Comprendre le RGPD qui entrera en vigueur le 25 mai

Le Règlement général sur la protection des données, ou RGPD, entre en vigueur dans l’Union européenne le 25 mai 2018.

Pour répondre aux questions que se posent encore les entreprises, l’agence numérique So Digital a organisé, le 26 avril, une conférence-débat sur ce thème avec Me Géraldine Salord, Avocat au Barreau de Paris et associée fondateur du cabinet Metalaw, spécialisé dans l’accompagnement des entreprises innovantes.

L’Europe, et notamment la France où est née la loi Informatique et Libertés dès 1978, veut être à l’avant-garde de la protection des données de ses citoyens dans le monde numérique. Une bonne occasion pour tenter de redonner confiance dans le numérique, au moment où les scandales sur l’utilisation de nos données personnelles sur les réseaux sociaux se multiplient.

Atelier matinal @Issylesmoul à propos de l’entrée en vigueur du RGPD, organisé par @SO_digital . Le RGPD sera un enjeu très important notamment pour les start-up pic.twitter.com/7PUvF5zTbh

— Aude Merlet (@Odiiie) 26 avril 2018

Le Règlement général sur la protection des données, ou GDPR (General Data Protection Rule) définit un ensemble de règles communes pour tous les acteurs traitant à grande échelle des données personnelles de citoyens européens. Il remplace, à partir du 25 mai 2018,  les 28 législations nationales existantes.  Il s’est fixé trois objectifs principaux : renforcer les droits des personnes, responsabiliser les acteurs de la collecte et crédibiliser la régulation.

Qu’est-ce qu’une donnée personnelle ?

Il s’agit de toutes les informations liées à une personne physique identifiée ou identifiable: le nom, le prénom, l’adresse postale, l’adresse courriel, les données de localisation… Dans la mesure où la plupart des données anonymisées peuvent tout de même conduire à l’identification d’un individu, le RGPD s’applique de fait à tous les acteurs – ou presque – traitant des données personnelles.

Avec le RGPD, n’importe quelle entreprise dans le monde traitant des données de citoyens européens devra être capable d’expliquer clairement pourquoi les données sont collectées. Le citoyen européen est en droit de connaître depuis quand les données sont récoltées, combien de temps elles seront stockées, où, et avec quels moyens de sécurisation. L’entreprise doit aussi expliquer avec quelles autres sociétés les données seront partagées et comment elles seront exploitées par ces tiers (marketing personnalisé, achat programmatique…).

L’entreprise doit nettoyer régulièrement ses bases de données (au minimum une fois par an) pour éviter de conserver des données devenues inutiles.

Il faut un consentement « explicite » pour la collecte de ses données

Comme aujourd’hui, l’utilisateur doit donner un accord non ambigu pour la collecte et l’exploitation de ses données. Mais la CNIL faisait une distinction entre un particulier et un professionnel, ce qui n’existe plus avec le RGPD.  On parle d’opt-in « actif », c’est-à-dire que la case à cocher pour donner son accord ne peut pas être présélectionnée.

Et, s’il refuse, il devra tout de même pouvoir accéder au site concerné, dans la mesure du possible. Ce qui n’est pas le cas actuellement : de nombreux acteurs imposent d’accepter l’exploitation des données personnelles – dans des termes souvent peu clairs – sous peine de se voir refuser l’accès au service. Les entreprises qui s’adressent aux mineurs de moins de 16 ans devront rédiger le texte de consentement en des termes clairs et facilement compréhensibles.

Il existe cependant trois cas de figure autorisant le traitement sans consentement de la personne concernée : pour respecter une obligation légale, dans l’exécution d’un contrat et pour les intérêts légitimes du demandeur (exemple d’un service DRH, de l’URSSAF, des impôts, etc).

Le RGDP créé de nouveaux droits pour les citoyens

Renforcé par le RGPD, le droit à l’effacement dit « droit à l’oubli » (article 17) permet à un individu de demander la suppression de ses données personnelles. Evidemment, vous ne pouvez pas demander à l’URSSAF d’oublier vos données, mais vous pouvez demander la suppression d’informations liées à votre passé (une soirée trop arrosée lorsque vous étiez étudiant ?).  La difficulté pour l’organisation est liée à l’obligation pour tout « responsable du traitement » d’effectuer l’effacement « dans les meilleurs délais ». Par ailleurs, vous pouvez aussi exercer à tout moment votre droit de rectification (art. 16), votre droit à la limitation du traitement (art. 18) et votre droit d’opposition (art. 21). Ce dernier a été renforcé et s’applique par exemple lorsque les données personnelles sont utilisées à des fins de prospection. En cas de violation au règlement, des actions collectives peuvent être menées par des associations actives dans le domaine de la protection des droits et libertés.

L’information, claire et via un document autonome et facilement accessible, doit permettre à chaque utilisateur de savoir à quelles fins vos données sont utilisées. Si vous achetez des données pour faire de la prospection, où le consentement préalable n’est pas obligatoire, vous devez adresser informer les personnes, dans vos newsletters.

En cas de violation de données, l’entreprise doit en informer la CNIL dans les 72 heures et, en cas de risque élevé d’atteinte aux données, les personnes concernées. Cela se faisait déjà, mais c’est désormais obligatoire.

Comment démontrer que l’accord a bien été obtenu par l’utilisateur ? La blockchain peut être une solution technique facilitant le processus, et plusieurs entreprises proposent aujourd’hui des outils simples.

Il faut prévoir la portabilité des données

C’est probablement la disposition la plus difficile à mettre en oeuvre pour une entreprise.La loi informatique et libertés de 1978 a créé un droit d’accès aux données. Le RGPD va plus loin avec la portabilité des données, qui permet à un individu de demander à une entreprise de lui fournir, « dans un format structuré, couramment utilisé et lisible par machine » (art. 20), l’intégralité de ses données personnelles, pour qu’il puisse les transférer à un autre prestataire. De quoi, par exemple, changer d’énergéticien sans perdre son historique de consommation.

Désigner au sein de son organisation un DPO (Data Protection Officer)

« Le RGPD a été pensé comme une blockchain », selon Me Géraldine Salord. Tous les acteurs de la chaîne de traitement des données sont responsabilisés. Autrement dit, si la start-up pense être à l’abri en raison de sa taille ou de son chiffres d’affaires, ses partenaires économiques peuvent être sanctionnés. C’est pourquoi les grands comptes et les investisseurs étrangers ont commencé à demander à leurs fournisseurs  de démontrer leur mise en conformité au RGPD.

Le RGPD créé la fonction de Data Protection Officer (DPO).

C’est le chef d’orchestre de la gouvernance des données au sein d’une entreprise ou d’une collectivité. Sa désignation est une obligation pour les structures publiques (hôpitaux, collectivités…) et pour les entreprises qui traitent des données à grande échelle, ou des données « sensibles » (données génétiques, biométriques, afférentes à la santé, à la religion, aux opinions politiques ou à l’appartenance syndicale). Toutes les entreprises du numérique sont, par essence, concernées. La question peut se poser si son activité principale n’exige pas un suivi régulier et systématique de traitement à grande échelle. Le G29 (organisme qui fédère l’ensemble des Cnil européennes) encourage les entreprises non soumises à obligation de se doter tout de même d’un DPO, en interne ou externalisé.

Que se passera-t-il après le 25 mai 2018 ?

À partir de cette date, les entreprises en non-conformité avec la réglementation s’exposeront à des sanctions qui dépassent de très loin le périmètre actuel de la Commission nationale de l’informatique et des libertés (Cnil). En cas de manquement, notamment au « privacy by design » (intégrer la protection de la vie privée dès la conception) et au « privacy by default » (garantir le plus haut niveau de protection des données), les contrevenants risquent de payer une amende s’élevant à 10 millions d’euros ou, dans le cas d’une entreprise, à 2% du chiffre d’affaires annuel mondial. Ils encourent jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pour manquement aux droits des personnes (portabilité, rectification, opposition, limitation, droit à l’oubli…)

Le RGPD marque la fin de la plupart des obligations déclaratives

Cette mise en marche forcée des acteurs traitant des données personnelles, sous peine de sanctions d’une ampleur inédite, vise aussi à alléger les formalités administratives. Le RGPD supprime la plupart des obligations déclaratives. En revanche, les structures de plus de 250 salariés (et celles de moins de 250 salariés mais dont le traitement de données peut avoir des répercussions sur la vie privée) doivent mener une étude d’impact sur la vie privée (EIVP) et tenir à jour en permanence un registre de traitement qui pourra être demandé par la Cnil en cas de contrôle.

En conclusion, l’enjeu du RGPD est, pour Me Salord, d’abord une question technique, car l’entreprise doit concevoir ses systèmes d’information pour garantir techniquement la protection des données, puis une question d’organisation pour mettre en interne un process pour garantir que seules les données strictement nécessaires seront traitées, avant d’être une question juridique.

Dire que tout le monde sera prêt au 25 mai serait illusoire. S’il faut impérativement que les premières mesures juridiques soient prises avant l’été, il faudra démontrer d’ici la fin de l’année que les mesures techniques pour se mettre en conformité ont été visiblement entamées. La CNIL prévoit une procédure de certification des outils techniques pour aider les entreprises à faire leurs choix.

Il reste encore certaines zones d’ombre dans l’application du règlement. Elles seront levées au fil du temps, après les premières décisions de la CNIL et la jurisprudence.

• Les publications du cabinet Metalaw
• La présentation PowerPoint de Me Salord :