Règlement Général sur la Protection des Données (RGPD ou GDPR) : quels changements ?
Le RGPD (Règlement Général sur la Protection des Données) rentre en vigueur le 25 mai 2018 – à savoir dans moins de un an.
Cela va modifier en profondeur les mécanismes de conservation et de gestion des données pour les organisations.A l’heure de la transformation digitale qui pousse les entreprises comme les particuliers à utiliser davantage les données, ce virage est d’autant plus complexe à négocier que le futur règlement, qui s’inscrit dans le prolongement de la loi informatique et liberté, induit des changements structurants au niveau organisationnel, technique et juridique.
Cet article a pour objectif de dresser un premier éclairage sur ces changements qui impacteront tout le monde très vite, professionnellement et personnellement.
Les principales obligations du RGPD
Une des premières obligations pour les entreprises – « accountability » -, c’est la tenue d’un registre des traitements - ce qui remplace la déclaration à la CNIL – pour devenir responsables et garantes du respect de la vie privée. Dans ce registre, on y consigne les mêmes informations que dans la déclaration mais en inversant la charge de la preuve.
Avant, la CNIL devait démontrer les manquements et le responsable du traitement avait du temps pour régulariser. Demain, cela sera à l’entreprise de démontrer qu’elle est en conformité. Le RGDP introduit aussi une obligation de notification par les responsables de traitement en cas de violation de données à caractère personnel. Ils doivent alerter la CNIL dans les meilleurs délais.
Autre obligation, la prise en compte de la notion du respect de la vie privée dès la conception – « privacy by design » - du produit, service, application. Un système d’information insuffisamment sécurisé ne sera pas conforme. L’entreprise doit placer le curseur sur le niveau le plus élevé en termes de protection de la vie privée. Chaque fois qu’elle initie un traitement, elle doit obtenir le consentement express (opt-in) et spécifique de l’utilisateur.
Dernière obligation, les organisations doivent nommer un délégué à la protection des données (DPD ou DPO) pour assurer la mise en place et le suivi du RGPD.Les autorités de contrôle laisseront 2 ans aux entreprises pour s’y conformer.
Qui est concerné ?
Le règlement concernera tous les pays de l’Union Européenne ainsi que les sociétés établies à l’étranger si elles ciblent des résidents de l’UE par profilage, ou si elles proposent des biens et services à ces derniers. Seules les US et UK pourraient ne pas être concernés, leurs lois nationales prévalent sur le RGPD.
A quel risque s’expose-t-on en cas de non-respect ?
Une amende fixée par la Cour de justice qui peut aller jusqu’à 20 Millions d’euros ou 4% du CA pour les cas les plus graves.« En termes de sanction financière, l’enjeu de la privacy se hisse à la même hauteur que les délits de corruption et de cartel », rappelle Benjamin May avocat associé du cabinet Aramis.[1]
Quels impacts pour les entreprises ?
Ce qui va changer au niveau "humain"
Il va renforcer la protection des consommateurs, leurs données ne seront que « prêtées » aux entreprises. Ainsi, ils resteront les uniques propriétaires de ces dernières pouvant exercer tous les droits dessus.
- Consentement : tout traitement de ses données doit faire l’objet d’une autorisation explicit,
- Respect de la vie privée : tout traitement susceptible d’entrainer des risques élevés sur la vie privée devra faire l’objet d’une étude d’impact,
- Transparence : l’individu a le droit de savoir à quoi servent ses données,
- Profilage : droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé,
- Possibilité de désabonnement : tout profilage doit être clairement notifié et son désabonnement possible à tout moment,
- Droit à l’oubli : sur demande le consommateur peut réclamer la suppression de ses données,
- Contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements,
- Droit à la portabilité : toutes les données d’un individu doivent être exportables directement par l’individu.
Il redéfinit également le caractère personnel des données.
Avec aujourd’hui :
- Adresse email,
- Numéro de téléphone professionnel (ligne directe),
- Fonction ou intitulé de poste,
- Adresse postale du lieu de travail, de l’entreprise,
Et demain en plus :
- Données de localisation (Adresse IP, Données GPS)
- Cookies « first and third party »
- Numéro d’identification, identifiant
- Éléments correspondants à l’identité physique, psychique, génétique ou économique
Ce qui va changer au niveau "digital"
Le RGPD imposera de prendre en compte la protection du respect de la vie privée dès la conception du produit ou service.
Un consentement qui devient explicite et obligatoire
Il faudra que les individus effectuent une action délibérée d’inscription plus communément appelée « opt-in » pour donner l’autorisation aux entreprises de pouvoir traiter leurs données personnelles. Le profilage restera autorisé à des fins marketing tant que la personne en est informée et pourra s’y opposer.“Lors de l’installation d’une app mobile, elle vous demande l’accès à des données personnelles stockées sur votre smartphone (contacts, agenda…) via une pop-up. Si vous refusez, vous n’accèderez pas au service.
Pourtant, ces informations ne sont pas nécessaires à la fourniture du service en question. Dès mai 2018, ce cas de figure sera interdit. La collecte de données devra servir la finalité du service. Il faudra, par ailleurs, un formulaire de consentement différent pour chaque type de données. “Malgré cela, le règlement prévoit 5 bases légales pour lesquelles le traitement demeure licite, même sans consentement :
- Lorsque le traitement est nécessaire à l’exécution d’un contrat accepté par la personne ;
- Lorsque le traitement découle d’une obligation légale ;
- Lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ;
- Lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
- Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant.
La pseudonymisation des données
Autre point pour les développeurs, la séparation des données à caractère personnel qui sont normalement rattachées à une personne. Les informations étant conservées de manière indépendante, il faut avoir recours à des informations supplémentaires pour rattacher ces dernières entre elles, au moyen d’une clé de hachage par exemple. Son emploi est vivement encouragé dans la mise en place d’une sécurisation du traitement des données mais non obligatoire.
Quels impacts pour les entreprises
Le RGPD impact le cycle de vie de la donnée de bout en bout. Ce qui implique de renforcer la gouvernance et de maîtriser les processus métiers et l’architecture qui la supporte.Il conviendra donc de mettre en place une approche globale de transformation que décrit notre collaborateur Nantais Olivier Chotin dans un article publié sur LaTribune (http://www.latribune.fr/opinions/tribunes/loi-sur-la-protection-des-donnees-personnelles-contrainte-ou-opportunite-748357.html, 29-08-2017).Une approche qui s’articule autour de 8 axes :
- Stratégie Data
- Gouvernance des données
- Organisation et RH
- Processus métiers
- Déploiement du RGPD
- Gestion des données
- Implémentation technique
- Juridique
Comment y voir plus clair sur les impacts ?
L’article 35 du RGPD prévoit que lorsqu’un traitement est susceptible d’exposer des personnes à un risque élevé au regard de leurs droits et libertés, le responsable de traitement doit effectuer préalablement une analyse d’impact sur la vie privée (EIVP). Le G29 ou Groupe de travail Article 29 sur la protection des données - organe consultatif européen indépendant sur la protection des données et de la vie privée - a mis en place un processus pour analyser les risques et impacts (https://www.trustandprivacy.eu/lignes-directrices-g29-analyse-impact).
Quels impacts pour les ESN
Au niveau Communication, il conviendra de revoir le site web pour prendre en compte les obligations de protection des données. Quelques exemples de fonctionnalités à mettre en œuvre :
- Stockage de la provenance du contact
- Être capable d’exporter à la demande les données
- Revoir les mentions légales
- Formulaire avec case à cocher
- Mettre à jour les bases de données avec les données du site
- Système de suppression automatisé des données inactives
- Revoir les Cookies plus explicite
Au niveau RH, il faudra être capable de tracer la provenance des données recueillis sur les candidats après avoir reçu leur consentement explicite pour les différents traitements (utilisation et réutilisation de la donnée). En termes de stockage il faudra privilégier les systèmes d’encryption et de pseudonymisation pour assurer une protection totale des données personnelles. Autre point autour de l’automatisation de certains processus de recrutement, le RGPD impose de tenir informer le candidat sur la nature et les règles du dit traitement.Il conviendra donc de vérifier si l’outillage RH permet de respecter le règlement.Au niveau des Achats, il faudra revoir les contrats de prestations, de sous-traitance pour intégrer de nouvelles clauses tenant compte du RGPD, notamment en termes de partage des responsabilités, d’obligation de notifier tous cas de violation du respect de la vie privée.
Au niveau du système d’information, il faudra également s’assurer que tous les outils soient en conformité avec le RGPD en termes de stockage et traitements des données des salariés et des clients.Au niveau Organisation, le RGPD impose un nouveau rôle le « Délégué à la Protection des Données » (DPD ou DPO)pour les autorités publiques et les entreprises dont l'activité principale repose sur du traitement de données (à grande échelle ou à risque élevé). Pour les autres entreprises, il recommande fortement la mise en place de ce rôle. Il aura pour mission d’assurer un contrôle régulier de la bonne application du RGPD. Concrè ement, il lui appartient de s’informer sur les nouvelles obligations, d’assister les décideurs sur les conséquences des traitements, d’en réaliser l’inventaire, de concevoir des actions de sensibilisation, de piloter en continu la conformité et d’assurer la coopération avec l’autorité de contrôle (CNIL).
[1] http://www.zdnet.fr/actualites/que-va-changer-le-rgpd-39850740.htm