Le RGPD (Règlement général sur la protection des données) sera applicable en France et dans toute l’Europe dès le 25 mai 2018. Revenons un peu sur les changements que ce règlement européen va apporter pour que vous puissiez vous y préparer correctement.
La RGPD, c’est quoi ?
Le RGPD ou GRPD (General Data Protection Regulation) est un nouveau texte européen visant à sécuriser le traitement des données à caractère personnel. Voté en 2016, il sera applicable dès le 25 mai 2018.
Qui est concerné ? Toute entreprise qui traite des informations à caractère personnel de personnes résidentes dans l’UE.
Avec ce nouveau règlement, les formalités de déclaration auprès de la CNIL ne sont plus nécessaires (sauf dans certains cas). Cependant, les entreprises doivent pouvoir prouver en cas de contrôle que les règles liées à la protection des données à caractère personnel sont respectées.
Quels changements apportent la RGPD ?
La loi « Informatique et Libertés » avait déjà posé de bonnes bases, qui sont en générales reprises par le RGPD. Cependant, de nombreux changements ont été opérés pour renforcer la protection des données personnelles.
La collecte des données minimisée
Selon l’article 5 du règlement, les entreprises doivent collecter uniquement les données strictement nécessaires « au regard des finalités pour lesquelles elles sont traitées ». Il faut donc simplifier tous vos formulaires pour ne garder que les champs utiles (ex : pour une newsletter, l’email seul est suffisant pour s’inscrire).
Le consentement : la charge de la preuve au responsable de traitement
Le traitement des données à caractère personnel est soumis au consentement préalable de la personne résultant d’un acte positif (pas de silence, case pré-cochée, inactivité). Ce consentement doit être renouvelé pour chaque finalité de traitement. Les internautes ont par ailleurs le droit de retirer ce consentement ultérieurement.
Le recueil express du consentement n’est pas nécessaire dans certains cas (exécution d’un contrat, respect d’une obligation légale, sauvegarde des intérêts vitaux de la personne, exécution d’une mission d’intérêt légitime…). Il vous faut donc analyser les finalités de chaque traitement de données que vous récoltez pour déterminer si un consentement est obligatoire ou non.
Petite nouveauté, le responsable du traitement supporte la charge de la preuve. Les entreprises devront être en mesure de prouver que la personne a consenti au traitement de ses données personnelles.
Informations renforcées dans les mentions légales
L’article 13 du règlement prévoit qu’au moment où les données sont récoltées (dans le cas d’une collecte directe auprès de la personne), certaines informations doivent être fournies à la personne concernée : identité et coordonnées du responsable de traitement, finalité du traitement, coordonnées du DPO, durée de conservation des données…
Retenez bien le fait que la personne doit être informée au moment de la récupération des données (dans le cas d’une collecte directe) ou « au moment de la première communication » avec la personne (pour la collecte indirecte).
Création d’un registre de traitements détaillé
Avec la mise en place du GRPD, plus de déclaration auprès de la CNIL (sauf cas particuliers), mais les entreprises sont tenues de tenir un registre des traitements pour prouver le respect des nouvelles règles. Cette obligation est issue de l’article 30 du règlement et concerne aussi bien l’entreprise que les sous-traitants.
Cet article 30 énumère toutes les informations requises dans ce registre de traitement : les finalités du traitement, les personnes concernées et les catégories de données récoltées, les destinations, les transferts éventuels vers pays hors UE…
La mise en œuvre des moyens de protection des données
Les entreprises doivent se doter des moyens permettant de sécuriser les données à caractères personnelles qu’elles ont collectées (art 5 et 32). En cas de violation de ces informations, elles devront en informer la CNIL mais également les personnes dont les données ont subi cette violation (art 33). Une analyse d’impact doit être effectuée si un type de traitement est susceptible d’« engendrer un risque élevé pour les droits et libertés des personnes physiques (art 35)
La nomination d’un DPO
Le DPO (Data Protection Officer) est une personne dont le rôle est de garantir que le traitement des données par l’entreprise respecte les principes fixés par le RGPD. Il peut s’agir d’une personne nommée en interne ou extérieure à l’entreprise.
Sa nomination est obligatoire pour les organismes publics. Pour les entreprises privées, un DPO doit être nommé si leurs activités de bases :
- « exigent un suivi régulier et systématique à grande échelle des personnes concernées » (art 37, al.1.b))
- « consistent en un traitement à grande échelle » de données sensibles ou liées à des condamnations pénales et infractions. (art 37,al1.c))
La co-responsabilité
La responsabilité n’incombe plus uniquement au responsable du traitement. Le sous-traitant peut être également mise en cause. Il doit respecter les mêmes obligations que son prestataire (notamment en ce qui concerne la protection des données).
Plus de contrôle sur leurs données personnelles pour les internautes
En plus des classiques « droit à l’oubli » et « droit d’accès », le RGPD met en place notamment :
- Le droit à la portabilité des données (les utilisateurs doivent pouvoir exporter leurs données personnelles dans un format structuré ou demander le transfert des données vers un autre responsable de traitement)
- Le droit d’opposition (contre le traitement de ses données à caractères personnels)
- Le droit à l’intervention humaine (refus du profilage automatisé) …
Des sanctions revues à la hausse
Pour forcer les entreprises a respecté ces nouvelles dispositions, de fortes amendes administratives sont prévues à l’article 83. En fonction de la nature de l’infraction : 10 millions d’euros ou 2% du CA mondial, et jusqu’à 20 millions ou 4% du CA mondial (le montant le plus élevé sera retenu).
Pour vous aider dans vos démarches, la CNIL a publié un guide pour se préparer à l’arrivée de ce règlement. Vous pouvez entre autres consulter le texte officiel du RGPD si vous souhaitez approfondir certains points.