Comme vous le savez déjà sûrement, l’Union européenne a adopté une nouvelle réglementation en matière de protection des données personnelles qui sera applicable à partir du 25 mai 2018. Cette nouvelle réglementation prend la forme d’un Règlement : le Règlement Général sur la Protection des Données ou RGPD (plus connu sous son acronyme anglais GPDR). Ce règlement est destiné à remplacer une ancienne directive de 1995 qui avait été adoptée avant l’apparition des réseaux sociaux, du Big Data, du Cloud computing ou encore l’internet des objets (IoT).

A l’heure où les données personnelles sont récoltées massivement sur internet et font l’objet d’un business à part entière, la directive n’était plus suffisante pour protéger efficacement la vie privée des internautes.

Alors que la directive laissait une marge de manœuvre aux États membres dans l’application des règles au niveau national, le Règlement va s’appliquer de manière uniforme partout en Europe. Dans certains cas, le Règlement est également susceptible de s’appliquer à des entreprises situées en dehors de l’Union européenne.

En bref, les nouvelles règles sont plus sévères, les contrôles sont renforcés et les amendes sont plus lourdes.

Mais qu’est-ce que cela change concrètement pour vous ?

De nombreux articles existent sur le sujet et sont souvent axé E-Commerce. Rappelons ici les principaux points à retenir :

À qui s’applique le règlement ?

Vous devez respecter le règlement si dans le cadre de votre activité vous récoltez des données personnelles, que ce soit sur vos clients mais aussi sur vos collaborateurs y compris les candidats en cours de recrutement. Une donnée personnelle, c’est toute information qui permet d’identifier directement ou indirectement une personne physique. C’est une notion qui est donc très large. Par exemple, un nom, un prénom, une adresse, un numéro de téléphone, un numéro de compte en banque, une plaque d’immatriculation, etc. sont des données personnelles. Une adresse IP est également considérée comme une donnée personnelle. On peut également identifier quelqu’un grâce à une combinaison de données. Par exemple, des identifiants en ligne (un nom d’utilisateur et un mot de passe) sont considérés comme des données personnelles s’ils permettent d’identifier la personne qui se trouve derrière.

Au niveau territorial, le Règlement s’applique à toutes les entreprises qui traitent des données personnelles de personnes situées dans l’Union européenne. Auparavant, la Directive ne s’appliquait qu’aux entreprises établies dans l’Union européenne. Désormais, le Règlement s’applique également aux entreprises qui ne sont pas établies dans l’Union européenne mais qui offrent des biens ou des services à des personnes situées dans l’UE (même gratuitement) ou qui tracent leur comportement. Grâce à son champ d’application extraterritorial, le nouveau Règlement s’applique désormais aussi aux géants de la Silicon Valley, tels que Google, Amazon, Facebook, etc.

Quelles sont vos obligations ?

Dès l’instant où vous récoltez des données personnelles, vous avez un certain nombre d’obligations. Le Règlement reprend les anciennes obligations de la directive tout en ajoutant de nouvelles.

1. Transparence et information générale

Un principe de transparence sous-tend toute la réglementation. Lorsque vous collectez des données personnelles, vous devez toujours le faire de manière transparente, c’est-à-dire que vous devez informer les personnes concernées dans un langage clair et compréhensible.

Vous devez préciser quels types de données sont collectées, à quelles fins, pendant combien de temps ces données vont être conservées, à qui les données peuvent être transmises et quels sont les droits des personnes concernées par rapport à leurs données.

Toutes ces informations doivent se trouver dans un document disponible – par exemple sur votre site internet et/ou par voie d’affichage dans l’entreprise – qui doit pouvoir être consulté et sauvegardé à tout moment par les personnes concernées. Typiquement, pour un site internet on parle d’une ‘Charte Vie Privée’. Idéalement, ce document doit être séparé de vos conditions générales de vente pour plus de clarté.

2. Obtenir le consentement des personnes concernées

Informer ne suffit pas, il faut également que vous ayez obtenu le consentement préalable des personnes concernées, sauf si les données demandées sont strictement nécessaires à l’exécution d’un contrat (par exemple, dans le cadre d’un contrat de vente en ligne, les données bancaires du client ou l’adresse de livraison).

La Règlement prévoit également d’autres fondements légaux à la collecte des données.

La directive autorisait un consentement implicite. Par exemple, des conditions générales de vente comprenant une section sur la vie privée et consultables sur votre site internet suffisaient. Désormais, le Règlement exige un consentement « libre, spécifique, univoque et éclairé ». Cela signifie que la personne concernée doit donner expressément son consentement au traitement de ses données. Le nouveau système est donc un système d’option d’adhésion (ou opt-in). Pour respecter cette exigence, vous pouvez par exemple prévoir une case à cocher à la fin du processus de commande qui renvoie à votre Charte Vie Privée et qui doit être cochée par le client.

3. Assurer la sécurité et la légalité du traitement des données

Dès l’instant où vous récoltez des données personnelles, vous devez mettre en place des mesures techniques et organisationnelles pour sécuriser au maximum les données et respecter la réglementation. Vous pouvez vous-mêmes choisir ces mesures en fonction de la nature des données, de la quantité de données récoltées, des finalités du traitement ou des risques potentiels en cas de fuite, de perte ou de vol des données.

Les mesures techniques sont des mesures au niveau du Système d’Information (SI) de l’entreprise qui permettent par exemple de limiter l’accès aux données en interne ou de chiffrer les données. Les mesures organisationnelles sont des mesures propres à la gestion des données en interne. Cela peut consister en la rédaction d’une politique interne de traitement des données ou dans une formation du personnel de l’entreprise.

4. Tenir un registre

Les entreprises qui traitent des données personnelles sont obligées de tenir un registre des activités de traitement. Cette obligation s’applique aux grandes entreprises (qui emploient 250 personnes ou plus) et aux plus petites entreprises qui traitent régulièrement des données personnelles dans le cadre de leur activité.

Le registre doit mentionner toutes une série d’informations, comme le nom et les coordonnées du responsable du traitement, les finalités du traitement, les personnes concernées, les données concernées, les personnes à qui les données vont être transférées, les mesures de sécurité mises en place, etc. et peut se présenter sous une forme électronique.

5. Obligation spéciale d’information en cas de violation des données

En cas de problème avec les données, par exemple en cas de fuite, de perte, de vol, de destruction des données (accidentellement ou suite à une intrusion non-autorisée dans le système informatique de l’entreprise), le responsable du traitement doit informer l’autorité de contrôle dans les 72 heures après avoir eu connaissance du problème.

L’autorité de contrôle est l’institution qui est chargée au niveau national de vérifier si les entreprises respectent bien le Règlement. Elle peut donc effectuer des contrôles et prendre des sanctions. En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui remplit ce rôle.

Le responsable du traitement devra également informer les personnes concernées de la violation de leurs données lorsque celles-ci encourent un risque important pour leur vie privée. La violation pourrait par exemple entraîner un vol d’identité, une discrimination, une atteinte à leur réputation, une perte financière, etc.

6. Obligation de nommer un Délégué à la Protection des Données

Dans certains cas, l’entreprise doit nommer un délégué à la protection des données (on parle de Data Protection Officer ou DPO en anglais). Cette obligation s’applique aux entreprises qui traitent des données personnelles à large échelle et qui tracent systématiquement le comportement des internautes. Les autres entreprises ont toutefois toujours la faculté de nommer un DPO. Dans tous les cas, c’est vivement conseillé.

Le DPO est une personne physique ou morale experte dans le domaine de la protection des données. Il a une mission de conseil, de contrôle et de point de contact avec l’autorité de contrôle. Il surveille donc au sein de l’entreprise que les données soient traitées de manière conforme à la réglementation. Cette mission peut être exercée par un employé de l’entreprise (par exemple, un juriste interne) ou elle peut être déléguée à un partenaire externe dans le cadre d’un contrat de service.

Conclusion

Vous avez eu ici un aperçu des obligations les plus importantes qui découlent du nouveau Règlement Vie Privée. L’UE a voulu s’attaquer à l’un des plus grands challenges de notre siècle, à savoir comment protéger la vie privée des internautes dans un monde où les données de chacun circulent sur la toile et ont une véritable valeur marchande. Le Règlement met en place des garde-fous pour assurer plus de transparence et redonner aux individus la maîtrise de leurs données.

Cependant, le Règlement soulève déjà de nombreuses questions sur la manière de respecter les règles en pratique. Par exemple, quel type de profil remplit les qualités d’un DPO ? Quels types d’entreprises seront principalement visés par les contrôles ? Quelles seront les sanctions prises? Il faudra sans doute attendre quelques années avant d’avoir des précisions de la part de la Cour de justice de l’Union européenne.

En attendant, il est essentiel de bien comprendre le contenu du Règlement et de se plier aux nouvelles règles dans la mesure du possible. Vous pouvez vous y aider en faisant appel à des spécialistes en la matière, tant sur le plan juridique que technique. Aussi, la CNIL publie des documents sur la manière d’interpréter les nouvelles règles et comment s’y préparer. Apio systems peut vous accompagner dans vos démarches d’audit et mise en conformité. Contactez-nous par en parler.

Le nouveau « règlement général sur la protection des données » (RGPD) entrera en vigueur le 25/05/2018