Savez-vous ce que Google, Facebook et tous les autres sites ou entreprises ont comme données personnelles sur vous ? Quand on s’inscrit à une newsletter ou que l’on prend un abonnement à Internet, les données que l’on renseigne sont collectées et peuvent être utilisées. Seulement, la traçabilité et l’utilisation de ces données ne sont pas vraiment connues des consommateurs.
L’Union Européenne, suite à de nombreux débats, vient apporter un cadre plus restrictif à la collecte et l’utilisation de données personnelles. C’est ce que l’on appel le règlement général sur la protection des données (RGPD).
Le RGPD, qu’est-ce que c’est ?
Le 25 mai 2018, le règlement général sur la protection des données sera applicable. Ce document vise à protéger les individus vis-à-vis de l’utilisation de leurs données personnelles tout en laissant la place aux entreprises de les collecter.
Un bref historique
Tout a commencé dans les années 1970, avec l’arrivée de l’informatique. A l’époque, l’informatique se développait de plus en plus avec la peur de l’inconnu. En effet, les administrations, puis la plupart des entreprises sont passées par l’informatisation. L’élément déclencheur qui a éveillé les consciences, c’est le projet gouvernemental SAFARI qui projetait de pouvoir identifier chaque personne via un numéro INSEE pour assurer une connexion avec les fichiers administratifs détenus sur chaque individu. Ce projet soulevait pour la première fois la question de la protection de la vie privée sur internet.
Le RGPD a vu le jour après 4 ans de négociations. Cela fait suite à la directive sur la protection des données personnelles. Il est important de revenir rapidement sur l’importance d’un règlement européen dans le droit français.
Selon la pyramide de Kelsen, un règlement européen est moins restrictif qu’une directive européenne. Pour autant, cela ne veut pas dire que ce règlement ne sera pas appliqué en France, c’est même plutôt le contraire. Il faut savoir que dans la hiérarchie des normes, en France, une directive européenne doit être transposée dans le droit national. Pour cela, il faut que la loi soit modifiée. Cela prend environ 18 mois pour qu’une directive européenne soit transposée. A contrario, un règlement européen n’a pas besoin d’être transposé, il est applicable tel qu’il est.
Ce règlement remplace la directive européenne, mais va également surpasser la loi informatique et liberté de 1978.
Une collecte des données avec un principe de proportionnalité
- Auparavant, chaque entreprise se devait de prévenir la CNIL pour toute collecte de données personnelles. Cependant, la simplification du processus de collecte de données ne signifie pas que l’entreprise n’a rien à fournir comme justificatif. En effet, il faut établir un document précisant l’utilisation des données avec un registre des personnes ayant accès à ces données :
Selon le niveau de sensibilité des données récoltées, les entreprises devaient effectuer une simple déclaration, soit demander une autorisation.
Guillaume Desgens-Pasanau, maître de conférence au CNAM
- Le principe de proportionnalité est appliqué pour la collecte et l’utilisation des données. En tant qu’entreprise, professionnel, il n’est pas possible de demander des informations qui n’ont aucun rapport avec l’activité ou l’objectif recherché :
Si je collecte vos données dans un but publicitaire, je n’aurai par exemple pas le droit de vous demander votre numéro de carte bleue ou le prénom de vos enfants.
Jérémie Courtois à Franceinfo, avocat au cabinet Cornet Vincent Segurel
Comment procéder pour respecter le RGPD ?
Il y a plusieurs choses à mettre en place pour être sûr d’être conforme avec le règlement général pour la protection des données, c’est ce que la CNIL explique en ligne, sur son site Internet, avec une méthodologie en 6 étapes.
La désignation d’un délégué
C’est la première étape, puisqu’il faut une personne de référence pour informer, communiquer et contrôler la gestion des données personnelles. Cela n’est pas obligatoire pour toutes les entreprises. C’est une étape obligatoire pour :
- Une entreprise du secteur public ;
- Une entreprise qui a au cœur de son activité un suivi régulier et systématique des données à grande échelle ;
- Une entreprise avec au cœur de son activité une gestion à grande échelle des données sensibles ou pour des condamnations pénales et des infractions.
L’inventaire des données personnelles
Pour pouvoir contrôler l’ensemble des données personnelles récoltées et utilisées, il faut savoir ce qu’il en est. Pour cela, les entreprises peuvent faire une cartographie des traitements des données personnelles. Le plus simple est de mettre en place l’élaboration d’un registre qui vous permettra de vérifier l’état des données et la manière dont elles sont stockées. Ce registre sera composé :
- De tous les traitements des données ;
- Des catégories de données qui sont traitées ;
- Des objectifs poursuivis par ces traitements ;
- Des personnes traitant ces données : c’est à cet endroit que vous devez répertorier les sous-traitants pour faire une mise à jour des clauses de confidentialité ;
- De la circulation des données.
Les actions à mener
Une fois l’inventaire effectué, il est possible d’y voir plus clair en matière de travail à fournir pour la mise en conformité. Les actions à mettre en place vont être basées sur 6 points d’attention :
- Est-ce que les données sont nécessaires pour les objectifs ? Si la réponse est non, alors ces données personnelles n’ont pas lieu d’être.
- La vérification des bases juridiques de traitement des données ;
- La révision des mentions d’information de l’utilisation des données ;
- Informer les sous-traitants et la vérification des clauses d’obligations des sous-traitants afin que tout soit conforme au règlement ;
- S’assurer le respect des droits des utilisateurs : le droit d’accès, d’objection, de suppression, le droit à l’oubli ou la possibilité d’obtenir une copie des données personnelles collectées sur lui ;
- Quelles sont les mesures de sécurité qui ont été mises en place ?
La gestion des risques
La gestion des risques revient à effectuer une analyse d’impact sur la protection des données. Cette analyse repose sur 2 principes : les principes et droits fondamentaux qui doivent être absolument respectés et la gestion des risques concernant la vie privée des utilisateurs.
L’analyse d’impact doit contenir :
- La description des traitements des données et les objectifs poursuivis ;
- Une évaluation du rapport proportionnel ou non entre la poursuite des objectifs et le traitement des données personnelles ;
- Une étude des risques par rapport aux droits et libertés des utilisateurs et les mesures pour palier à ce risque.
L’organisation en interne
S’organiser au sein de son entreprise est primordial pour que chaque étape achevée permette d’aboutir à la conformité du processus d’utilisation des données. Pour cela, il y a quelques principes à respecter pour que chacun s’organise au mieux :
- L’application du principe de “Privacy Design” : l’obligation d’intégrer dès la conception du projet, les principes régis par le RGPD ;
- La conception d’un plan de formation et de communication autour du RGPD pour sensibiliser chaque collaborateur ;
- S’occuper des demandes des utilisateurs quand ils souhaitent exercer leurs droits vis-à-vis de leurs données personnelles ;
- L’anticipation de la violation des données en mettant en place un processus de prévention de l’utilisateur et de l’autorité de protection des données.
Les documents prouvant la conformité
Il faudra constituer un dossier vous permettant de prouver à tout moment que la collecte et le traitement des données personnelles sont conformes au règlement. Ce dossier devra comprendre les documents suivants :
- Le registre des traitements ;
- Les analyse d’impact ;
- L’encadrement des transferts (les clauses contractuelles et les certifications) ;
- Les mentions d’information ;
- Un recueil des consentements ;
- Les procédures mises en place afin que l’utilisateur puisse exercer ses droits ;
- Les procédure pour palier les violations de données personnelles ;
- Les preuves de consentement.
Quelles sanctions en cas de non-respect du règlement ?
Il faut bien souligner que le RGPD concerne la protection des données personnelles de tous les résidents de l’Union Européenne. Ce n’est pas parce qu’une entreprise n’est pas sur le territoire européen qu’elle ne doit pas respecter ce règlement. Ainsi, le RGPD s’applique pour une entreprise dont le siège se trouve aux Etats-Unis si elle collecte des données concernant des personnes ressortissantes de l’UE.
RGPD et consentement
L’article 4 du règlement stipule qu’il faut que le consentement, à la collecte de données personnelles, soit libre, spécifique, éclairée et univoque.
- Le RGPD et profilage : le profilage est toujours possible avec ce règlement, mais sous certaines conditions. Il faut absolument que chaque personne puisse obtenir une copie de ces données en moins d’un mois. Si un individu fait une demande d’arrêt du profilage, il faut que cela cesse immédiatement (article 19 du RGPD), sauf s’il est possible de prouver que cela interfère avec les intérêts de la personne, de ses droits et de ses libertés.
- Le RGPD et e-mail marketing : il n’est plus possible de pré-cocher les cases de consentement pour recevoir des offres commerciales, par exemple. Une case pré-cochée n’est pas significative d’un consentement éclairé et univoque.
Pour que le consentement soit éclairé, il faut que les conditions générales de ventes soient moins complexes. Il faut que l’individu soit informé de la façon la plus limpide possible. Cela peut améliorer la relation de confianceentre une entreprise et un futur utilisateur. En effet, en étant clair et précis dans ce qui est attendu de l’utilisateur et en expliquant ce à quoi vont servir ces données, l’utilisateur sera plus facilement en confiance pour s’inscrire.
Les sanctions encourues
En cas de non-respect du Règlement Général sur la Protection des Données, vous encourez jusqu’à 20 millions d’euros d’amende ou 4 % de votre chiffre d’affaire global. Entre les deux, c’est le montant le plus élevé qui sera retenu. Il est évident que ce n’est pas la même sanction selon les manquements à la règle.
Ces chiffres très élevés ont pour objectif de dissuader au maximum les fraudes sur les données personnelles. L’amende est de 20 millions d’euros ou de 4 % pour un manquement grave, comme le fait de ne pas avoir eu un consentement clair du client avant le traitement des données ou la violation des principes du “Privacy Design”.
Ce règlement apporte une sécurité pour les utilisateurs tout en permettant d’ouvrir plus de possibilités aux entreprises. En effet, la collecte de données est tout à fait possible, à partir du moment où l’utilisateur en est conscient, qu’il est d’accord avec ce partage de données et que les objectifs sont proportionnés par rapport aux informations demandées.
Ce qu’il faut retenir sur le RGPD :
Sources :
- https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR
- https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes
- https://www.affiches-parisiennes.com/rgpd-trois-questions-a-guillaume-desgens-pasanau-7950.html