L’échéance approchant à grands pas, nous vous proposons cette FAQ qui reprend les questions qui reviennent souvent sur le GDPR / RGPD.

 

Généralités

Le RGPD / GDPR est le Règlement Européen sur la Protection des Données.

Il vient remplacer la Directive 95/46/CE et apporter un nouveau cadre commun européen pour gestion des données personnelles.

Le RGPD / GDPR s’appliquera le 25 mai 2018. C’est un règlement et non une directive. Il s’appliquera donc sans nécessité d’une transposition dans le droit national.

 

Art. 99 “Entrée en vigueur et application”
: 1. Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne. 2. Il est applicable à partir du 25 mai 2018.”

Toutes les entreprises qui se trouvent sur le sol de l’UE ou dont les clients / utilisateurs sont des citoyens des pays membres de l’UE.

 

Article 3 – Champ d’application territorial
“Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public.”

Toute entreprise est concernée quelle que soit sa taille ou sa structure juridique dès lors qu’elle traite des données personnelles.

Même si vous n’avez qu’un fichier clients / prospects, vous êtes concerné(e)s

Définitions

Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.

Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne.

Ex : nom, prénom, identifiant, pseudonyme, photo, numéro de téléphone, adresse postale, adresse e-mail …

 

Article 4 – Définitions
Aux fins du présent règlement, on entend par :
“«données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;”

Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quelque soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation , l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

Constituent des traitements :

  • les traitements automatisés (ex : logiciels)
  • les traitements non automatisés (traitement papier) portant sur les données à caractère personnel contenues ou appelées à figurer dans des fichiers (un fichier consistant en un ensemble structuré et stable de données à caractère personnel et accessible selon des critères déterminés).

Ex : badge d’accès, dossier de candidature, formulaire d’évaluation, vidéo surveillance, base de données clients ou fournisseurs …

 

Article 4 – Définitions
“«traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction;”

“«fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique;”

Une violation est une atteinte aux données à caractère personnel. Ca peut-être un vol, une perte, une destruction … C’est par exemple le cas d’une perte / un vol de smartphone / ordinateur portable / disque dur …

C’est aussi une intrusion dans un Système d’Information ou un salarié qui quitterait l’entreprise en emportant des données personnelles.

 

Article 4 – Définitions
“«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;”

Changements apportés

Pour l’utilisateur, le GDPR apporte de grands changements.

  • Consentement plus éclairé lors de la récupération de ses données
  • Droit à la portabilité de ses données
  • Introduction du principe d’actions collectives
  • Droit à réparation des dommages matériels ou moraux

 

Pour aller plus loin (source : CNIL.fr) :

Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.

Des conditions particulières pour le traitement des données des enfants : Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.

Introduction du principe des actions collectives : Tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.

Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

 

En principe, le GDPR vient supprimer les déclarations à effectuer auprès de la CNIL, puisque c’est à l’entreprise de démontrer à tout moment que ses traitements sont bien conformes.

Chaque entreprise devra tenir en interne un registre de ses traitements.

Quelques exceptions existent néanmoins, notamment pour les traitements de données dites “sensibles”.

Une nouvelle loi Informatique et Libertés devrait apporter des précisions sur ce point d’ici mai 2018.

 

Article 30 – Registre des activités de traitement
“Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.”

En un mot : aucun !

Ce serait tentant de penser que l’investissement dans un équipement permettrait de se conformer à l’intégralité du GDPR.

La conformité au GDPR doit être vue comme une activité et non comme une contrainte technique. Cela suppose évidement de protéger ses données contre la perte, le vol, la destruction ; le triptyque Confidentialité / Disponibilité / Intégrité  … auquel cas la cybersécurité tient un rôle majeur, mais il faudra aussi mettre en place des recueils de consentements plus clairs, les archiver, mettre en place une procédure pour l’usage des droits d’accès, de rectification ; mais aussi une procédure de notification à la CNIL en cas de violation, de suppression automatique des données au delà d’un certain temps, etc.

Se limiter à des moyens techniques sans réelle gouvernance revient à ignorer 90 % de la règlementation.

Il faudra redéfinir tous les contrats et s’assurer qu’ils respectent bien leurs obligations et qu’ils offrent les garanties de sécurité suffisantes. L’entreprise sera donc responsable du choix de ses sous-traitants.

 

“Article 28 – Sous-traitant :
Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.”

En tant que responsable du traitement, vous êtes responsable de la sécurité et de la confidentialité de vos données autant que du choix de vos prestataires. Le GDPR vient responsabiliser toute la chaine de traitement. En cas de violation, c’est bien votre responsabilité qui sera engagée.

 

“Article 24 – Responsabilité du responsable du traitement
Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.”

“Article 28 – Sous-traitant :
Lorsqu’un traitement doit être effectué pour le compte d’un responsable du traitement, celui-ci fait uniquement appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.”

Les sanctions administratives ont été largement renforcées. Avec le GDPR, elles pourront atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial selon le montant le plus élevé.

A cela devront s’ajouter les réparations aux individus ayant subi un préjudice.

 

“Article 82 – Droit à réparation et responsabilité
Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.”

“Article 83 – Conditions générales pour imposer des amendes administrative
Les violations des dispositions suivantes font l’objet, conformément au paragraphe 2, d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu”

Oui, l’entreprise est responsable de la sécurité de ses données. Elle devra notamment mettre en place toutes les solutions organisationnelles et techniques permettant la protection des données à caractère personnel.

Elle devra aussi tester et évaluer les mesures de sécurité mises en place.

 

Article 32 – Sécurité du traitement
“1. Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
  • a) la pseudonymisation et le chiffrement des données à caractère personnel;
  • b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;
  • c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;
  • d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.

En cas de violation, il faut prévenir l’autorité de contrôle (la CNIL) dans un délai de 72h ainsi que les personnes concernées par cette violation.

Ex : Une conseiller en gestion de patrimoine travaille dans le train. Il stocke sur son disque dur les données de ses clients, contenant entre autre : des copies des pièces d’identité, justificatif de domicile, impôts …

S’il perd son disque dur, il devra le notifier à la CNIL ainsi qu’au personnes concernées.

 

Article 33 – Notification à l’autorité de contrôle d’une violation de données à caractère personnel
“En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.”

Article 34 – Communication à la personne concernée d’une violation de données à caractère personnel
“Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.”

 

Pour en savoir plus sur votre conformité, vous pouvez effectuer notre test en ligne : simple, rapide, gratuit.

Test de conformité GDPR 2018