RGPD, ce qu’il faut retenir

Conseil & Stratégie
RGPD, ce qu’il faut retenir

Qui est concerné ?

Le cadre a été harmonisé au niveau communautaire : désormais la RGPD constitue un seul ensemble de lois et de règlements, directement applicable dans tous les pays membres de l’UE mais également dès lors qu’un ressortissant européen est ciblé. On parle d'extraterritorialité du principe. Les e-commerçants sont particulièrement ciblés.

Quelle implication pour le traitement des données personnelles ?

La réglementation donne droit à l’effacement, à l'accessibilité, à la consultation et à la portabilité des données : toute personne peut demander l’effacement des données personnelles le concernant dans les meilleurs délais. Elle a le droit de recevoir les données la concernant, dans un format structuré et lisible par machine et peut les transmettre à un autre responsable de traitements de données. La notion de consentement « opt-in » est également renforcée. Le consentement doit être « explicite » et « positif ». Les pratiques « opt-out » sont interdites.

Quelle exploitation marketing possible ?

Il est important de comprendre qu’il n’existe pas de frontière entre B-to-C et B-to-B, dès que la donnée est personnelle (une adresse du type prenom.nom@entreprise.com est considérée comme nominative). La segmentation marketing des données n’est en rien proscrite, en revanche elle doit être propre, avec une utilisation justifiée, limitée et traçable. Par exemple la durée de conservation des données doit être indiquée. Les opt-in partenaires existent toujours mais doivent être listés et catégorisés. Idem pour les cookies : ils sont listés, accessibles et désactivables par l’utilisateur.

Quel est le niveau de protection requis ?

« Privacy by design » et Principe de sécurité par défaut : la protection des données doit être sécurisée dès la conception de produits ou de systèmes exploitant des données personnelles. Toute organisation doit disposer d’un système d’information sécurisé. Les données personnelles collectées doivent systématiquement être sécurisées.

Qui va s’en charger ?

Nomination obligatoire d’un « Data Protection Officer » dès lors que des données personnelles sont traitées à grande échelle. Cette obligation de nomination est valable pour le responsable du traitement des données comme pour son sous-traitant. A noter, un DPO peut être externalisé. NB : Le CIL est voué à disparaitre.

Quel organisme national effectuera les contrôles ?

La CNIL est désignée pour opérer des contrôles sur tout le territoire national. Ses prérogatives et ses effectifs s’en trouvent considérablement renforcés. Nuance majeure, contrairement au régime de la LCEN et de la loi informatique et liberté, la CNIL n’aura plus à prouver que l’opérateur est en infraction. Il devra lui-même prouver qu’il est en conformité avec le RGPD.

Quel type d’informations doivent être communiquées aux autorités ?

Notifications obligatoires en cas d’incidents, comme par exemple des fuites de données aux autorités afin de permettre aux utilisateurs d’être avertis et de réagir.

Que risque -t-on ?

Un panel de sanctions très dissuasif est mis en place pouvant atteindre 4% du CA mondial et s’élever à 20 millions d’euros.

Pour aller plus loin

L’application extra-territoriale

Le règlement s'appliquera aux entreprises établies en dehors de l'Union européenne qui traitent les données relatives aux activités des organisations de l'UE. Les sociétés non-européennes seront également soumises au règlement si elles ciblent les résidents de l'UE par le profilage ou proposent des biens et services à des résidents européens (article 3 du règlement)

Le droit à l’effacement

Dans cette version allégée du droit à l’oubli, la personne concernée a le droit d'obtenir du responsable du traitement l'effacement de données à caractère personnel dans les meilleurs délais. Le responsable du traitement a l'obligation d'effacer ces données pour 6 motifs (article 17).

Le droit à la portabilité des données personnelles :

Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant dans un format structuré, couramment utilisé et lisible par machine. Elles ont le droit de transmettre ces données à un autre responsable du traitement. Lorsque la personne concernée exerce son droit à la portabilité des données en application du paragraphe 1, elle a le droit d'obtenir que les données à caractère personnel soient transmises directement d'un responsable du traitement à un autre, lorsque cela est techniquement possible (article 20)

Profilage

Toute personne a le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire (article 22 du règlement).

Protection des données dès la conception et sécurité par défaut

Le règlement européen définit le principe de « protection des données dès la conception » (en anglais : Privacy by design) qui impose aux organisations de prendre en compte des exigences relatives à la protection des données personnelles dès la conception des produits, services et systèmes exploitant des données à caractère personnel. De plus, le règlement consacre la nouvelle règle de la « sécurité par défaut » qui impose à toute organisation de disposer d’un système d’information sécurisé (article 25 du règlement).

Les notifications en cas de fuite de données

Les entreprises et les organismes seront tenus de notifier dès que possible l'autorité nationale de protection en cas de violations graves de données afin que les utilisateurs puissent prendre des mesures appropriées (article 33 du règlement).

La nomination obligatoire d'un "DPO"

La nomination d'un délégué à la protection des données (Data Protection Officer en anglais) est obligatoire lorsque :

  • « Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle »
  • « Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées » (art. 37-1-b)
  • « Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l'article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l'article 10. » (art. 37(1)(c)) Sont ainsi visées les données « sensibles » dont notamment celles relatives à l'état de santé des personnes, leur état de fragilité, ou encore les données à caractère personnel relatives aux infractions et condamnations.