Le Réglement Général sur la Protection des Données (RGPD) entre en vigueur le 25 Mai 2018 !


Notre dossier spécial vous dit tout sur ce nouveau réglement : qui est concerné ? Par quoi ? Quels nouveaux droits pour les citoyens mais surtout quelles nouvelles obligations pour les entreprises ? 

 

 

 

 

Le Règlement Général sur la Protection des Données (RGPD) est le nouveau texte de référence en matière de protection des données dans l’Union Européenne. Adopté en 2016 par le Parlement Européen, il remplace l’ancienne directive européenne sur la protection des données de 1995.


A partir du 25 Mai 2018, les dispositions du RGPD seront applicables dans les 28 pays de l’Union Européenne, consacrant de nouveaux droits pour les citoyens européens dont les données sont traitées. Par conséquent, toute organisation qui traite des données personnelles de citoyens européens devra se plier à de nombreuses nouvelles obligations afin de garantir ces droits.


A compter de de son entrée en vigueur, les violations des dispositions du RGPD sont condamnables d’une amende maximum de 20 millions d’euros ou 4% du chiffre d’affaires mondial de la société


Afin de ne pas vous laisser avoir, Staminic vous propose ce dossier complet qui vous révèlera tout sur le RGPD : personnes concernées, ensemble des droits et obligations consacrés, mesures prises par les entreprises…

 

 


Qu’est-ce que la donnée personnelle ?

 

Le RGPD définit la donnée à caractère personnel comme toute information pouvant identifier une personne physique directement ou indirectement. Le champ est très large : “un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, (...) un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”.

Quelques exemples de données à caractère personnel souvent collectées :

  • Nom
  • Prénom
  • dentifiant;
  • Adresse IP
  • Adresse email
  • Adresse postale;
  • Emploi
  • Diplômes
  • Revenus.

 

Le RGPD prévoit davantage de protection pour les données considérées sensibles telles que :

  • Données relatives à la santé, données génétiques ou biométriques;
  • Race, ethnie, couleur de peau;
  • Orientations sexuelles, politiques, syndicales ou religieuses;
  • Données personnelles d’enfants de moins de 16 ans;
  • Données relatives à des condamnations ou infractions pénales; 

Qui est concerné ?

 

Les dispositions du RGPD s’appliquent à toute personne physique ou morale, autorité publique, service ou autre organisme qui collecte, stocke ou utilise des données personnelles de citoyens de l’UE. Le RGPD s’applique même si le responsable, le bénéficiaire ou les opérations de traitement sont situés à l’étranger.

 

Les seules exceptions sont les traitements de données réalisés :

  • par des personnes physiques dans le cadre d’une activité strictement personnelle et domestique;
  • par les autorités compétentes à des fins de prévention ou détection d’infractions pénales;
  • par les Etats Membres de l’UE dans le cadre de leur défense;
  • dans le cadre d’une activité qui ne relève pas du champ d’application du droit de l’Union Européenne.

Quels nouveaux droits sont créés pour les citoyens ?

 

A partir de l’entrée en vigueur du RGPD, toute personne concernée bénéficiera de nouveaux droits. Chacun de ces droits devra être garanti par le responsable du traitement  :

 

Droit d’accès

La personne peut demander au responsable du traitement la confirmation ou non qu’elle est sujet à un traitement de données personnelles et, le cas échéant, consulter les détails relatifs à ce traitement et en obtenir une copie.

 

Droit de rectification

La personne peut demander à rectifier des données personnelles inexactes ou à compléter des données personnelles incomplètes.

 

Droit à l’effacement/droit à l’oubli

La personne peut demander au responsable du traitement d’effacer l’ensemble des données personnelles la concernant, sauf si le traitement de ces données est nécessaire à l’exercice ou la défense des droits et libertés de la personne ou pour la recherche scientifique.

 

Droit à la limitation

La personne peut demander à limiter le traitement de ses données personnelles sous certaines conditions. Alors le responsable du traitement devra lui demander son consentement  avant chaque traitement, sauf opérations de simple conservation.

 

Droit à la notification

La personne doit être notifiée par le responsable de tout effacement, rectification ou limitation suite à l’exercice de leur droit d’effacement, de rectification ou de limitation.

 

Droit à la portabilité des données

La personne peut demander au responsable de traitement de recevoir les données qui le concernent dans un format structuré, lisible par machine pour les transmettre à un autre responsable de traitement. Il peut demander que ce transfert se fasse directement d’un responsable de traitement à un autre lorsque c’est techniquement possible.

 

Droit d’opposition

La personne peut s’opposer au traitement de ses données et au profilage (mais souhaite garder un accès aux données et donc n’en demande pas l’effacement). Le responsable du traitement doit alors cesser le traitement, à moins qu’il de démontre qu’il existe des motifs légitimes et impérieux pour le traitement, qui prévalent sur les intérêts et les droits et libertés de la personne.

 

Il est important de noter que ces droits pourront être soumis à des limitations imposées plus tard par l’UE ou les Etats Membres sous forme de lois. Ces limitations seront licites si elles sont des mesures nécessaires et proportionnées pour garantir : la sécurité ou la défense nationale, la sécurité publique, la protection de l’indépendance de la justice, l'exécution de demandes de droit civil et d’autres intérêts généraux. 

 

Quelles obligations en découlent pour les responsables du traitement ?

 

L’enjeu principal pour les responsables de traitement des données personnelles est de mettre en place les mesures techniques et organisationnelles afin de garantir aux citoyens les droits susmentionnés.

Ainsi, chaque droit consacré par le RGPD est une nouvelle obligation pour les responsables de traitement : l’obligation de garantir l’exercice de ce droit aux personnes dont les données personnelles sont traitées.

 

Concernant le consentement des personnes, il est obligatoire et doit préciser la ou les finalités  spécifiques du traitement auquel il est donné. Cependant, il n’est pas obligatoire si le traitement est nécessaire:

  • A l'exécution d’un contrat  auquel la personne concernée est partie (ou de mesures précontractuelles prises à la demande de la personne).
  • Au respect d’une obligation légale à laquelle le responsable du traitement est soumis
  • A la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique
  • A l'exécution d’une mission d’intérêt public ou à l’exercice de l’autorité publique dont est investi le responsable du traitement.
  • Aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers (auquel cas il devra prouver que ces intérêts prévalent sur les libertés et droits fondamentaux de la personne concernée)

 

Concernant la sécurité du traitement des données personnelles, le RGPD impose au responsable du traitement de mettre en oeuvre d’autres mesures, relativement à la gravité et au degré de probabilité des risques encourus par une faille de sécurité (destruction, perte, altération, divulgation et accès non autorisé aux données) :

  • Pseudonymisation et chiffrement des données à caractère personnel;
  • Des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et services de traitement;
  • Des moyens permettant de rétablir la disponibilité et l’accès aux données personnelles dans des délais appropriés en cas d’incident physique ou technique;
  • Une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures qui assurent la sécurité du traitement.

 

En outre, le RGPD prévoit d’autres obligations pour ces responsables de traitement :

  • Prouver que les dispositions du RGPD sont bien respectées par eux-mêmes et leurs sous-traitants;
  • Ne traiter que les données personnelles nécessaires à son activité (quantité des données, étendue du traitement, durée de conservation, accessibilité);
  • Garantir que les données ne sont pas rendues accessibles à des personnes non autorisées sans l’intervention du responsable de traitement;
  • Maintenir un registre des activités de traitement;
  • Notifier l’autorité de contrôle et la ou les personnes concernées en cas d’une violation des données;

Dans certains cas, désigner un Délégué à la Protection des Données (voir partie suivante).

Qu'est-ce qu'un Délégué à la Protection des Données (DPD) ?

 

Le RGPD impose aux organisations responsables de traitement de données personnelles de désigner un Délégué à la Protection des Données (DPD), obligatoirement dans les cas suivants :

  • Le traitement est effectué par une autorité ou un organisme public (sauf juridictions agissant dans l’exercice de leurs fonctions juridictionnelles);
  • Les activités de base du responsable du traitement exigent un suivi régulier et systématique à grande échelle des personnes concernées;
  • Les activités de base du responsable du traitement reposent sur le traitement de données sensibles (citées plus haut) ou relatives à des infractions pénales.

 

Les missions du Délégué à la Protection des Données sont les suivantes :

  • informer et conseiller le responsable du traitement et les employés des obligations du RGPD;
  • contrôler le respect des dispositions du RGPD;
  • dispenser des conseils pour réaliser l’analyse d’impact relative à la protection des données (voir partie suivante) ;
  • coopérer avec l’autorité de contrôle et en être le point de contact (voir partie suivante).

 

L’ensemble des dispositions relatives à la désignation d’un DPD ont été précisées par un rapport d’un groupe de travail à la Commission Européenne. La CNIL a également publié un article explicatif à ce sujet. Pour toute information complète sur la désignation d’un Délégué à la Protection des Données, vous pouvez également consulter ce rapport de la Commission Européenne.

Autres dispositions du RGPD

 

Enfin, le Règlement prévoit d’autres innovations en matière de protection des données à caractère personnel:

  • il encourage la création d’un code de conduite (un article plus détaillé est disponible ici);
  • il prévoit dans certains cas la mise en place d’une analyse d’impact (fiche explicative de la CNIL);
  • il dispose de la création de certifications et d’organismes pour les délivrer (fiche explicative de la CNIL);
  • il régule le transfert des données vers un pays tiers ou une organisation internationale (plus d’informations à ce sujet ici);
  • il impose la création d’autorités de contrôle indépendantes et du Comité Européen à la Protection des Données (plus de détails ici);
  • il encadre les voies de recours et les sanctions possibles (fiche explicative de la CNIL).

Quelles actions à mettre en place pour les marques et éditeurs de sites ?

 

Mettre à jour et détailler les conditions d’utilisation et la politique de confidentialité publiée sur le site

Le RGPD impose d’informer clairement les internautes et utilisateurs sur la collecte, le traitement, le stockage et la gestion de leurs données personnelles :

  • Liste des données collectées par l’ensemble du site : noms, prénoms, email, téléphone, adresse postale, adresse IP, etc.
  • Finalité de collecte de ces données : envoi de newsletters et de messages promotionnels, analyse des visites et du comportement sur le site (analytics), affichage de contenus personnalisés, affichages de contenus ciblés (retargeting)
  • La durée de conservation des données : 3 ans maximum pour les données marketing, 6 ans pour les données liées à la facturation et aux  commandes
  • Les mesures de sécurité mises en place pour protéger ces données.
  • Les procédures d’accès, de rectification, de suppression, de récupération et de portabilité de ces données.

Cette page doit être accessible sur l’ensemble du site et mise en avant à chaque fois que des données sont collectées (formulaire).

 

Recueillir le consentement expresse des internautes au recueil et au traitement de leurs données personnelles

Le RGPD impose de recueillir et de conserver avec une preuve tangible le consentement des internautes au recueil et au traitement de leurs données personnelles. Ce consentement doit être donné pour des usages spécifiques (pas d’autorisation globale possible).

Le recueil des données doit être fait dans un contexte où l’information de l’internaute / utilisateur est complète :

  • Quelles données recueillies ?
  • Quels traitements ?
  • Pour quel usage ?
  • Quelles procédures pour modifier, supprimer, récupérer ces données ?

 

Ajoutons que seule la collecte des données personnelles nécessaires au service proposé est autorisée ! Demander de préciser l’âge pour un envoi de newsletter n’est plus autorisé.

 

Assurer la protection et la sécurité des données

Le RGPD impose aux marketeurs, éditeurs et webmasters d’assurer une protection maximale des données.

Pour répondre à cette contrainte, il est conseillé pour les sites web :

  • D’opter et de forcer le protocole de publication sécurisé HTTPS
  • D’assurer la maintenance évolutive et corrective de leur système de publication (CMS)
  • De doter le site de système de défense contre les hacks (injection SQL, scripts XSS, etc.)
  • De migrer les hébergements vers des plateformes proposant une sécurité suffisante

 

Contrôler l’accès aux données collectées

Le RGPD impose de limiter l’accès aux données personnelles aux seules personnes habilitées à le faire. Il est donc indispensable de protéger et d’anonymiser les données stockées par les CMS ou plateformes SaaS.

 

Proposer des procédures d’accès, d’export, de modification et de suppression aux données personnelles

Chaque site doit prévoir une procédure simple permettant aux internautes de :

  • Retirer leur consentement
  • Accéder à leurs données
  • Modifier ou supprimer leurs données
  • Transférer vers un tiers (“droit à la portabilité”)

 

Assurez la mise en conformité de vos supports de communication


 



Staminic news
Toute l'actualité de la communication publique, tech et santé par mail

Nous utilisons des cookies
Nous utilisons un outil de mesure pour recueillir des statistiques sur les visites et comprendre comment vous interagissez avec notre site. Les données recueillies sont anonymes.