La piqûre de rappel

Concrètement, comment appliquer le RGPD ?

Posté par Willy Fontugne on 02/05/19 17:17
Willy Fontugne
Retrouvez-moi sur :
RegGPD.png

RGPD : 1 an déjà

Le Règlement Général sur la Protection des Données ou RGPD a pris effet le 25 mais 2018. Il a pour but d'uniformiser la loi au niveau de l'UE et d'homogénéiser la protection des données personnelles des Européens. Le RGPD, c'est donc un seul texte, traduit dans la langue de chaque pays.

C'est quoi une donnée personnelle ?

Pour la CNIL, une donnée à caractère personnel est "toute information relative à une personne physique susceptible d'être identifiée, directement ou indirectement".

Un nom, une photo, une adresse mail, une adresse IP, un numéro de téléphone...sont donc des données personnelles.

Attention ! Si en recoupant plusieurs données (âge, sexe, ville, diplôme, etc.) ou si l'utilisation de moyens techniques permet d'identifier une personne, ces données sont toujours considérées comme personnelles. Même si tous les cookies ne sont pas utilisés pour identifier les utilisateurs d'un site web, la majorité (et les plus utiles aux propriétaires de sites) le sont, et seront donc soumis au RGPD.

Mon entreprise est-elle concernée ?

Le RGPD s'adresse à toutes les entreprises qui traitent les données personnelles de ressortissants européens, en interne ou en sous-traitance, sur le territoire de l'UE ou non. Par exemple :

  • Vous êtes un petit artisan, vous possédez dans votre ordinateur un fichier répertoriant les noms, prénoms, et numéros de téléphone de vos clients ? Votre entreprise est concernée,
  • Vous récoltez les données personnelles d'internautes via un formulaire à remplir sur le site web de votre PME ? Vous répertoriez leurs adresses mail afin de leur faire parvenir vos newsletters ? Votre entreprise est concernée,
  • Vous êtes une entreprise multinationale ? Les données personnelles de vos contacts sont sous-traitées par un agent commercial, un vendeur d'objets connectés ou un vendeur de cloud ? Que cette prestation soit réalisée au sein de l'UE ou non, votre entreprise est concernée.

TPE, PME, freelance, association, start-up... Le RGPD s'adresse à un vaste champ d'organisations, privées ou publiques. Seules les activités non soumises à la législation de l'UE ne sont pas concernées (celles liées à la défense nationale par exemple).

Attention, le RGPD concerne aussi les entreprises intervenant en tant que sous-traitant dans la mise en œuvre d’un traitement de données personnelles. Ces dernières doivent alors offrir à leurs client des garanties suffisantes et démontrer que ce traitement répond aux exigences du RGPD.

Que dit le texte ?

Dans les grandes lignes, le RGPD prévoit :

  • Plus de droits pour la personne dont les données sont collectées,
  • Plus de transparence et de responsabilisation pour ceux qui les récoltent,
  • Un cadre légal plus strict sur le consentement et les transferts de données,
  • Des sanctions plus fortes en cas de négligence.

Concrétement, comment l'appliquer ?

1. Tout commence à la conception du produit.

Le principe de protection des données personnelles devra être pris en compte dès la partie Recherche & Développement. Les outils techniques garantissant le respect de la vie privée devront accompagner la conception du futur produit. On parle ici de Privacy by Design.

Par exemple, votre entreprise crée une application pour smartphone ; dès le développement de celle-ci, vous devez penser RGPD. L'utilisateur de votre application va-t-il devoir créer un compte ? Les informations que vous lui demanderez seront-elles indispensables à la finalité de votre produit ? Seront-elles bien chiffrées ? Avez-vous bien prévu d'informer l’utilisateur sur le traitement de ses données avant la collecte de celles-ci, afin que son consentement puisse être éclairé et explicite ? Sera-t-il bien possible d'effacer complétement ces données une fois que l'utilisateur ne souhaitera plus utiliser l'application ? Tout cela doit être anticipé dès la conception du produit.

Le principe de Privacy by Default devra également être appliqué : les réglages en faveur du respect de la vie privée devront être automatiquement activés. Admettons que votre entreprise lance cette fameuse application. Assurez-vous, par exemple, que la géolocalisation ne soit pas installée par défaut. Ce sera à l'utilisateur de l'activer manuellement.

2. Vient ensuite l'acquisition des données personnelles.

Avant de collecter les données personnelles d'un individu, vous devrez expliciter les points suivants :

  • L'objectif de cette collecte,
  • Comment les données seront utilisées,
  • Quels sont ses droits.

Ces informations devront être claires et lisibles. Oubliez donc les tournures de phrases compliquées et évitez d'utiliser une taille de police environnant le 5. Cette transparence garantira un consentement explicite et éclairé de la part de l'internaute. Sur ce principe, les formulaires contenant des cases pré-cochées par défaut seront interdits.

optin rgpd.png

Attention, l'acquisition et l'utilisation des données personnelles des enfants de moins de 16 ans sera également interdit, à moins d'obtenir une autorisation explicite du responsable légal. Un point à bien prendre en compte si votre entreprise collecte des informations sur les centres d'intérêt des plus jeunes (Toys'R'Us, Disney...).

3. Quels droits pour la personne dont les données sont collectées ?

  • Droit à l'oubli : une personne ayant consenti à donner ses informations personnelles pourra demander à faire effacer totalement ces dernières sur demande.
  • Droit d'opposition au profilage : on parle de profilage quand les données personnelles récoltées sont soumises à un traitement entièrement automatisé. Un algorithme les analyse dans le but de prédire le comportement, les intérêts, la localisation etc. d'une personne physique. En somme une pratique très commune en webmarketing. Le profilage sera toujours autorisé, mais le RGPD l'encadrera strictement. L'internaute devra avoir connaissance de ce système de traitement robotisé. Il devra aussi pouvoir demander une intervention humaine, obtenir une explication et contester une décision. Par exemple, si cet internaute reçoit chaque mois une newsletter "adaptée à ses besoins", il aura le droit de savoir sur quelles informations l'ordinateur se base pour prendre cette décision, il pourra demander à ce qu'une personne intervienne.
  • Droit à la limitation du traitement : un internaute pourra demander à ce que ses données ne soient plus traitées, mais uniquement stockées. Par exemple, si il ne veut plus être l'objet de prospection commerciale, mais ne souhaite pas pour autant être effacé de la base de données. Par ailleurs, les entreprises ne pourront plus transférer les données d'une personne à un tiers, à moins que cette dernière l’ait autorisé. Si ce n'est pas le cas, le transfert devra intégrer le principe d'anonymisation ou de pseudonymisation, c'est à dire que rien ne devra permettre de faire le lien entre ces données et la personne.
  • Droit à la portabilité des données : un internaute dont vous possédez les données personnelles pourra demander à ce que celles-ci soient entièrement transférées vers un autre opérateur.

4. Enfin, comment traiter les données conformément au RGPD ?

Toutes les entreprises devront se doter d'un Data Protection Officer, délégué à la protection des données. Il aura les rôles suivants :

  • Réaliser un recensement initial de l'ensemble des données,
  • Former l'ensemble du personnel sur le nouveau RGPD,
  • Mettre en place les nouveaux outils et nouvelles procédures,
  • Revoir les contrats établis afin d'en garantir la conformité,
  • Déclarer tout incident compromettant l'intégrité des données personnelles à la CNIL de manière officielle, sous 72h.

Le Data Protection Officer devra s'assurer que l'entreprise a une vision globale des différentes données personnelles qu'elle détient, et de l'utilisation de celles-ci. Concrètement, il devra tout d'abord établir une cartographie. Il pourra ainsi identifier et localiser les données personnelles collectées au sein des différents services. Le Data Protection Officer devra tenir 3 registres :

  • Un registre des consentements,
  • Un registre des oppositions,
  • Et un registre documenté sur le traitement des données : quelles données pour quels usages et sous quelles modalités.

Attention, le RGPD s'appliquera aussi aux données personnelles des employés de votre entreprise. Le texte prévoit quelques spécificités, étant donné que la base de consentement diffère de celle d'un internaute ou d'un client. Cet article, bien détaillé, peut aider votre service RH à appliquer le RGPD. Il explique toutes les bonnes pratiques à mettre en place, de la candidature au départ :

La protection des données et le traitement des données des ressources humaines 

Comment m'assurer que je l'applique correctement ?

Clgref, Afai et Tech In France, les 3 associations à l'origine du RGDP, ont créé un livrable commun très détaillé sur l'application concrète du nouveau règlement. Celui-ci est téléchargeable gratuitement à l'adresse suivante :

Télécharger le livrable commun "Entreprises, les clés d'une application réussie du RGPD"

"Entreprises, les clés d'une application réussie du GDPR" se compose de 3 parties.

  • Première partie : une checklist de 50 questions pour autoévaluer votre conformité avec le nouveau règlement. 16 questions sur la gouvernance, 18 sur les métiers et 16 sur la cybersécurité et le système d'information.
  • Deuxième partie : environ 300 mesures et recommandations sur la mise en place d'un système d'information conforme, sur les risques, et sur les mesures à appliquer pour se prémunir de ceux-ci.
  • Troisième partie : des outils juridiques pour se doter d'une gouvernance interne fiable et ainsi tendre vers l'auto-responsabilité.

Attention, en cas de négligence, les sanctions prévues par le RGPD sont lourdes. D'un simple avertissement à une amende pouvant aller jusqu'à 20 millions d'euros, ou 4% du CA mondial de l'entreprise.

New Call-to-action

 

Thématique : Sites web