Voté en décembre 2015, le règlement général sur la protection des données (RGPD, en anglais General Data Protection RegulationGDPR), est une nouvelle loi européenne qui s’appliquera dès mai 2018 à tous les organismes européens (privée, public…) qui stockent ou traitent des données personnelles via une base de données (logiciel CRM, tableur type fichier Excel, etc.) ou qui vendent des produits et des services sur le marché européen. Nous nous sommes entretenus avec François-Xavier Cao, Directeur Général & Co-fondateur de Datajuristes, pour faire le point sur cette nouvelle loi.

Les grands principes du RGPD pour la protection des données personnelles

Le RGPD définit les données à caractère personnel comme étant "toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale".

Ces données doivent être:

  • traitées de manière licite, loyale et transparente au regard de la personne concernée,
  • collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités,
  • adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)
  • exactes et tenues à jour,
  • conservées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées,
  • protégées contre le traitement illicite, la perte ou la destruction.

Ces 6 règles mettent l'accent sur 3 grands principes :

Le consentement explicite

L'individu doit consentir explicitement au traitement de ses données à caractère personnel. Il peut également obtenir la rectification des données inexactes ou la suppression de ses données sur demande. Le silence, l'inactivité et les cases cochées par défaut ne sont pas des preuves de consentement.

La transparence

Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples.

La responsabilité

Les organismes responsables du traitement des données doivent mettre en œuvre toutes les mesures de protection des données nécessaires pour être en conformité avec la loi et être capable de prouver cette conformité à tout moment. 

Comment être en règle

Toutes les entreprises devront être en mesure de justifier leur mise en conformité. Un état des lieux visant à documenter les procédures de collecte, stockage et de traitement des données est donc nécessaire.

Votre documentation répondra par exemple aux questions :

  • quels types d'informations collectez-vous ?
  • quelles sont les finalités de la collecte des données ?
  • quelles personnes ont accès à ces données ?
  • quelles sont les mesures de sécurités applicables ?

L'objectif de cet audit est d'expliciter les règles de gestion des données personnelles en votre possession pour vérifier leur conformité avec le RGPD.

Une fois l'audit établi, vous pourrez modifier vos pratiques afin de les conformer au RGPD. Les organismes publics et les sociétés dont l’activité de base est le suivi régulier ou le traitement à grande échelles de données doivent désigner un DPO (data protection officer) pour mener ce travail.  

Il vous faudra par exemple réécrire la politique de confidentialité, modifier les contrats de sous-traitance pour y inclure les nouvelles clauses à respecter, revoir les processus internes de traitements des données, ou encore revoir le paramétrage de votre logiciel CRM.

La CNIL précise que les responsables des traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, et veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).

Les données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, l’état de santé ou l’orientation sexuelle…) feront l’objet d’une étude d’impact sur la vie privée.

Sanction

En cas de non respect, les autorités de protection peuvent :

  • prononcer un avertissement
  • mettre en demeure l’entreprise
  • limiter temporairement ou définitivement un traitement
  • suspendre les flux de données
  • ordonner de satisfaire aux demandes d'exercice des droits des personnes
  • ordonner la rectification, la limitation ou l'effacement des données

 Des amendes administratives pouvant allez jusqu’à 20 millions d’euros ou 4 % du chiffres annuel mondial (le montant le plus élevé étant retenu) sont également prévues.

comments powered by Disqus