Le RGPD : il n’est pas trop tard pour s’organiser!

Manon Favier
Nov 22, 2017 · 8 min read
Image for post
Image for post
Photo by Andy Beales on Unsplash

Imaginez-vous un marché où vos partenaires et concurrents sont alignés sur une même politique de protection de données. C’est ce que le règlement européen à la protection des données vise pour ce premier trimestre 2018.

Pas d’inquiétudes, il est toujours temps de reprendre petit à petit ce que dit la loi, et les principaux protagonistes engagés dans cette nouvelle aventure juridique, qui se veut ferme et intransigeante. Il est important aujourd’hui de s’informer sur plusieurs plans :


1/8. Origine

Si l’on sautait à bord de la DeLorean, pour remonter le temps de seulement quelques décennies, nous serions contraints de respecter la loi du 6 janvier 1978 “Informatique et libertés”, avec des sanctions déjà assez rudes pour ceux qui ignoraient tout de la protection de données (150 000€ au premier manquement!).

La loi pour une République numérique du 7 octobre 2016 entamait déjà le renforcement du pouvoir de sanction de la CNIL. Cet acteur incontournable de la sécurité des données personnelles en France et à l’international avait alors déjà mis en place une directive en 1995 (95/46/CE) qui, une fois adoptée, fondait la base de l’édifice d’une juridiction européenne.

2/8. Le Nouveau Règlement

Approuvé par le Parlement européen en avril 2016, le Règlement général sur la protection des données (RGPD) remplace la directive de 1995. Il rentrera en vigueur le 25 mai 2018. Son principal but? Unifier les lois sur la protection des données des 28 pays membres de l’Union Européenne.

Si la législation se durcit autant, c’est pour faire face aux dérives accessibles au plus grand nombre concernant la donnée personnelle, très valorisée aujourd’hui, qui chaque jour s’échange, se vend, pour gros. Très gros. Le RGPD vise à renforcer la sécurité juridique des usagers et renforcer la confiance des citoyens envers les entreprises, mais aussi le droit des personnes.

Image for post
Image for post
Photo by Thomas Lefebvre on Unsplash

3/8. Principe de conformité et de responsabilisation

Ce sont les notions primordiales de ce nouveau texte : Conformité et Responsabilisation.

Par conformité, le règlement commande des comptes rendus destinés au régulateur national. En effet, un mécanisme de guichets uniques est mis en place dans chaque pays de l’UE pour les collecteurs (aussi appelé fournisseur, ou sous-traitant) et pour les responsables du traitement des données personnelles (le client généralement, celui qui produit la donnée). Disposée à faciliter le dialogue sur la mise en oeuvre des traitements de données, en France, vous aurez affaire à la CNIL. Une coopération est renforcée avec les autorités qui soulignent la flexibilité du texte de loi, “co-construit” avec les organisations traitant la donnée, et des décisions à prendre communément au niveau national, voire transfrontalier.

Chaque entité est responsabilisée aussi par le choix de représentants qui pourront rendre des comptes à la CNIL. Chacun est désormais tenu responsable des données produites, traitées, échangées : soit les sous-traitants ET les clients.

4/8. Traitement de données

Pour bien comprendre de quoi il s’agit réellement, et pourquoi toute cette mobilisation, il est important de bien délimiter le champ concerné par le règlement.

En deux mots : le traitement de donnée personnelle fait appel aux opérations portant les données personnelles, informatisées ou non, transparentes, justes et licites (ça fait plus que deux mots, je l’admets…). Nous parlons ici de la collecte, l’enregistrement, l’organisation, la conservation, la modification et la transmission de cette donnée.

Cette dernière est définie comme “information relative à une personne physique identifiée par un numéro d’identification ou par des éléments qui lui sont propre (nom et prénom, date de naissance, ADN, empreinte digitale etc.)”. Son nouveau traitement sous-entend une bonne information des utilisateurs, la collecte de leur consentement, mais aussi l’exercice du droit à la portabilité et du droit à l’oubli (celui d’effacement des données personnelles).

Image for post
Image for post
Photo by rawpixel.com on Unsplash

5/8. Sanctions

En cas de violations graves de données (art. 33,34), l’autorité nationale doit tout d’abord être notifiée dans les 72h (pas une de plus) afin que les individus concernés puissent prendre des “mesures appropriées”. Viennent ensuite les choses sérieuses.

Les sanctions administratives en premier lieu, s’élèvent à hauteur de :

2% du chiffre d’affaire annuel mondial de l’entreprise ou alors 10 millions d’euros, pour tout manquement à l’étude d’impact sur la vie privée (PIA, abordé paragraphe 7/8)

4% du chiffre d’affaire annuel mondial ou alors 20 millions d’euros, pour tout manquement aux droits des personnes (droit d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, à la portabilité etc.).

De quoi refroidir, n’est-ce pas? Petite nouveauté avec le RGPD, les sanctions pénales au niveau des Etats, en cas de violation des obligations prévues :

300 000 euros et 5 ans d’emprisonnement pour

Non-respect des formalités préalables : Articles 226–16 et 226–16-A du Code pénal

Non-respect de l’article 34 de la loi Informatique et Libertés relatif à l’obligation de sécurité : Articles 226–17 et 226–17–1 du Code pénal

Détournement de la finalité des données personnelles : Article 226–21 du Code pénal

Procéder à un transfert de données transfrontières contrevenant aux mesures prises par la Commission des Communautés européennes ou à l’article 70 de la loi Informatique et Libertés : Article 226–22–1 du Code pénal

1 500 euros par infraction constatée pour

Absence d’information des personnes concernées : Article R. 625–10 du Code pénal

Non-respect des droits des personnes : Article R. 625–11 du Code pénal

6/8. Le délégué à la protection des données (DPD)

Si la CNIL rappelle la nature des structures et métiers concernés

sociétés de sécurité informatique, SSII, agences de marketing et communication, prestataires de services informatiques, intégrateurs de logiciels,

un délégué à la protection des données, aussi appelé DPD, doit être reconnu.

Ce responsable se verra confier le rôle d’évaluer l’impact des activités en matière de protection de données (PIA), de prévoir les mesures pour diminuer l’impact de dommages potentiels à cette protection et de consulter l’autorité de contrôle avant de mettre en oeuvre les activités concernées par le RGPD. Ses obligations ?

Transparence & traçabilité

Impliquent la révision des contrats clients, et la création de registres de traitement des données pour le responsable des données et pour le sous-traitant (des modèles de registre existent).

Prise en compte des politiques PvD (voir paragraphe 7/8)

Garantie de la sécurité des données traitées, de leur confidentialité, de suppression de copies et de renvoi des données à la personne concernée.

Le responsable de traitement des données n’est pas forcément le client (ce serait trop simple !), si celui-ci prévoit de déléguer cette responsabilité au sous-traitant dans son contrat. Ce responsable doit notifier tout d’abord l’autorité de contrôle (art. 33), puis la personne concernée (art. 34).

Assistance, alerte et conseil

Avant tout sur la violation des règles, “faille de sécurité entraînant (…) la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière ou l’accès non autorisé à ces données”.

L’obligation d’assistance comprend aussi l’aide à l’exercice de droits et au respect des obligations. L’analyse d’impact, bien que réalisée par le responsable de traitement, peut à tout moment être soutenue par le délégué, qui doit informer le responsable et l’aider dans la réalisation de l’analyse.

Le DPD peut évidemment se faire guider par des experts désignés par la CNIL, et utiliser les solutions existantes (comme celle de Microsoft) pour remplir ses obligations, pour toujours être prêt et réactif aux demandes des clients, partenaires et autorités responsables.

Photo by rawpixel.com on Unsplash

7/8. PvD : Privacy by design ou by default?

Ces deux politiques de conception font parties du Privacy Impact Assessment (PIA), ou étude d’impact sur la vie privée (EIVP), qui évalue certains critères comme : la pseudonymisation, la minimisation de la collecte de données (sauf celles considérées indispensables), les procédés cryptographiques (chiffrement de données par exemple), ou encore l’indice de “nulle divulgation”, preuve d’un protocole sécurisé auprès de n’importe quel vérificateur.

Ces politiques permettent un contrôle sur la donnée dès son traitement et de s’assurer que chaque personne impliquée dans le processus de conception respecte celles-ci. Elles sont d’une part perceptibles dans le design du produit/service sous-traitant (Privacy by Design), et d’une autre part dans la garantie par défaut du plus haut niveau de protection des données possible (Privacy by Default).

8/8. Étapes clés en main de la CNIL

6 étapes suffisent cependant (ouf!) suivant la Commission Nationale de l’Informatique et des Libertés, alors pas de craintes !

Compte tenu des connaissances que vous avez (normalement) acquises grâce aux paragraphes précédents, vous pouvez maintenant suivre leur démarche :

►désigner tout d’abord un pilote, le DPD (délégué à la protection des données),

►cartographier vos traitements de données, grâce à un registre de traitements,

►prioriser votre démarche suivant les obligations à suivre,

►gérer les risques potentiels, grâce à l’analyse d’impact sur la protection des données (PIA),

►organiser des processus internes,

►et enfin documenter la conformité, à actualiser régulièrement.


C’est bon, vous avez tout ce qu’il vous faut pour faire face à cette nouvelle réglementation qui, dès maintenant, ne vous fait même plus frémir !

Vous pouvez être fier et assumez glorieusement votre rôle d’expert en protection des données. Ce fut un plaisir de vous accompagner dans cette démarche d’information. Vous pouvez aller plus loin, grâce aux outils mis à disposition par la CNIL (voir les sources ci-dessous).

Sachant que je ne suis pas issue d’une formation en droit, je prie les individus plus qualifiés et plus informés que moi de prendre la parole et de me corriger s’ils le veulent bien. Avec tous mes remerciements !

Bibliographie

D’AUVERGNE Marie, PICARD Frédéric, RGPD : Focus sur les sanctions, Haas Avocats, le 5 octobre 2017.

CNIL, Règlement européen : se préparer en 6 étapes, le 10 mars 2017.

CNIL, RGPD : Guide de sous traitant, Septembre 2017.

FROCHOT Didier, RGPD, un nouveau guide de la CNIL pour les sous-traitants, Les Infostratèges, 05 octobre 2017.

Hexanet, Tout comprendre comprendre sur le RGPD, le 25 août 2017.

Legifrance, Code Pénal, Version consolidée au 5 novembre 2017.

NEGRESU Dana, GDPR — a brief reality check, Evozon Systems, le 30 octobre 2017.

SCHWAAB Jean-Christophe, Savoir ce qu’est le “Privacy by design” et le “Privacy by default”, Correspondant Informatique et Libertés du CNRS, le 24 novembre 2014.

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch

Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore

Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store