Règlement Général sur la Protection des Données (RGPD ou GDPR) : quels changements ? Partie 1

Le RGPD (Règlement Général sur la Protection des Données) rentre en vigueur le 25 mai 2018 – à savoir dans moins de un an. Cela va modifier en profondeur les mécanismes de conservation et de gestion des données pour les organisations.

A l’heure de la transformation digitale qui pousse les entreprises comme les particuliers à utiliser davantage les données, ce virage est d’autant plus complexe à négocier que le futur règlement, qui s’inscrit dans le prolongement de la loi informatique et liberté, induit des changements structurants au niveau organisationnel, technique et juridique.

Cet article a pour objectif de dresser un premier éclairage sur ces changements qui impacteront tout le monde très vite, professionnellement et personnellement.

 

1/ LES PRINCIPALES OBLIGATIONS DU RGPD

Une des premières obligations pour les entreprises – « accountability » –, c’est la tenue d’un registre des traitements – ce qui remplace la déclaration à la CNIL – pour devenir responsables et garantes du respect de la vie privée. Dans ce registre, on y consigne les mêmes informations que dans la déclaration mais en inversant la charge de la preuve. Avant, la CNIL devait démontrer les manquements et le responsable du traitement avait du temps pour régulariser. Demain, cela sera à l’entreprise de démontrer qu’elle est en conformité. Le RGDP introduit aussi une obligation de notification par les responsables de traitement en cas de violation de données à caractère personnel. Ils doivent alerter la CNIL dans les meilleurs délais.

Autre obligation, la prise en compte de la notion du respect de la vie privée dès la conception – « privacy by design » – du produit, service, application. Un système d’information insuffisamment sécurisé ne sera pas conforme. L’entreprise doit placer le curseur sur le niveau le plus élevé en termes de protection de la vie privée. Chaque fois qu’elle initie un traitement, elle doit obtenir le consentement express (opt-in) et spécifique de l’utilisateur.

Dernière obligation, les organisations doivent nommer un délégué à la protection des données (DPD ou DPO) pour assurer la mise en place et le suivi du RGPD.

Les autorités de contrôle laisseront 2 ans aux entreprises pour s’y conformer.

 

Qui est concerné ?

Le règlement concernera tous les pays de l’Union Européenne ainsi que les sociétés établies à l’étranger si elles ciblent des résidents de l’UE par profilage, ou si elles proposent des biens et services à ces derniers. Seules les US et UK pourraient ne pas être concernés, leurs lois nationales prévalent sur le RGPD.

 

A quel risque s’expose-t-on en cas de non-respect ?

Une amende fixée par la Cour de justice qui peut aller jusqu’à 20 Millions d’euros ou 4% du CA pour les cas les plus graves.

« En termes de sanction financière, l’enjeu de la privacy se hisse à la même hauteur que les délits de corruption et de cartel », rappelle Benjamin May avocat associé du cabinet Aramis.[1]

 

Quels impacts pour les entreprises ?

 

2/ CE QUI VA CHANGER AU NIVEAU « HUMAIN »

Il va renforcer la protection des consommateurs, leurs données ne seront que « prêtées » aux entreprises. Ainsi, ils resteront les uniques propriétaires de ces dernières pouvant exercer tous les droits dessus.

  • Consentement : tout traitement de ses données doit faire l’objet d’une autorisation explicit,
  • Respect de la vie privée : tout traitement susceptible d’entrainer des risques élevés sur la vie privée devra faire l’objet d’une étude d’impact,
  • Transparence : l’individu a le droit de savoir à quoi servent ses données,
  • Profilage : droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé,
  • Possibilité de désabonnement : tout profilage doit être clairement notifié et son désabonnement possible à tout moment,
  • Droit à l’oubli : sur demande le consommateur peut réclamer la suppression de ses données,
  • Contact inactif : tous contacts inactifs depuis plus de 3 ans doit être retirés des traitements,
  • Droit à la portabilité : toutes les données d’un individu doivent être exportables directement par l’individu.

Il redéfinit également le caractère personnel des données.

Avec aujourd’hui :

  • Adresse email,
  • Numéro de téléphone professionnel (ligne directe),
  • Fonction ou intitulé de poste,
  • Adresse postale du lieu de travail, de l’entreprise,

Et demain en plus :

  • Données de localisation (Adresse IP, Données GPS)
  • Cookies « first and third party »
  • Numéro d’identification, identifiant
  • Éléments correspondants à l’identité physique, psychique, génétique ou économique

 

3/ CE QUI VA CHANGER AU NIVEAU « DIGITAL »

Le RGPD imposera de prendre en compte la protection du respect de la vie privée dès la conception du produit ou service.

Un consentement qui devient explicite et obligatoire

Il faudra que les individus effectuent une action délibérée d’inscription plus communément appelée « opt-in » pour donner l’autorisation aux entreprises de pouvoir traiter leurs données personnelles. Le profilage restera autorisé à des fins marketing tant que la personne en est informée et pourra s’y opposer.

“Lors de l’installation d’une app mobile, elle vous demande l’accès à des données personnelles stockées sur votre smartphone (contacts, agenda…) via une pop-up. Si vous refusez, vous n’accèderez pas au service. Pourtant, ces informations ne sont pas nécessaires à la fourniture du service en question. 

Dès mai 2018, ce cas de figure sera interdit. La collecte de données devra servir la finalité du service. Il faudra, par ailleurs, un formulaire de consentement différent pour chaque type de données. “

Malgré cela, le règlement prévoit 5 bases légales pour lesquelles le traitement demeure licite, même sans consentement :

  • Lorsque le traitement est nécessaire à l’exécution d’un contrat accepté par la personne ;
  • Lorsque le traitement découle d’une obligation légale ;
  • Lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne ;
  • Lorsque le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;
  • Tout autre intérêt légitime du responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne, en particulier s’il s’agit d’un enfant.

La pseudonymisation des données

Autre point pour les développeurs, la séparation des données à caractère personnel qui sont normalement rattachées à une personne. Les informations étant conservées de manière indépendante, il faut avoir recours à des informations supplémentaires pour rattacher ces dernières entre elles, au moyen d’une clé de hachage par exemple.

Son emploi est vivement encouragé dans la mise en place d’une sécurisation du traitement des données mais non obligatoire.

[1] http://www.zdnet.fr/actualites/que-va-changer-le-rgpd-39850740.htm

0 commentaires

votre commentaire

Se joindre à la discussion ?
Vous êtes libre de contribuer !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Inscription newsletter

Ne manquez plus nos derniers articles !