Tous les jours, vous laissez des éléments tels vos nom, prénom, adresse, e-mail et numéro de téléphone sur les sites internet d’entreprise ou marchand, les réseaux sociaux, etc. Ces éléments sont ce qu’on appelle des données personnelles. Ces dernières sont par la suite collectées et exploitées sous forme d’informations par les mêmes sites internet ou par des sites tiers. Ce système de collecte a pris aujourd’hui des proportions inquiétantes, principalement dû au fait que le client occupe la place centrale dans la stratégie de développement de l’entreprise. C’est d’ailleurs pour cette raison qu’il est donc important de mettre en place des mesures de prévention de la vie privée des internautes. Et le Règlement général sur la protection des données personnelles (RGPD) a cette principale mission.
POURQUOI UN NOUVEAU RÈGLEMENT EN MATIÈRE DE DONNÉES PERSONNELLES ?
De temps en temps, il est nécessaire de faire le toilettage des dispositions juridiques pour être conforme à la réalité économique et sociale. En effet, avant janvier 2012, la protection des données à caractère personnel dans l’Union européenne était réglementée par une Directive européenne adoptée en 1995. C’est sur une proposition de la Commission européenne qu’une réforme a été envisagée en vue de renforcer les droits des particuliers, étant donné que le constat était la perte et la fuite des données personnelles. La réforme devrait également permettre la réduction des coûts afférents à la protection des données pour les entreprises. C’est pour cela qu’en 2015, un nouveau texte a finalement vu le jour.
En vertu du Règlement général sur la protection des données personnelles (RGPD), le respect de la réglementation doit être assuré dès l’instant qu’est envisagée la mise en place d’un produit ou d’un service occasionnant une collecte de données. Cette exigence en matière de respect de la réglementation porte le nom d’un principe dit du « Privacy by Design » ou « Privacy by Default ». Ce n’est pas le seul principe parce qu’il y a à côté d’autres principes non moins importants comme de celui de la transparence ou de la responsabilité (accountability).
QUEL EST LE CONTENU DU RÈGLEMENT GÉNÉRAL SUR LA PROTECTION DES DONNÉES ?
Dans l’élaboration du Règlement général sur la protection des données personnelles, le législateur a tenu compte des récentes évolutions technologiques tout en anticipant sur les problèmes qui pourraient exister à l’avenir. Le texte est composé de 99 articles auxquels doivent se conformer les entreprises. Bien qu’il ait été adopté le 4 mai 2016, il ne sera applicable qu’à partir du 25 mai 2018.
D’après l’article du Happyness Lawyer Manager de Captain Contrat qui a repris des propos de Bruno Rasle ,délégué général de l’Association Français des Correspondants aux Données Personnelles (AFCDP), ce règlement correspond à «la loi informatique et liberté à la puissance 10». La première remarque faite est que les sanctions sont devenues plus importantes et on ne retient que la plus importante si les montants sont différents. En effet, la sanction peut être de 10 millions d’euros ou 2% du chiffre d’affaires annuel mondial pour des manquements notamment au Privacy By Design, Privacy By Default, elle peut également être de 20 millions ou de 4% du chiffre d’affaires de l’entreprise pour les manquements aux droits de la personne. Les entreprises devront prouver le consentement des personnes dont les données personnelles ont été reçues à travers un système de traitement et conserver cette preuve en cas de besoin pour échapper à la responsabilité. Une autre remarque est de noter que le consentement des personnes en ce qui concerne l’utilisation de leurs données personnelles doit être demandé de manière claire et séparément. D’ailleurs le Règlement général sur la protection des données le fait savoir en ces termes : « Le consentement doit être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale »
Par ailleurs, le RGPD a également reconnu de nouveaux droits aux utilisateurs tels que la portabilité. Ce dernier désigne le droit pour le consommateur désirant de changer d’enseigne de demander que ses données personnelles soient transférées dans une nouvelle base de données ou même restituées. Après ce transfert, l’entreprise qui en avait la charge devra notifier à la CNIL de tout élément pouvant se rattacher à des tiers pour plus de transparence.
QUEL EST LE CHAMP D’APPLICATION DU RÈGLEMENT GÉNÉRAL DE PROTECTION DES DONNÉES ?
Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». On entend par donnée à caractère personnel toute information personnelle permettant d’identifier ou de géolocaliser une personne. Et comme données personnelles, on peut comprendre l’adresse d’une personne, la localisation, le numéro de sécurité sociale, l’adresse électronique, la date de naissance, les informations de paiement, le numéro de téléphone, l’empreinte d’une personne.
De manière générale, on parle de traitement des données en ce qui concerne de toute opération de collecte, d’enregistrement, d’organisation, de conservation, d’adaptation ou de modification, d’extraction, de consultation, d’utilisation, et de communication par transmission, diffusion, de rapprochement ou d’interconnexion, ainsi que de verrouillage, effacement ou destruction.
Ainsi le champ d’application du RGPD est circonscrit au niveau de l’Union européenne puisque le RGPD s’applique «au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ». Il peut aussi arriver qu’une personne non établie sur le territoire de l’Union européenne puisse être contrainte de se soumettre aux dispositions du RGPD. C’est le cas où le responsable du traitement des données qu’il soit rattaché directement ou indirectement à l’entreprise n’est pas établi au niveau de l’Union européenne.
COMMENT ÊTRE EN CONFORMITÉ AVEC LE RÈGLEMENT GÉNÉRAL DE LA PROTECTION DES DONNÉES ?
Des séries de mesure doivent être envisagées pour se mettre en conformité avec le RGPD. Parmi ces meures, il faut éviter de collecter que les données inutiles, mais juste celles nécessaires à l’activité, employer un data Protection Officier, tenir un registre de traitement …
Le Data Protection Officer (DPO)
Le DPO encore en français délégué à la protection des données est un pilier central du RGPD. D’ailleurs ce sont les articles 37 à 39 qui règlemente son statut. Concrètement, sa mission est de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation et de piloter en continu la conformité. À ce titre, les ressources et le temps nécessaires à l’accomplissement de ses missions et à l’entretien de ses connaissances spécialisées doivent impérativement lui être donnés. Il est obligatoire pour les administrations et les entreprises traitant un grand volume de données personnelles.
Le registre des traitements
Les entreprises ayant un effectif de 250 personnes doivent obligatoirement tenir un registre au jour de jour pour les traitements de données personnelles. À tout instant, l’autorité responsable qui en fait la demande pourra le consulter. Il doit comporter entre autres, l’identité et les coordonnées du responsable de traitement, le destinataire à qui les données seront communiquées, la finalité du traitement, la catégorie de données concernées et celle de personnes concernées, la documentation attestant l’existence de garanties appropriées, ainsi que les délais prévus pour l’effacement des différentes catégories de données et dans la mesure du possible les mesures de sécurité techniques destinées à protéger les données.
L’analyse d’impact relative à la protection des données (DPIA)
De l’anglais Data Protection Impact Assessment (DPIA), cette analyse consiste à vérifier l’ensemble des traitements de données personnelles informatisées. L’analyse d’impact permet d’identifier les processus utilisés et qui concernent le Règlement et de les soumettre à une étude d’impact en vue d’évaluer la conformité et les risques qui en découlent pour les personnes concernées.
La garantie des droits des personnes
Le RGPD crée de nouveaux droits en plus des droits d’accès, de rectification, d’opposition, d’effacement déjà garantis par la loi informatique et les libertés. Il s’agit du droit à la limitation du traitement, du droit à l’oubli, à l’effacement des données ou encore du droit à la portabilité des données. Le droit d’opposition permet à une personne de s’opposer aux traitements des données à tout moment. Une protection spécifique est assurée aux enfants parce que le consentement de leurs parents est nécessaire s’ils ont entre 13 et 16 ans.
La rédaction d’une charte de bonnes pratiques
Cet outil informe les collaborateurs et prestataires des bonnes pratiques et des sanctions encourues lorsque la loi n’est pas respectée par le responsable du traitement. Elle permet de rendre conscient les collaborateurs des dangers que peuvent engendre leurs actions.
Et voilà donc des éléments à adopter pour réussir sa conformité au Règlement général sur la protection des données (RGPD).