RGPD…. Késaco ?

Après de longs mois de silence virtuel sur ce blog, voici un bref billet pour vous parler d’un acronyme que vous avez déjà rencontré pour les plus chanceux ou que vous croiserez  certainement dans les prochains jours – le RGPD –  sur lequel il faut s’arrêter quelques minutes ou plus.

Tous les professionnels responsables en ont entendu parler ou lu des articles savants sur la question. Mais de quoi s’agit-il exactement ? Ce billet n’a pas la prétention d’apporter la lumière sur le RGPD , mais juste un petit éclairage d’appoint pour vous permettre de comprendre qu’il ne peut rester totalement ignoré.

Tout d’abord  un éventail de réponses, sur ce que veut dire  RGPD, selon les publics.

Pour les simplistes : Un règlement européen de plus sur la protection des données personnelles…

Pour les optimistes, souvent résidant hors de l’UE  : un règlement qui ne les concerne pas

Pour les pessimistes ( optimiste réaliste) : Un monstre juridique tentaculaire aux contours flou …

Pour les défaitistes  : la fin de leurs activités

Pour les réalistes : une nouvelle approche règlementaire pour le traitement des données personnelles d’individus résidant dans L’UE.

Pour les juristes: une manne qu’ils vont devoir décortiquer, assimiler et digérer avant de pouvoir espérer en tirer quelques fruits…

Cela dit, voici une tentative de réponse aux nombreuses questions que vous vous posez déjà, dans l’ordre ou plus souvent le  désordre : où , quand , quoi , qui, comment , pourquoi , qui ne dispense pas de la lecture des 99 articles dudit règlement, pour les plus motivés.

Quoi ?

Ainsi que l’a compris le simpliste, il s’agit d’un règlement européen qui a pour but de renforcer et d’unifier la protection liée au traitement des données à caractère personnel des individus au sein de l’UE. Il remplace la Directive pour la protection des Données qui datait de 1995.

Ce règlement accorde des droits plus importants aux individus au sein de l’UE en matière de protection des données personnelles.

Une donnée personnelle, selon le RGPD est : « toute information se rapportant à une personne physique identifiée ou identifiable …. directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».

Ces droits sont principalement les suivants :

– Un droit d’accès aux données personnelles, de rectification, d’effacement et d’opposition,

– droit à la limitation du traitement des données,

– droit à la portabilité des données,  qui peuvent être récupérées par chacun et qui selon certains commentateurs , confèrerait à l’individu une sorte de  droit de propriété sur ses données[1].

– droit de ne pas faire l’objet d’une décision individuelle automatisée et notamment le profilage par cookies.

Il ne les protègera toutefois pas contre la perte ou le vol de leur portefeuille qui contient, comme chacun peut le vérifier,  tout un lot de données personnelles, voire confidentielles.

Bon à savoir : pour les entités qui traitent les données, elles ont l’obligation de recueillir le consentement « explicite » et « positif » des individus, avant la collecte des données personnelles.

Qui ?

 Les individus en question, dont les données personnelles font l’objet d’une protection,  sont ceux qui résident dans l’un des États membres de l’UE.

Le RGPD s’applique, sauf rares exceptions, à toute entité juridique qui traite des données personnelles d’individus résidant au sein de l’UE.

Certaines dispositions ne semblent concerner que les entreprises de plus de 250 employés, telle la tenue d’un registre de traitement des données. Une lecture attentive du RGPD montre que cette approche est erronée car une entité qui traite de façon régulière[2] des données personnelles est tenue mettre en place un tel registre. Ainsi, traiter les données personnelles de salariés ou de clients, ne peut être considéré comme un traitement occasionnel.

Pourquoi ?

 Le RGPD  a pour but de protéger les individus contre les risques liés à l’exploitation de leurs données personnelles et au respect de leur vie privée. Il permet également de mieux contrôler la circulation de ces données au sein de L’UE.

 Une bonne nouvelle selon certains: « Il simplifie les formalités pour les entreprises et leur offre un cadre juridique unifié ». Il est vrai que les déclarations  de traitement auprès des autorités de contrôle vont disparaître, sauf exception, et que les obligations et droits seront les mêmes dans toute l’UE…

Mais la contrepartie de cette simplification apparente pour les entreprises concernées est assez lourde…surtout pour les sous-traitants !

Où ?

Le RGPD s’applique à tous ceux qui traitent de données personnelles au sein de l’UE même s’ils exercent leurs activités en dehors de l’UE.

Les optimistes non européens ont donc tort de croire que leurs activités ne sont pas concernées par le RGPD… et cette erreur peut coûter très cher : 4% du chiffre d’affaires mondial annuel… cela mérite réflexion…

L’extra territorialité de ce règlement va en surprendre plus d’un – hors des frontières de L’UE – dès lors que des données personnelles seront traitées.

Quand ?

 Le RGPD a été adopté en 2016 et entre en vigueur dans quelques jours …le 25 mai prochain… il est encore temps de commencer à vous intéresser à lui !

Comment ?

 Le pilier du RGPD est l’examen de la  finalité du traitement qui sera effectué sur les données personnelles. La collecte des informations personnelles est-elle strictement nécessaire à la finalité recherchée ? Telle est la question  que chaque entreprise concernée  va devoir se poser.

De nouvelles fonctions ou activités sont créées par le RGPD. Il faudra se familiariser avec le vocabulaire :

 Analyse d’impact : il s’agit notamment de l’évaluation de la finalité du traitement et de l’étude  des risques sur la sécurité des données qui permet de déterminer les mesures techniques et d’organisation pour protéger les données.

 Protection by design : Ce concept vient du Canada et vise à  assure la protection des données dès la conception des systèmes de traitement, une fois l’analyse d’impact réalisée.

La pseudonymisation des données est un néologisme visant à  traiter des données personnelles sans que l’on puisse attribuer ces données à un individu,  sans avoir recours à des informations supplémentaires. Ce n’est pas tout à fait synonyme de « anonymisation »  qui va plus loin en termes de confidentialité.

Le registre de traitement :   il s’agit d’un document écrit sur lequel est inscrit   toutes les catégories d’activités de traitement effectuées par une entité qui doit contenir les informations suivantes :

-le nom et les coordonnées de l’entité responsable du traitement des données;

– les catégories de traitements effectués

– les transferts de données à caractère personnel hors de l’UE et les garanties offertes

– dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles que l’on doit prendre pour assurer la protection des données.

Le responsable de traitement : c’est vous, dès lors que  vous traitez de façon régulière de données personnelles d’individus au sein de l’UE.

Le sous-traitant : c’est encore vous si vous faîtes l’opération ci-dessus pour le compte de vos clients.

Et là, attention si vous poursuivez la lecture, vous risquez de devenir  pessimistes voire défaitistes,  sauf à anticiper le danger :

Le RGPD a créé une coresponsabilité entre le responsable de traitement et son sous-traitant…ainsi qu’une obligation de définir par écrit le partage des tâches et des responsabilités…

Quant à la notion de sous-traitant , elle est très étendue :

Bien entendu, les hébergeurs, et services marketing direct, sont en première ligne, mais toute entreprise commerciale, libérale, associative  ou administrative qui traite pour le compte d’un client, des données personnelles est un sous-traitant en puissance…

Et la liste des obligations est longue :

– aider son client à respecter ses propres obligations,

– mettre à sa disposition les informations relatives à la sécurisation des données

– l’autoriser à faire des audits sur l’application du RGPD

– l’informer  si une de ses instructions viole le RGPD

– demander son accord pour sous-traiter une partie de ses activités et garantir le choix de ce dernier. Sans compter que certains sous-sous-traitants, tels les gros hébergeurs  du Cloud, ont déjà anticipé le RGPD et limitent leurs responsabilités. De quoi se retrouver entre le marteau et l’enclume…

A cette liste,  s’ajoutent  le DPO, le point de contact, l’autorité de contrôle , etc. et bien d’autres concepts inventifs dissimulés dans les 99 articles du RGPD.

Mais comme ce billet ne se veut pas exhaustif… même si sa lecture vous a déjà épuisé , il faudra vous reporter au RGPD lui-même ou aux nombreux guides qui ont été mis en place pour mieux en saisir la portée.

A vous de déterminer dans  quelle catégorie vous vous situez : Optimiste, pessimiste , défaitiste ou réaliste ?

Le mieux est encore d’être pragmatique… et de garder les yeux grand-ouverts face au RGPD !

M.D le 17 mai 2018

 

Pour aller plus loin :

 

http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679

https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/principles-gdpr_fr

https://www.cnil.fr/fr/comprendre-le-reglement-europeen

https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

Notes

[1] https://scinfolex.com/2018/05/12/le-rgpd-interdit-il-aux-individus-de-vendre-leurs-donnees-personnelles/

[2] http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=624045