurs. Il concevra des procédures qui devront utiliser le moins possible d’informations personnelles et organisera son entreprise afin de la mettre en conformité.

Si une nouvelle procédure est risquée, il procédera aux études d’impact afin de l’évaluer. La CNIL a d’ailleurs mis en place un outil open source pour réaliser ces études. Il permet d’évaluer le risque pour le sujet et d’évaluer les mesures de protection recommandée par rapport à ce qui est mis en place. Il sera difficile de prouver la non-dangerosité d’un traitement. Nous recommandons de systématiquement évaluer le risque ; soit, par le biais d’une étude complète soit par une autre méthode et documentez le raisonnement derrière l’évaluation sommaire. Depuis l’entrée en vigueur du règlement, une étude de risque sommaire est nécessaire pour tout nouveau traitement.

Il doit au moins tenir un registre des traitements, mais en avoir d’autres peut s’avérer judicieux : comme un registre des violations de données et anomalies, un registre des consentements ou encore un registre des demandes et limitations.

Il devra informer les autorités de tout incident dans les 72 heures.

Aux clients, il devra annoncer son nom, les coordonnées de son délégué s’il en existe un et respectivement son représentant. Lors de la collecte d’informations personnelles, il devra en annoncer le motif, la base légale et temps de conservation. Il est bien entendu qu’il faut répondre rapidement à toutes les demandes concernant ces données et en tenir un journal. En général, ce délai ne devrait pas excéder 30 jours.


Le délégué à la protection des données

La désignation d’un délégué n’est obligatoire que dans trois cas de figure:

  • Si le traitement est réalisé par une entité publique.
  • Si la structure a une activité l’amenant « à réaliser un suivi régulier et systématique des personnes à grande échelle ».
  • Si la structure effectue un traitement impliquant des données sensibles ou liées à des condamnations pénales et infractions.

Au sein de l’entreprise, il est associé à toutes les questions relatives aux données personnelles. Il participera à toutes les réunions de directions, direction de projet, études d’impact et la tenue du registre des traitements. Il sera aussi le point de contact primaire en rapport avec les données personnelles entre le responsable du traitement et les autorités.

Pour mener à bien sa mission au sein de l’entreprise ou de l’organisme public, le délégué doit avoir une autonomie dans ses décisions et il sera également protégé contre le licenciement punitif. Il se doit aussi de respecter le secret de sa fonction au regard de la loi européenne et du pays où sa fonction est assurée.


Le sous-traitant

Il s’agit d’une personne physique ou morale qui traite les données personnelles pour le compte du responsable du traitement. En tant que sous-traitant vous avez pour obligation de signaler plusieurs choses aux personnes pour lesquelles vous possédez les données personnelles:

  • Votre identité.
  • Si vous en avez un, les coordonnées de votre délégué aux données personnelles.
  • Le cas échéant, votre représentant.
  • Les finalités des traitements pour lesquelles vous avez des données personnelles.
  • Les catégories de données que vous avez pour chacun de vos clients.
  • Qui vous a fourni les données personnelles que vous avez en votre possession.

Notez bien aussi que si le secret professionnel couvre les données que vous possédez, vous ne devez pas divulguer que vous les avez.


Les sanctions

Si vous ne respectez pas scrupuleusement les directives du RGPD, vous pouvez vous exposer à de lourdes sanctions. En tête de celle-ci, on pourra noter l’amende qui correspond à 4% du chiffre d’affaires mondial ou de 20 millions d’euros. D’après l’article 24 du règlement, les états membres peuvent aussi mettre en place des sanctions supplémentaires en cas de violation du règlement, particulièrement pour compléter le RGPD.

Par exemple en France on peut les retrouver à la section des « atteintes aux droits à la personne résultant des fichiers ou des traitements informatiques » (articles 226-16 à 226-24) du Code pénal. Les sanctions peuvent donc aller jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (art 226-16 du Code pénal), en cas de détournement de la finalité des données personnelles lors d’un traitement.

Il est à noter que les amendes sont encore relativement rares. Le risque principal de nos jours en cas de manquement dans le traitement de vos données sensibles est la chute de la crédibilité de votre entreprise. On pourra citer le cas exceptionnellement grave de Facebook, avec le scandale de Cambridge Analytica. Mais à une échelle plus raisonnable, on citera le cas d’Epitech qui a vu des données extrêmement sensibles être diffusées sur les réseaux sociaux par un mystérieux corbeau.

Une atteinte à votre crédibilité peut être non seulement préjudiciable pour votre image de marque, mais aussi couter très cher financièrement. Se mettre en conformité avec le RGPD est une étape indispensable pour vous protéger de ces différentes attaques.