L’essentiel pour mieux comprendre le RGPD

Le 25 mai dernier entrait en application le Règlement Général sur la Protection des Données (RGPD). Un texte qui vise à renforcer et harmoniser la protection des données à caractère personnel et qui consolide ainsi les droits des citoyens européens. Mise en conformité, DPO, sanctions… Tour d’horizon avec Stéphane Baïkoff, avocate chez Simon Associés à Nantes, spécialisée dans la protection des données personnelles et la propriété intellectuelle.

Pour bien comprendre ce dont on parle, définissons d’abord une donnée à caractère personnel…

C’est une information relative à une personne physique identifiée ou identifiable. C’est bien sûr un nom, une photo, une adresse postale ou mail, un numéro de sécurité sociale, une adresse IP mais cela peut aussi être votre voix (un enregistrement vocal) ou le nombre de vos enfants, leur âge, vos données de santé, un panier d’achat etc. Le champ est très vaste : tout ce qui va permettre de vous identifier directement ou indirectement.

Pourquoi un nouveau règlement ?

Cela ne date pas d’aujourd’hui. Tous les principes qui régissent le traitement des données personnelles étaient déjà inscrits dans la loi informatique et liberté de 1978. Elle a été complétée par la directive européenne de 1995. Ce qui est nouveau, c’est la démarche de conformité.
Un événement déclencheur a changé la donne : le scandale PRISM, dénoncé par Edward Snowden en 2013, où l’on découvrait que la NSA, l’agence nationale de sécurité américaine, ainsi que le FBI, surveillaient et collectaient des données laissées en ligne par des millions d’Américains et de citoyens dans le monde entier, notamment via les réseaux sociaux. Sous couvert de protection du territoire américain. La Commission européenne a décidé de protéger ses citoyens et a adopté le RGPD le 27 avril 2016. Ce qui laissait 2 ans, jusqu’au 25 mai 2018, pour tous les organismes privés et publics concernés (ainsi que leurs sous-traitants) pour se mettre en conformité.

A qui s’applique-t-il ?

Aux responsables de traitement de données, ceux qui vont déterminer les moyens et les finalités du traitement. Dès lors que les entreprises ou les organismes se trouvent sur le territoire européen, ils sont concernés. Mais cela concerne également toute entreprise qui propose des produits ou des services à des citoyens européens. C’est pour cela que le RGPD s’applique aussi aux Américains comme Facebook ou Google.
Tous les secteurs sont concernés, publics comme privés, ainsi que les sous-traitants, à partir du moment où l’on traite de données personnelles : entreprises, associations, institutions etc. Le seul fait de collecter la donnée est un traitement ; la mettre dans un fichier ou la transférer, également. Une donnée bénéficiant historiquement d’une protection renforcée France est le numéro de Sécurité sociale : il est particulièrement identifiant et il nous suit toute notre vie.

Quel est le lien du RGPD avec le piratage de données et les risques de cybercriminalité?

Le RGPD impose en effet de sécuriser vos données. Lorsque l’on constate des failles de sécurité (la perte ou le fait que des tiers aient eu accès à vos données), que se passe-t-il ? Lors du vol de vos données de clients ou de salariés et en cas de demande de rançon des cybercriminels, vous avez l’obligation de le signaler à la CNIL (Commission nationale de l’informatique et des libertés) dans les 72 h et, dans certaines circonstances, aux personnes dont les données ont été volées.

Tout le monde n’est pas en conformité aujourd’hui. Qu’est-ce qui est le plus difficile pour se mettre en conformité RGPD ? D’autant plus lorsqu’on s’y est pris un peu tard…

Il faut commencer par recenser ses traitements et c’est très compliqué. Chacun a ses fichiers, ses pratiques car tout n’est pas forcément uniformisé au sein des entreprises. Autre difficulté : la durée de conservation de la donnée. En matière de relation commerciale, vous la conservez le temps de la durée du contrat et la CNIL vous autorise à la conserver 3 ans après l’exécution de ce contrat. Mais à l’issue de ces 3 ans, vous devez faire disparaître cette donnée. L’effacement des données en informatique est très compliqué et cela représente un coût considérable pour les entreprises. Il faut donc mettre en interne des process pour les neutraliser, comme un coffre-fort de données. Il faut également tenir un registre des traitements à jour, imposé par le RGPD : on doit pouvoir en permanence prouver que l’on est conforme en cas de contrôle. Faire une fiche par finalité de traitement, par rapport au but poursuivi : qui est responsable de mon traitement, qui sont les destinataires, les données collectées, les mesures de sécurité ? On ne collecte que les données dont on a besoin. Finalement, on passe de l’ère du big data à l’ère du smart data.

Quand doit-on désigner un DPO, un délégué à la protection des données ?

Stéphane Baïkoff, avocate chez Simon Associés à Nantes, spécialisée dans la protection des données personnelles et la propriété intellectuelle.

Le DPO est obligatoire lorsque vous êtes une personne publique ou lorsque vous avez une mission de service public ou que votre activité principale est de traiter de la donnée sensible à grande échelle : données de santé, orientation sexuelle, origine ethnique/raciale, opinion politique/syndicale/religieuse, infractions et condamnations. Mais chacun est libre de choisir un DPO ou pas. Il sera le chef d’orchestre, le coordinateur. On peut le recruter en interne ou en externe. Il n’a pas besoin d’une certification ou d’un titre quelconque. Il faut des compétences juridiques et en informatique. Il ne faut pas de conflit d’intérêt : le DRH ou le DSI ne peuvent pas être DPO.

Tout cela est très chronophage et peut représenter un budget important…

Si les salariés sont bien formés, on a la plupart du temps la ressource en interne. Toutefois, on peut avoir besoin d’un soutien, notamment juridique : par exemple, il n’est pas toujours évident de savoir si on doit recueillir ou non le consentement de la personne. Ou lorsqu’on a beaucoup de salariés et que le réseau informatique est un peu complexe. Mais il s’agit surtout de bon sens. Il n’y a pas un logiciel qui vous dira « c’est parfait, vous êtes conforme ». Cela commence par mettre des mots de passe compliqués, faire des mises à jour régulières sur son ordinateur…

 

Quelles sont les sanctions en cas de contrôles ?

L’autorité de contrôle est la CNIL. L’amende peut s’élever jusqu’à 20 millions d’euros ou de 2 à 4 % du chiffre d’affaires annuel mondial. Attention, ces seuils sont plutôt à destination des GAFA ! Il peut aussi y avoir des sanctions pénales mais celles-ci ne sont pas nouvelles, elles existaient déjà. La sanction sera variable en fonction de la gravité de la violation : c’est le principe d’adaptation de la sanction en France. On personnalise la peine, beaucoup de paramètres sont pris en compte. La CNIL ne sanctionnera pas dans un premier temps si vous êtes en adéquation avec la loi informatique et liberté et que vous pouvez prouver que vous êtes engagé dans le chantier de la mise en conformité avec le RGPD.

 

Pour aller plus loin

Le 7 juin dernier, la CNIL a sanctionné une entreprise d’optique, Optical Center, et lui a infligé une amende de 250 000 euros pour avoir insuffisamment sécurisé les données de ses clients sur son site internet. L’entreprise a annoncé son intention de déposer un recours auprès du Conseil d’Etat. Stéphane Baïkoff précise que « l’entreprise a été sanctionnée sur le fondement de la loi informatique et liberté et non sur le RGPD ».

Comprendre le RGPD, est-ce complexe pour les entrepreneurs ?

The following two tabs change content below.
Auparavant journaliste pour Ouest-France, puis journaliste free lance au Vietnam pendant 8 ans, je suis actuellement rédactrice print et web indépendante, basée à Saint-Nazaire.

Derniers articles parSabrina Rouillé (voir tous)

Sabrina Rouillé

Auparavant journaliste pour Ouest-France, puis journaliste free lance au Vietnam pendant 8 ans, je suis actuellement rédactrice print et web indépendante, basée à Saint-Nazaire.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *