Il résulte d’une enquête
récente, qu’un décideur sur dix pense que le Règlement Général sur la
Protection des Données (« RGPD ») ne s’applique pas à son
organisation (étude Trend Micro de mars 2016).
Or, le RGPD a vocation à
s’appliquer à toutes les entreprises.
Il a été publié au Journal Officiel de l’Union européenne le 4 mai 2016 et est entré
en vigueur le 24 mai 2016, soit 20 jours après sa publication. Cette date du 24
mai 2016 marque le point de départ d’une période
transitoire de deux ans afin de permettre aux entreprises de se mettre en
conformité aux dispositions du RGPD, qui sera applicable à compter du 25 mai
2018.
Cette période de deux ans pour
s’y conformer apparaît courte au regard de l’ampleur de la réforme et de la
révision des process juridiques et informatiques qu’elle implique.
En pratique, la ligne du temps
afférente au traitement des données se découpe en trois étapes : le
recueil des données, leur traitement et l’effacement des données au terme du
traitement.
En application du principe
essentiel mis en exergue par le RGPD, l’accountability,
chaque étape devra faire l’objet de mesures organisationnelles et techniques et
l’entreprise devra être prête à faire la preuve, à tout moment, du respect de
ces mesures.
Analyses de risques et études
d’impacts, « privacy by design »,
« privacy by default », ou
encore processus de gestion des droits des personnes sont les termes qui vont
agiter nos claviers dans les deux prochaines années.
Mais pourquoi les entreprises
s’engageraient-elles plus aujourd’hui qu’hier ?
Le non-respect de la Loi
Informatique et Libertés, qui a pourtant presque 40 ans, se constate chaque
jour et notamment par l’absence de mention d’information sur les
formulaires de collecte de données en ligne, l’absence de recueil du
consentement, l’exploitation des données en fraude des droits des personnes.
Le RGPD a su trouver les mots
pour toucher au cœur les entreprises : 20 millions d’euros ou 4 % du
chiffre d’affaires, sanction maximale qui pourra être prononcée en cas de
violation des dispositions du RGPD relatives notamment aux principes de base
que sont la loyauté, la licéité du traitement, la transparence, le respect des
finalités pour lesquelles les données sont collectées, ou encore en cas de
violation des dispositions relatives aux droits des personnes, au consentement,
au transfert des données en dehors de l’Union européenne. Le Brexit aura d’ailleurs des conséquences
sur le transfert des données vers la Grande-Bretagne, ou ce qu’il en restera,
puisqu’il s’agira alors d’un transfert de données vers un État non membre de
l’Union européenne.
Au-delà de la sanction
financière, le risque d’image est particulièrement prégnant et le véritable
enjeu pour les entreprises est de créer
de la confiance avec leurs clients. Cette confiance passe par la sécurité
et le respect des droits des personnes. Le secret n’est plus de mise puisque
les violations des systèmes d’information, les failles de sécurité, les pertes
de données devront être notifiées à l’autorité de contrôle dans les 72 heures,
sauf exception, et à la personne concernée si la violation présente un risque
élevé au regard des droits de la personne.
Voici ci-après, plus en
détails, quelques éléments essentiels du RGPD :
1. La consécration d’une définition large de la donnée à caractère
personnel, adaptée à notre société numérique et aux moyens actuels
d’identification des personnes : outre les noms, prénoms, adresses e-mails, les
autres moyens permettant d’identifier directement ou indirectement une personne
physique sont visés. Il en est ainsi notamment des adresses IP et des cookies
ou encore des étiquettes d’identification par radiofréquence.
Le RGPD adopte ici la position
française qui envisage d’ores et déjà largement la notion de donnée à caractère
personnel.
2. L’affirmation des principes de transparence et d’information des
personnes : la vision du RGPD est de responsabiliser les personnes et d’obliger les entreprises à le
respecter
Cette posture pourrait être
synthétisée comme suit par un citoyen lambda « utilisez librement mes données, pour autant qu’une information claire,
compréhensible et transparente m’ait été donnée et que, le cas échéant, j’ai pu
consentir en connaissance de cause à leur usage ».
Concrètement, les personnes
devront recevoir l’information déjà prévue par la loi Informatique et Libertés
de 1978, à savoir, l’identité du responsable du traitement, la ou les finalités
pour lesquelles les données sont collectées, les destinataires des données, le
caractère facultatif ou obligatoire des réponses aux éléments demandés et les
conséquences d’un défaut de réponse, les éventuels détails des transferts de données dans un État
non membre de l’Union européenne, les droits des personnes ; étant précisé
que ces éléments d’information habituels, sont modifiés à la marge par le RGPD.
Il conviendra notamment et le cas échéant, de mentionner les coordonnées du DPO (Data Protection Officer), de viser
les éventuelles finalités ultérieures pour lesquelles les données sont
collectées, de préciser la simple intention de transférer des données en dehors
de l’Union européenne.
Cette information devra
également :
intégrer l’extension du périmètre des droits des
personnes : les mentions d’information devront donc indiquer les droits
des personnes déjà octroyés par la loi Informatique et Libertés, à savoir les
droits d’accès, de rectification, d’effacement et d’opposition, complétés des
droits nouveaux prévus par le RGPD que sont les droits de limitation, de
portabilité et d’introduction d’une réclamation devant la CNIL ;
être complétée des nouveautés apportées par le
RGPD que sont l’obligation d’informer sur la base juridique du traitement, (tels
que le consentement ou les intérêts légitimes du responsable du traitement), sur
la durée de conservation de la donnée collectée ou les critères utilisés pour
la déterminer ou encore sur l’existence d’une prise de décision automatisée
ainsi que, dans cette hypothèse, sur la logique sous-jacente et les
conséquences associées ;
être adaptée en fonction du mode de collecte des
données, directe ou indirecte. En effet, en cas de collecte indirecte
(c’est-à-dire lorsque les données ne sont pas recueillies directement auprès de
la personne concernée), les informations à fournir diffèrent quelque peu et
doivent notamment faire référence à la source d’où proviennent ces données.
L’information doit être claire, simple, compréhensible, concise,
facilement accessible et adaptée au public visé.
Eu égard aux éléments
d’information à porter à la connaissance des personnes, être concis va être un
défi à relever.
Une nouveauté sympathique et
visuelle, qui sera très appréciée notamment par les directions marketing des
entreprises, est la possibilité d’utiliser des icônes graphiques pour illustrer l’information.
3. L’accountability, clef de
voute du système de traitement des données
L’accountability désigne
l’obligation pour les entreprises de mettre
en œuvre des mécanismes et des procédures internes propres à permettre la
protection des données à caractère personnel et d’être prêtes à démontrer qu’elles respectent le RGPD.
Pour chaque traitement de
données à caractère personnel, il faudra envisager la pertinence d’une analyse de risque et d’une étude d’impact,
mettre en œuvre les mesures techniques
et organisationnelles appropriées aux exigences du RGPD, notamment en ce
qui concerne la traçabilité et le recueil du consentement, ainsi que le respect
des droits des personnes.
Par ailleurs, ces mesures
devront être auditées et actualisées
dans le cadre d’un contrôle continu, pour d’une part, démontrer l’efficacité
des mesures et d’autre part, assurer le maintien en conformité au RGPD au
regard de l’évolution des traitements, de leurs finalités, des exigences
réglementaires ou tout simplement du retour d’expérience.
On comprend facilement que le
dispositif exprimé au sein du RGPD est exigeant.
Les entreprises vont devoir faire et être en mesure de prouver, de tracer, ce
qui a été fait. Cela passera notamment par la tenue d’un registre des
activités ainsi que par l’implémentation de documentations adaptées et de
politiques de traitement des données écrites et contraignantes, ou encore de
procédures de vérifications pour s’assurer de l’effectivité et de l’efficacité
des mesures mises en œuvre.
Dans cette même optique, la désignation
d’un DPO, outre le fait qu’elle devient avec le RGDP obligatoire dans un
certain nombre d’hypothèses, a vocation à venir renforcer la gouvernance
Informatique et Libertés au sein des entreprises et à offrir un gage
complémentaire de confiance s’agissant de la protection des données.
Enfin, la privacy by design et by default devra être déployée au sein
des entreprises aux moyens de méthodologies et de procédures intégrées dans les
process de l’entreprise afin de concrètement tenir compte de la protection des
données dans les projets depuis leur origine, et de s’assurer de la conformité
des produits et services proposés aux dispositions Informatique et Libertés
tout au long de leur cycle de vie.
4. La sécurité, un véritable enjeu
L’évolution de notre société
et, en conséquence, des pratiques des individus, internautes et consommateurs
de produits ou de services digitaux, doit placer la sécurité au centre des
préoccupations des entreprises.
Le RGPD prévoit une obligation
générale de sécurité qui couvre quatre pans : (i) la pseudonymisation et
le chiffrement des données, (ii) la garantie de la confidentialité, de
l’intégrité, de la disponibilité et de la résilience des données et des
systèmes, (iii) les moyens pour rétablir l’accès et la disponibilité des
données en cas d’incident et enfin (iv) les tests, l’analyse et l’évaluation du
système d’information en termes de sécurité.
Les études d’impact dans le cas
où les traitements de données à caractère personnel exposeraient l’individu à
des risques élevés en matière de vie privée, et des analyses de risques en
matière de sécurité seront les outils à mettre nécessairement en œuvre. (…)
Sylvie Jonas
Avocate Associée
Avistem avocats
Retrouvez la suite de cet article dans le Journal
Spécial des Sociétés n° 53 du 6 juillet 2016
S’abonner au journal