Les entreprises qui recueillent des données sur les individus dans les pays de l’Union Européenne doivent se conformer à de nouvelles règles, plus strictes, concernant la protection des données à partir du 25 mai 2018. C’est le règlement général sur la protection des données (RGPD ou GDPR en anglais) qui définit ces nouvelles normes pour la protection des données personnelles.
Une récente enquête auprès des entreprises françaises pointe un manque de maturité parmi celles-ci sur la question de la protection des données personnelles. Une autre étude, de KPMG, révèle que près de la moitié des entreprises craint de ne pas avoir terminé le projet de mise en conformité GDPR à temps. Pire, 27% n’ont rien fait.
Cet article présente les obligations de façon générale et permet d’avoir une vue globale. Des liens renvoient vers des articles plus complets, le cas échéant.
Qu’est-ce que le GDPR ?
Le Parlement européen a adopté le Règlement Général sur la Protection des Données Personnelles (RGPD, ou GDPR en anglais pour General Data Protection Regulation) en avril 2016, en remplacement de la Directive 95/46/CE sur la protection des données personnelles datant de 1995. Il comporte des dispositions qui obligent les entreprises à protéger les données personnelles et la vie privée des individus. Ces dispositions sont axées autour des grands principes du GDPR.
Le GDPR réglemente également l’exportation de données personnelles en dehors de l’UE.
Les dispositions seront applicables directement dans les 28 États membres de l’UE, signifiant que les entreprises ont une seule norme à respecter au sein de l’UE. Si vous êtes conforme en France, vous le serez également en Allemagne et en Grèce, par exemple. Ceci sous réserve des spécificités nationales qui peuvent subsister, comme pour l’âge auquel le mineur peut donner un consentement valable.
Les bénéfices pour l’individu sont un meilleur respect de sa vie privée, une meilleure information et un pouvoir de contrôle plus important. Les citoyens gagneront en confiance, mais le niveau d’exigence pour les entreprises étant revu à la hausse, les dépenses en investissement et en gestion augmentent également.
Qui est concerné par le RGPD ?
Sont concernées par le RGPD les entreprises et organisations qui sont implantées dans l’Union Européenne. TPE, PME, grandes entreprises, mais aussi les associations, administrations, collectivités locales, syndicats…
Une entreprise ou organisation non européenne peut être concernée si les traitements de données sont liés à l’offre de biens ou services dans l’UE.
Les critères spécifiques à respecter par toutes les organisations sont les suivants :
- Une présence dans un pays de l’UE.
- Si aucune présence dans l’UE, mais elle traite les données personnelles des résidents européens.
- Les entreprises de moins de 250 employés ne sont pas obligées de tenir un registre des activités de traitement, sauf si leur traitement informatique influe sur les droits et les libertés des personnes concernées, n’est pas occasionnel ou inclut certains types de données personnelles sensibles.
Que faire après le 25 mai 2018 (date de l’application du RGPD) ?
Les entreprises doivent avoir effectué leur mise en conformité GDPR avant le 25 mai 2018. Cette date ne doit pas être prise comme une ligne d’arrivée, mais comme un nouveau point de départ.
Il est vraisemblable que le GDPR restera en vigueur le temps d’une génération, comme l’a été la Directive de 1995. Votre entreprise continuera d’évoluer après mai 2018 et ces évolutions devront toujours respecter le GDPR. En plus de cela, la jurisprudence viendra apporter des interprétations qu’il faudra suivre et respecter également.
Pour les premiers mois du RGPD, la @CNIL contrôlera d'abord la "mise en mouvement de l'entreprise" plutôt que la complète conformité. https://t.co/GuiiRRLwv2 #EUdataP
— Emmanuel Pernot-Leplay, Ph.D (@PernotLeplay) May 18, 2018
Qui est responsable de la conformité GDPR ?
Le GDPR définit plusieurs rôles responsables de la conformité : responsable du traitement, sous-traitant et délégué à la protection des données (DPO pour Data Privacy Officer).
Le responsable du traitement définit la manière dont les données personnelles sont traitées et à quelles fins. Il est également responsable de s’assurer que les intervenants extérieurs sont conformes.
Les sous-traitants peuvent être les groupes internes qui traitent les enregistrements de données personnelles et s’en occupent, ou toute entreprise de sous-traitance qui effectue tout ou partie de ces activités. Le GDPR considère les sous-traitants comme responsables des infractions ou des non-conformité. Il est donc possible que votre entreprise et votre sous-traitant, tel un fournisseur cloud, soient responsables des pénalités, même si la faute dépend entièrement de ce sous-traitant.
Le GDPR exige la désignation d’un DPO pour superviser la stratégie de conformité GDPR. Les entreprises et organisations sont tenues d’avoir un DPO si elles traitent ou stockent de grandes quantités de données citoyennes de l’UE, traitent ou stockent des données personnelles spéciales (comme des données sensibles), surveillent régulièrement les personnes concernées ou sont une autorité publique.
Plus d’infos sur le recrutement d’un DPO dans cet article du Monde Informatique.
Combien coûte la mise en conformité GDPR ?
Impossible de répondre à cette question sans connaître l’entreprise. Cependant, une étude du cabinet de conseil en management Sia Partners estime à 30 millions d’euros le coût d’une mise en conformité GDPR pour une entreprise du CAC 40. Avec des disparités : de 11 millions d’euros pour une entreprise B2B, à 90 millions pour celles du secteur de la banque/assurance.
Au total, le coût pour toutes les entreprises françaises est estimé à 1,2 milliard d’euros.
Que se passe-t-il en cas de non-conformité au GDPR ?
L’amende pour non conformité au GDPR peut aller jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaires annuel global. La valeur la plus élevée est retenue. En France, c’est la CNIL qui se chargera des sanctions, et un éventuel recours devra être porté devant le Conseil d’État.
La CNIL – comme chaque autorité de contrôle de chaque pays membre – dispose de plusieurs pouvoirs d’enquête. Notamment : audits sur la protection des données, examen des certifications délivrées, pouvoir d’ordonner la communication d’informations… Ces pouvoir sont listés à l’article 58 du RGPD.
Quelles sont les données protégées par le GDPR ?
Ce sont toutes les données à caractère personnel, « se rapportant à une personne physique identifiée ou identifiable » : comme un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, informations génétiques ou économiques… Il faut veiller à faire attention à cette notion d’identification directe et indirecte lors de sa mise en conformité GDPR. Le périmètre est large.
Des protections spéciales s’appliquent pour les données sensibles. L’article 9 du RGPD indique clairement que :
Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.
Leur traitement n’est possible que dans les conditions prévues par la suite de l’article (consentement explicite, motifs d’intérêt public important, sauvegarde des intérêts vitaux…).
Les 10 principales obligations du GDPR
Cette liste donne un rapide aperçu des obligations requises par le GDPR. Une analyse en détail est nécessaire pour assurer sa conformité.
1. Consentement des individus
Les entreprises doivent s’assurer du consentement clair, libre et informé des individus quant à la collecte et au traitement de leurs données. Consentement qu’elles devront pouvoir recueillir et prouver. Il faut aussi permettre à l’individu de le retirer.
2. Registre de traitement des données
Il est nécessaire de tenir un registre de traitement des données, qui servira notamment à prouver sa conformité au RGPD. Celui-ci doit contenir des informations comme le but du traitement, les catégories de données, la description des mesures de sécurité mises en place…
3. Désignation d’un Délégué à la Protection des Données (Data Protection Officer, DPO)
Selon le RGPD, une organisation doit désigner un DPO si :
- a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
- b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
- c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 [les données sensibles] et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.
Le b) est un critère potentiellement très large, qui inclut probablement toute entreprise présente sur internet (faisant donc usage de cookies, profilage, etc.).
4. Analyses d’impact sur la vie privée (Privacy Impact Assessment)
En cas de risque posé par un traitement, il faut réaliser une étude d’impact préventive de manière à comprendre l’étendue réelle du risque et trouver les solutions. En cas de doute sur la solution, il convient de contacter l’autorité de contrôle (la CNIL en France).
5. Vie privée dès la conception et par défaut (Privacy by Design and by Default)
Cette solution impose de prendre en compte l’impact des traitements sur la vie privée et les droits des individus dès la conception. Les réglages protecteurs des données personnelles doivent être mis en place par défaut. Cela inclut, par exemple, l’anonymisation ou la pseudonymisation des données, mais aussi certains principes comme la minimisation des données.
6. Sécurité des données personnelles
La sécurité des données personnelles est centrale. Les données doivent être sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission. La CNIL a publié plusieurs documentations sur ce sujet à la fois large, technique et sensible.
7. Droits des individus
Le RGPD donne de nombreux droits aux individus, dont chacun mériterait un article détaillé : droit à la portabilité des données, droits d’accès et de rectification, droit à l’oubli… De manière générale, l’entreprise doit permettre à l’individu d’exercer ses droits facilement.
Le droit à la portabilité des données dans le RGPD https://t.co/fhINvlgAmB #RGPDay #EUdataP
— Emmanuel Pernot-Leplay, Ph.D (@PernotLeplay) May 25, 2018
8. Notification en cas de violation des données
En cas de violation des données, il faut le signaler aux autorités de contrôle dans les 72 heures suivant sa détection. S’il existe un risque pour la vie privée et les droits des individus concernés, ils doivent également être prévenus.
9. Choix de sous-traitants conformes au RGPD
Le responsable du traitement doit veiller à sélectionner des sous-traitants qui respectent les obligations qui leur incombent selon le RGPD. Cette assurance peut se faire au moyen de clauses contractuelles, d’audits…
10. Restrictions sur les transferts de données hors Union Européenne
Le RGPD contient de nombreuses obligations concernant les transferts de données hors des frontières européennes. Ils sont possibles sans restriction si le pays de destination bénéficie d’une décision de la Commission Européenne, reconnaissant un niveau de protection des données essentiellement équivalent à celui de l’UE (plus d’information ici). Il faut sinon passer par le consentement (mais qui peut être retiré à tout moment), les clauses contractuelles types (bien que menacées dans une affaire Schrems contre Facebook) ou les règles d’entreprise contraignantes pour les transferts de données intra-groupe.
