Les essentiels du RGPD

Le Règlement Général sur la Protection des Données ou RGPD a pour vocation de définir un texte de référence harmonisé à l’échelle de l’UE – et même de portée internationale dès lors qu’une entreprise, où qu’elle soit établie dans le monde, traite des données personnelles de ressortissants européens – de nature à garantir à ses citoyens le contrôle de leurs données personnelles (identité, identifiants, comportements, centres d’intérêt, …) et la protection de leurs droits fondamentaux à cet égard.

Le principe réaffirmé tient dans le caractère souverain de la propriété de ses données personnelles par tout citoyen européen, dans le cadre de sa vie privée, de son statut de consommateur, mais aussi de ses activités professionnelles (une adresse email d’entreprise, par exemple, est une donnée personnelle). Celui-ci ne fait que prêter à des tiers, fournisseurs, prestataires, employeurs, etc. des informations le concernant et leur concéder un droit d’exploitation réversible, dans des conditions devant demeurer parfaitement connues de lui.

Les principales évolutions de la réglementation sont les suivantes :

Responsabilité étendue et principe d'"accountability"

Le RGPD inclut dorénavant tous les acteurs intervenant dans la transmission et le traitement des données personnelles. Ainsi sont désormais coresponsables : les opérateurs, hébergeurs, fournisseurs de services et tous professionnels du numérique impliqués dans la chaîne de traitement ; mais également les filiales, sous-traitants, co-contractants et tous partenaires interagissant dans l’exploitation de données personnelles. Il vous incombe par conséquent d’identifier tous les processus, mêmes externes, dans lesquels votre entreprise est engagée, ainsi que les entités tierces avec lesquelles vous partagez vos données.

Plus largement, la responsabilisation accrue des entreprises et des responsables de traitement se conçoit comme la contrepartie d’une contrainte allégée en matière de formalités et d’autorisations préalables jusqu’alors requises auprès des organismes de contrôle (CNIL, …). Dans ce contexte, la charge vous revient de documenter et d’apporter la preuve a posteriori de la licéité de vos traitements en tenant notamment un registre des activités de traitement. Il appartient au responsable de traitement de démontrer de manière constante et pérenne qu’il est en conformité avec le RGPD, notamment par le maintien rigoureux d’un registre des activités de traitement.

Privacy-by-design

Le concept de “Privacy-by-Design” a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement devraient offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données.

Principe de minimisation

Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. En effet, vous devez définir dès le départ un schéma de recueil, de traitement et de conservation de données réduit au strict nécessaire, y compris dans le temps, pour le bon fonctionnement de votre entreprise et la qualité des services rendus : leur utilité doit être démontrée et consignée dans un registre.

Preuve du consentement

Le contrôle de ses données personnelles par le citoyen implique, lorsque c’est nécessaire, son consentement préalable et explicite, non plus seulement à être sollicité, mais bien à la collecte de ses données en amont. Ce consentement ne doit pas être tacite, mais libre et éclairé. En conséquence, c’est à l’entreprise exploitant ces données de mettre en œuvre une collecte de consentement claire et de fournir la preuve formelle du consentement accordé.

Droit d’accès, d'opposition, de modification et de suppression

Le consentement n’est pas un blanc-seing : il est réversible à tout moment. Le citoyen européen doit pouvoir accéder et vérifier l’usage approprié de ses données personnelles. Il doit pouvoir s’opposer au traitement de ses données. Il peut aussi (faire) modifier ou supprimer intégralement, dans les délais légaux, les données qui le concernent, notamment si elles ne sont plus nécessaires au regard des finalitésexposées, qu’il n’existe pas de motif impérieux de les conserver et/ou que le traitement est illicite. Enfin, la portabilitédes données doit être garantie dans un format structuré permettant d’en confier le traitement à un autre acteur.

Fuite de données

En cas de piratage, de cyberattaque et de toute menace potentielle ou avérée de violation de données personnelles, votre entreprise doit signaler les faits dans les 72 heures à l’autorité compétente (la CNIL en France), ainsi qu’aux personnes concernées s’il existe un risque élevé d’attenter à leurs droits et libertés.

Délégué à la protection des données

L’une des nouveautés les plus impactantes pour votre entreprise consiste, quand cela est nécessaire, dans la désignation d’un responsable nommément dédié à la protection des données :  le délégué à la protection des données ou DPD. Ses principales missions sont : le contrôle de la conformité au RGPD, le conseil auprès des opérationnels des traitements, la liaison avec l’autorité de contrôle (essentiellement la CNIL), la réponse aux sollicitations de personnes souhaitant exercer leurs droits. Toutefois, sa désignation n’est pas obligatoire.

Tenue d’un registre des activités de traitement

Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité. Le registre des activités de traitement permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ce que vous faites avec les données personnelles. Il doit être tenu par le responsable de traitement. Si vous êtes un sous-traitant, vous êtes dans l’obligation de tenir le registre du sous-traitant.

Analyse d'impact

Dans certains cas, le responsable de traitement est tenu de réaliser une “étude d’impact” (ou PIA : privacy impact assessment) préalable au traitement afin de mesure les risques inhérents à ce traitement de données personnelles.