Qu’est-ce que la loi RGPD ?

Quelques informations concernant le RGPD 

Vous avez sûrement déjà reçu un mail de rappel vous demandant votre consentement pour que certains services auxquels vous avez souscrit puissent toujours vous envoyer du courrier. Sachez que c’est le RGPD qui en est l’origine. En lien avec la loi relative aux données personnelles, ce nouveau règlement est mis en place pour assurer une meilleure protection des données de chacun. En effet, la montée en puissance du numérique dans le quotidien des Européens, et des Français, facilite l’exploitation des données personnelles, mettant en danger leurs vies privées et en les rendant plus vulnérables face au piratage. C’est pourquoi cette nouvelle règle s’applique à tout acteur numérique qui traite des données sensibles. 

Qu’est-ce que le RGPD ? 

Le sigle RGPD désigne un texte de référence européenne régissant le traitement, la circulation et le stockage des données à caractère personnel. Adoptée par la Commission européenne le 14 avril 2016, cette disposition remplace la directive sur la protection des données personnelles de 1995. Elle est appliquée dans 28 pays de l’Union européenne et concerne tous les organismes dans le monde qui enregistrent, stockent et manipulent des données concernant des citoyens européens. 

Le RGPD a pour principal objectif de réformer et d’ajuster la législation pour qu’elle s’adapte aux contraintes du monde moderne. Le but est d’harmoniser le paysage juridique avec la réalité numérique actuelle, mais aussi d’installer une seule et même règle pour l’ensemble des États membres de l’UE. Bien qu’il constitue principalement une mesure coercitive, le RGPD offre un lot d’avantages, que ce soit pour l’internaute que pour la société de traitement. 

Pour l’internaute, l’apparition de ces nouvelles règles entraine plusieurs changements par rapport à la sécurité de ses données. Cette disposition impose notamment quelques mesures de protection. Elle implique par exemple la quête d’un consentement écrit, clair et explicite avant toute collecte d’information. Pour les enfants en dessous d’un certain âge, le RGPD impose également l’obtention d’un accord parental pour la souscription à un réseau social. En cas d’atteinte à la vie privée, il réserve un droit au retrait ou à l’effacement des données. L’utilisateur bénéficie aussi d’un droit à l’information en cas de piratage. En cas de besoin, il peut faire valoir ses droits dans le cadre d’une action de groupe au sein d’une association afin de retirer son accord pour la collecte et la manipulation de ses données. 

Pour les organismes de traitement, l’application des nouvelles règles permet d’installer une relation de confiance avec les prospects et la clientèle. Il s’agit aussi d’une bonne manière de rehausser leur image de marque vis-à-vis de leurs collaborateurs. Par ailleurs, les agents responsables de la mise en application du RGPD ne sont pas là pour punir, mais pour accompagner les entrepreneurs à se conformer aux nouvelles obligations imposées par la loi. 

Donnée personnelle, de quoi s’agit-il ? 

Une donnée est dite à caractère personnel quand elle concerne une personne physique et permet une identification directe ou indirecte. Il s’agit donc des informations qui lui sont propres. Sont considérés comme les photos, l’adresse IP, le nom, l’adresse postale, l’empreinte, le numéro de sécurité sociale ou toute autre information en référence à un numéro d’identification ou un élément propre à l’internaute.  

En outre, certaines données sont classées sensibles. Il s’agit des données qui peuvent engendrer des préjugés ou donner lieu à la discrimination : opinions politiques, engagements syndicaux, appartenance ethnique ou religieuse, dossiers médicaux et autres. Une règlementation particulière est prévue concernant les données sensibles, prohibant notamment toute collecte préalable sans accord écrit, clair et explicite, et ce, pour des raisons précises validées par la CNIL. 

Pour qualifier une information de donnée à caractère personnel, il est nécessaire de déterminer si la personne est réellement identifiable à partir de cet élément. Pour ce faire, il convient de prendre en considération les moyens qui peuvent être déployés par les acteurs numériques qui manipulent les données. 

Contenu du RGPD 

Le RGPD met en avant les droits fondamentaux des personnes par rapport à leurs données et les obligations des organismes qui les manipulent.  

Tout d’abord, l’article 7 du RGPD exige l’obtention du consentement clair, libre, spécifique et éclairé pour le traitement des données à caractère personnel de l’individu concerné. Il peut s’agir d’une déclaration écrite sur papier ou par voie numérique ou d’un accord par déclaration verbale. Ce même article dispose également que « le consentement peut être annulé à tout moment par la personne concernée. ». De plus, pour les entreprises BtoB (entreprises fournissant des services à d’autres entreprises), l’autorisation n’est pas nécessaire si les règlements de collecte sont bien respectés. De ce fait, les cases pré-cochées sont valables. 

Dans son article 12, le règlement confère le droit de transparence par rapport au traitement de ses informations. Les clauses de manipulation doivent être explicites et accessibles par tous à partir d’un document contractuel, des formulaires de collecte ou encore des pages « privacy ». 

Dernièrement, de nouveaux droits ont fait leur entrée dans le cadre du règlement relatif à la protection des données. Il s’agit notamment du droit à l’oubli, à la rectification et à la portabilité des données. De ce fait, l’utilisateur peut exiger la suppression de ses données. L’organisme dispose alors d’un délai d’un mois (et non de deux mois comme avant) pour procéder à l’effacement. L’internaute a aussi la possibilité de récupérer les informations personnelles qu’il a données sous une forme réutilisable pour les renvoyer à un tiers. 

Pour les acteurs numériques, le RGPD renforce le principe d’auto-responsabilité de chaque organisme. Dans ce contexte, la nouvelle loi impose le principe d’accountability, c’est-à-dire que l’entreprise doit prouver sa conformité par rapport à la loi en vigueur. Elle doit également développer tous les moyens nécessaires pour sécuriser les données collectées, en amont comme en aval. Le cas échéant, elle doit faire appel à un sous-traitant conforme à la RGPD ou designer un data protection office DPO afin de contrôler sa conformité par rapport aux nouveaux règlements. 

Importance du RGPD 

Le RGPD est une disposition importante, que ce soit pour les organismes responsables du traitement ou les personnes qui travaillent dans cette branche. 

Qui est concerné par le RGPD ? 

Tous les organismes publics ou privés, nationaux ou internationaux, manipulant des données personnelles concernant des citoyens européens sont concernés par le RGPD. Que ce soit à l’intérieur ou à l’extérieur de l’Europe, la collecte, le stockage et l’analyse de ces données sont encadrés par les dispositions du RGPD. En outre, la taille de l’entreprise et son secteur d’activité importent peu dans la mise en application de cette disposition, même si l’activité de traitement n’est QUE secondaire. Il existe cependant quelques spécificités suivant la taille de l’entreprise. Cette exception s’applique notamment aux entreprises qui comptent moins de 250 employés. Pour ces entités, créer un registre des activités de traitement n’est pas nécessaire à condition que :  

• L’entreprise n’effectue pas un traitement systématique présentant des risques importants pour les droits et libertés des individus concernés ; 
• Le traitement ne porte pas sur les données classées sensibles ; 
• Le traitement ne porte pas sur des informations assujetties à des condamnations pénales ou à des infractions ; 
• L’entreprise n’opère pas de traitements récurrents des informations. 

Le respect du RGPD ne concerne pas seulement les responsables du traitement. Il s’applique également aux sous-traitants qui collaborent avec les acteurs numériques. De ce fait, ces derniers doivent présenter des « garanties conséquentes» par rapport aux moyens techniques et organisationnels développés pour la gestion des données à caractère personnel. Si le sous-traitant choisit également de faire appel à un prestataire, il doit obtenir une autorisation écrite du principal responsable du traitement. En cas de manquement à cette condition, les sanctions relatives au RGPD lui seront applicables. 

Depuis quand le nouveau RGPD est-il en vigueur ? 

L’adoption du RGPD au sein de l’UE s’est fait en deux étapes : tout d’abord, il y a eu l’adoption définitive du texte le 14 avril 2016, et un peu plus tard, la promulgation du texte au Journal officiel le 27 avril de la même année. Cependant, afin de faciliter la mise en conformité de tous les acteurs et d’adapter les législations nationales à cette nouvelle, sa mise en application a été décalée de deux ans, c’est-à-dire au 25 mai 2018. Depuis cette date, toute infraction aux règles du RGPD est sujette aux sanctions qui y sont relatives. 

Les sanctions prévues par le RGPD 

En cas de non-conformité la RGPD prévoit des sanctions et des amendes. Ainsi, depuis le 25 mai 2018, une amende équivalente à 4 % du chiffre d’affaires annuel mondial de l’exercice précédent peut être imposée à l’organisme en tort. Plus précisément, le montant le plus élevé du chiffre d’affaires est considéré. De ce fait, la pénalité peut aller jusqu’à 20 millions d’euros. 

Pour les géants d’internet, cette sanction peut s’avérer très coûteuse. En effet, l’amende peut atteindre des dizaines, voire des centaines de millions d’euros. Il convient également de préciser que la non-conformité des sous-traitants engendre des sanctions pour l’entreprise-mère. Cette dernière doit ainsi s’assurer de sa conformité par rapport au RGPD. 

Néanmoins, bien que les firmes multinationales encourent de plus gros risques, elles sont mieux protégées par rapport aux sanctions grâce à l’aide des juristes et experts qui travaillent pour une conformité sans faille. Les petites entités comme les TPE, les PME et les associations sont en revanche plus exposées aux risques. 

Quelques cas de non-conformité sanctionnés ont été recensés en France comme celui de Google, le 21 janvier 2019, qui a commis trois manquements selon la CNIL : vice d’accessibilité, de clarté d’information et absence de consentement pour la publicité de personnalité. Une sanction de 50 millions d’euros a ainsi été appliquée par les autorités administratives pour le redressement de ce tort. 

Comment se mettre en conformité par rapport à ce règlement ? 

Il n’est jamais trop tard pour lancer les procédures nécessaires et se mettre en conformité par rapport aux nouvelles règles de sécurisation des données personnelles. En ce sens, la Commission nationale de l’informatique et des libertés (CNIL) a publié des tutoriels sur son site internet, en plus des outils et des documents fournis aux organismes pour faciliter la mise en conformité. De plus, afin de renforcer les démarches d’accompagnement des acteurs numériques dans la mise en œuvre des obligations du RGPD, la commission a mis en ligne un logiciel appelé PIA (Privacy Impact Assessment). Facilitant le contrôle de conformité, cet outil est téléchargeable gratuitement sur la page de la CNIL. 

L’ancien directeur juridique de la CNIL a précisé que dans le cadre du RGPD, l’établissement d’une étude d’impact serait nécessaire pour certains types de traitement de données. Ce procédé a pour but d’évaluer l’étendue des risques et les enjeux de protection de la vie privée. Ce document devra être livré à la CNIL. L’organisme émettra les remarques et donnera son aval pour la mise en œuvre du traitement ou le bloquera si les procédés envisagés ne sont pas conformes. À cet effet, un logiciel libre est disponible pour faciliter la préparation de ce document. 

La tâche principale à entreprendre pour une mise en application efficiente est la désignation d’un pilote Data Protection Officier (DPO), d’un Délégué à la Protection des Données (DPD) ou d’un correspondant informatique et libertés (CIL) pour diriger les opérations de mise en conformité. À savoir que cette entité doit être indépendante de l’administration de l’entreprise. Ainsi, les PME et les grands groupes doivent nommer un CIL. Les petites entreprises, les start-ups et les TPE peuvent pour leur part recourir aux services d’un DPO mutualisé au sein des pépinières reconnues par la CNIL. Il faut ensuite dénombrer les traitements de données entrepris par la société afin d’appliquer une politique de gestion de projet et d’établir avec le responsable des relations humaines un programme d’information et de formation des différentes branches de l’entreprise.