Le RGPD pour les nuls

Règlement pour 31 Etats

Le General Data Protection Regulation (GDPR) ou Règlement Général sur la Protection des Données (RGPD) représente la plus importante mutation législative depuis 20 ans. Directement applicable dans les 31 pays de l’Espace Économique Européen (les 28 États membres de l'Union européenne (UE) et trois des quatre États membres de l'Association européenne de libre-échange : Islande, Liechtenstein et la Norvège), il s’impose dans chacune de ses dispositions, de manière identique et directement dans chaque État membre (sans intervention de chaque état membre pour l’insérer dans son arsenal législatif).

Le Règlement offre donc une protection homogène sinon identique des données à caractère personnel dans toute l’Union

> Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016: https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Chaque fois que vous ouvrez un compte bancaire, rejoignez un site de réseautage social ou réservez un vol en ligne, vous transmettez des informations personnelles essentielles telles que votre nom, votre adresse et votre numéro de carte de crédit.

Qu'en est-il de ces données? Peuvent-elles tomber dans de mauvaises mains? Quels droits avez-vous concernant vos informations personnelles?

Pour faciliter l’analyse et la compréhension fine du texte du règlement européen, la CNIL (Commission Nationale de l’Informatique et des Libertés – l’autorité de contrôle française) propose une navigation visuelle dans le texte du règlement à partir des liens ou interactions entre ses articles et ses considérants.

> Le règlement européen sur la protection des données en dataviz : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz#

Le règlement vise ainsi à contribuer à la réalisation d’un marché digital européen homogène, régulé par un Règlement unique appliqué par des autorités de protection des données qui communiquent, coopèrent et mènent des actions conjointes ou prennent des décisions communes.

Chaque citoyen européen, et même tout personne concernée de n’importe quel pays (client, prospect, partie à une convention ou travailleur), peut donc directement invoquer le Règlement et sa protection accrue.

Transectoriel et applicable aux (t)pme

La « personne concernée » est la personne intéressée par le traitement de ses données personnelles. Le règlement ne qualifie par contre pas de personne concernée une personne décédée ou qui ne peut être identifiée ou distinguée des autres.

Le RGPD est trans-sectoriel et s’applique donc aussi bien aux entreprises du secteur informatique qu’à celles actives dans l’assurance, le secteur financier, le marketing et la communication, le droit, la santé, le transport,…

La taille de l’entreprise n’importe pas (l’absence d’employés non plus) sauf pour lui rajouter des obligations au-dessus de certains seuils comme celle de désigner un Délégué à la Protection des Données (DPD). Ce dernier va contrôler les traitements de données au sein de son organisation. Ceux qui ne sont pas soumis à cette obligation ont quand même un intérêt à désigner un tel délégué (lire notre article Un délégué à la protection des données pour quoi faire ?... REFERENCES) .

Celui-ci jouera en effet un rôle non négligeable dans la politique de protection des données de son organisation (https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0).

Nous faisons ci-dessous indifféremment référence au « RGPD », « GDPR » ou encore au « Règlement » ou à la « Réglementation ».

Des droits renforcés et nouveaux

Le Règlement étend et renforce les droits des personnes concernées, nos clients à nous indépendants, entreprises, entrepreneurs et professions libérales, en termes de transparence dans le traitement de leurs données personnelles, surtout si elles sont sensibles ou si elles concernent des enfants.

Il tend vers toujours plus de clarté dans l’information des personnes concernées et cultive une communication transparente avec elles.

Il se préoccupe du fait que l’internet, le cloud, hébergent nos données personnelles des plus « ordinaires » (nom, profession, résidence, téléphone, adresse email,…) au plus « sensibles » (opinions politiques, convictions religieuses ou philosophiques ou appartenance syndicale, données génétiques ou biométriques, relatives à la santé ou concernant la vie sexuelle ou l'orientation sexuelle).

Beaucoup de personnes choisissent de rendre leur allégeance politique publique, par exemple en portant des badges ou des rosettes ou encore en apposant un autocollant sur leur fenêtre ou pare-brise. Une exception est dès lors prévue pour le traitement des données sensibles qui couvrent les informations rendues publiques par la personne concernée.

Le groupe 29 a remis son avis sur l’Evolution des technologies biométriques - WP 193 (pdf - 191 Ko)
le 27 avril 2012.

Lire également Determining what information is ‘data’ for the purposes of the DPA: https://ico.org.uk/media/for-organisations/documents/1609/what_is_data_for_the_purposes_of_the_dpa.pdfs

Nous sommes demandeurs d’être, de devenir… ou de rester, maîtres de nos identités digitales qui doivent par ailleurs être adéquatement protégées de multiples attaques.

Les données collectées sont à présent limitées de multiples manières : le consentement requis est ainsi caparaçonné (libre, spécifique, éclairé, univoque et nécessaire) et réellement cuirassé s’il concerne des catégories particulières de données à caractère personnel, des données génétiques ou biométriques (explicite).

Un salarié d’une compagnie d’assurance reçoit un appel téléphonique sur son lieu de travail de la part d’une personne qui se présente comme un client et demande des informations sur son contrat d’assurance.

L’obligation de préserver la confidentialité des données des clients impose au salarié d’appliquer des mesures de sécurité minimales avant de divulguer des données à caractère personnel. Ceci pourrait être fait, par exemple, en proposant de rappeler à un numéro de téléphone figurant dans le dossier du client.

Les finalités de la collecte et du traitement de ces données est circonscrite, les données sont d’ailleurs minimisées à ce qui est collecté pour atteindre ces objectifs. L’exactitude et la durée de conservation des données font également l’objet de mesure spécifiques et particulièrement contraignantes comme le droit au retrait du consentement, à l’effacement ou à la rectification.

Par exemples :

le club de fitness qui vend la liste de ses membres à une société qui propose des cures d'amaigrissement ;

l'ophtalmologue qui communique le nom de ses patients à une société spécialisée dans la vente de lentilles de contact

Quelle est la meilleure façon de compiler la liste de marketing de notre entreprise ?

Vous voulez sans doute constituer votre liste de marketing interne en utilisant les données des personnes qui ont acheté des biens ou des services par le passé, ou qui se sont inscrits sur votre site Web ou encore ont répondu à un enquête/formulaire en ligne. Vous ne pouvez pas supposer que ces personnes consentent à recevoir un message marketing simplement parce qu’elles ont fourni leurs coordonnées.

Vous devez informer chaque personne concernée que vous avez l'intention d'utiliser ses données à des fins de marketing. La meilleure manière d'obtenir un consentement clair et univoque pour votre marketing est de proposer des cases opt-in qui spécifient le type de messages que vous prévoyez d'envoyer et par quel canal (par exemple par courrier électronique, par SMS, par téléphone, par fax, par appel enregistré,…).

Vous devez enregistrer dans votre registre des données quand et comment vous avez obtenu le consentement de chaque personne concernée et quel type de messages il couvre.

Si possible, vous devez également indiquer si le client est un particulier ou une entreprise, car des règles différentes s'appliquent.

En l’absence d’informations, assumons qu’il s’agit d’un particulier (le mieux protégé).

La confidentialité doit être garantie dès la conception du bien ou service et par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont collectées et traitées.

Si j'achète une tapis d’orient d'un détaillant en ligne, je veux être rassuré que mon identité digitale est sécurisée, qu'elle ne sera pas exposée aux cyberattaques, ne sera pas utilisée pour un vol d'identité, etc.

Je suis moins préoccupé de recevoir un courrier électronique dans 5 ans car ils font des soldes ou proposent à présent des foulards multi-couleurs et sinon je dois pouvoir simplement me désinscrire de leur communication.

La « pseudonymisation » et le « chiffrement » (ou cryptage) sont encouragés et clairement définis tandis que de nouveaux droits voient le jour comme la portabilité des données qui doivent à présent être fournies dans un format structuré, couramment utilisé et lisible et sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées puisse y faire obstacle.

L’adresse IP est une donnée pseudonyme pour les entreprises actives dans l’e-commerce puisqu’il faut une décision de justice pour la relier à une personne physique. L’anonymisation par recours à une tiers de confiance contractuellement obligé de cacher l’identité de la personne physique partie à ce contrat en est un autre exemple.

Le groupe 29 a rendu le le 10 avril 2014 son Avis sur les techniques d'anonymisation - WP 216(pdf - 722 Ko)

Les données sont anonymisées si elles ne contiennent plus d’identifiants; elles sont pseudonymisées si les identifiants sont cryptés.

Les données personnelles bénéficient de protections supplémentaires en cas de traitement transfrontalier sous la stricte inspection des autorités de contrôle dotées de pouvoirs de sanctions jamais rencontré auparavant pouvant atteindre 20 Mo d’euros!

La hantise de tout responsable du traitement des données et donc in fine de toute entreprise qui les collecte, est plus que jamais d’être victime d’une violation des données à caractère personnel.

Il est obligatoire de déclarer une violation des données personnelles dans le cadre du GDPR si elle est susceptible de créer un risque pour les droits et libertés des personnes concernées.

Donc, s'il est peu probable qu’un risque existe pour les droits et les libertés de la part de la violation, vous n'avez pas besoin de signaler.

La « personne physique identifiable » n’est autre que nous-même dans nos multiples interactions digitales, sur le net ou par mail, via des serveurs ou dans le cloud, par des procédés automatisés ou non,…

Une personne est identifiable si des informations complémentaires peuvent être obtenues sans effort déraisonné, permettant l’identification de la personne concernée.

LES 3 OBJECTIFS DU RGPD :

1. Renforcer la protection des particuliers (par exemple par la création d’un droit à la portabilité des données personnelles et des dispositions propres aux personnes mineures) ;
2. Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) sous peine de lourdes sanctions;
3. Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront par exemple adopter des décisions communes ou mener des actions conjointes lorsque les traitements de données seront transnationaux..

[1] Source de l’illustration: Plus de droits pour vos données ! 26 janvier 2016, La CNIL et le G29 publient 6 dessins pour mieux comprendre les avancées du futur règlement européen pour les citoyens réalisé par Martin Vidberg : https://www.cnil.fr/fr/plus-de-droits-pour-vos-donnees et pour les 6 images : https://www.cnil.fr/sites/default/files/atoms/files/poster_fr-optimise.pdf.