Sélectionner une page
Temps de lecture: 8 minutes

Le Règlement européen sur la Protection des Données Personnelles (RGPD ou GDPR en anglais) entre en vigueur le 25 mai 2018. Le RGPD protège les résidents de l’Union Européenne et s’applique à toutes les entreprises ayant des activités de traitements et/ou de manipulation de données personnelles.

 

Rappel des notions de base sur la protection des données personnelles

RGPD.  Depuis 1978, la loi dite loi Informatique et Libertés encadre la protection des données personnelles. Au niveau européen, la directive de 1995 vient encadrer la protection des données à caractère personnel et sera remplacée prochainement par le RGPD. En France, la loi de 1978 sera modifiée pour prendre en compte les apports du RGPD.

Données personnelles. La protection mise en place concerne les données qui permettent d’identifier directement ou indirectement une personne (le nom, le prénom, l’adresse postale, l’email, les coordonnées bancaires, l’adresse IP etc.). Les données qui concernent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé, la vie et l’orientation sexuelle, les données génétiques et biométriques, sont considérées comme sensibles.

Traitement de données personnelles. Il s’agit de toutes les opérations d’organisation ou de classement de données personnelles et effectuées à l’aide de procédés automatisés ou non.

Responsable de traitement et sous-traitant. Le responsable de traitement est la personne chargée de la mise en place du traitement de fichier des données. Le sous-traitant désigne le prestataire de service traitant des données personnelles pour le compte d’un client c’est-à-dire un responsable de traitement. Le règlement responsabilise pour la première fois les sous-traitants.

 

Les grandes nouveautés du RGPD

  • Privacy by design et privacy by default

La protection des données personnelles doit être prévue en amont, c’est-à-dire dès la conception des produits et services (privacy by design) mais également, par défaut, la protection doit être donnée au plus niveau possible (privacy by default)

  • Accountability 

Il incombe à chaque entreprise de mettre en œuvre des règles et des procédures internes afin de pouvoir prouver le respect des règles relatives à la protection des données personnelles. Pour cela, le responsable de traitement doit prendre les mesures techniques appropriées et apporter la preuve que ces mesures ont été prises.

  • Fin de la déclaration préalable à la CNIL 

Jusqu’à la mise en place du RGPD et conformément à la loi Informatique et Libertés, les entreprises doivent procéder à des déclarations préalables auprès de la CNIL et pour certains traitements obtenir une autorisation. Le RGPD met fin à ces déclarations préalables mais accroît en contrepartie les obligations des responsables de traitement.

 

Le RGPD et les actions marketing

  • L’opt-in

Le consentement consiste en une déclaration ou un acte positif. Cela signifie que le consentement doit être clair et donné de manière non équivoque pour un traitement spécifique. Le règlement met fin aux consentements par défaut (cases pré-cochées) ou passifs (opt-out) et privilégie le consentement par l’opt-in. La récolte et l’exploitation des données personnelles devront désormais se faire de manière transparente et explicite. Il incombera au responsable de traitement de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. Le règlement permet désormais à toute personne de faire valoir son droit de rétraction c’est-à-dire de retirer son consentement à tout moment.

  • Le double opt-in

Par le double opt-in, la personne consent une première fois puis une seconde fois en cliquant sur un lien dans le mail de confirmation. Ainsi, la demande d’abonnement à une newsletter ne sera effective que lorsque la personne aura cliqué sur un lien figurant dans un e-mail de confirmation d’enregistrement de la demande. Le RGPD ne rend pas obligatoire le double op-in. Toutefois, il est préconisé par les spécialistes et notamment par le G29 (organe consultatif européen conseillant la Commission européenne qui émet des lignes directrices sur le RGPD).

  • Email marketing et RGPD

Concrètement, la personne désignée comme responsable de traitement au sein de votre entreprise devra prouver que les personnes auxquelles elle a envoyé des emails ont préalablement donné leur accord pour que leurs données soient traitées. En outre, vous devez mentionner à ces personnes toutes les utilisations qui seront faites de leurs données collectées, et obtenir leur consentement. Il est à noter que le règlement s’applique également aux données collectées avant le 25 mai 2018. Cela signifie, que vous devez recueillir à nouveau le consentement des personnes qui avaient déjà consenti au traitement de leurs données.

  • Profilage marketing et RGPD

En ce qui concerne le profilage, le règlement l’autorise sous certaines conditions. Toute personne a le droit de ne pas être soumise à une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative. Le profilage à des fins de marketing est autorisé par le RGPD à condition qu’il réponde aux conditions fixées par le RGPD, à savoir que la personne en soit informée et puisse s’y opposer.

DataViz des articles du RGPD

DataViz des articles du RGPD (cliquer pour voir la dataviz)

 

 

La démarche de conformité à adopter pour le RGPD

  • Cartographier les traitements de données personnelles 

Il convient d’établir la liste de tous les traitements de données personnelles que vous mettez en œuvre. Il vous est conseillé de réaliser un inventaire des traitements et maintenir un document assurant la traçabilité des mesures techniques et organisationnelles afin de prouver à tout moment votre conformité.

  • Désigner un DPO 

Le RGPD prévoit la possibilité d’un délégué à la protection des données (DPO) qui remplace l’actuel correspondant informatique et Libertés. Le DPO assure à la fois une mission de conseil et de contrôle en interne. Sa désignation est obligatoire si vous êtes un organisme public ou bien si votre activité vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions. Néanmoins dans les autres hypothèses, sa désignation n’est pas obligatoire mais recommandée afin d’avoir un pilote de la conformité au sein de votre entreprise.

  • Assurer la transparence et le respect du droit des personnes concernées

Vous devez informer par des mentions claires l’utilisation faite des données personnelles aux personnes concernées et obtenir leur consentement par l’opt-in ou le double opt-in. Vous devez les informer de la possibilité de retirer leur consentement à tout moment et d’accéder à leurs données personnelles, de les faire supprimer et de les faire rectifier.

  • Sécuriser les données personnelles

Votre responsable de traitement doit mettre en place des mesures techniques ou organisationnelles appropriées afin d’assurer la sécurité. Ces mesures doivent prendre en compte la nature, la portée, le contexte et les finalités du traitement mais aussi tenir compte de la gravité du risque pour les droits et libertés des personnes. Le risque d’atteinte aux données doit être anticipé et la sécurisation doit perdurer tout au long de l’existence du traitement. Il incombe également au responsable de traitement d’assurer l’intégrité et la confidentialité des données et empêcher leur accès à des tiers non autorisés.

  • Notifier les violations de données personnelles 

En cas de faille de sécurité ou d’atteinte aux données, votre responsable de traitement doit notifier la violation le plus rapidement à la CNIL (dans les 72 heures dès la connaissance de la violation) sauf si celle-ci ne porte pas atteinte aux droits des personnes. De même, votre responsable de traitement, devra prévenir les personnes concernées dès lors que la violation représente un risque pour elles.

 

Les outils du RGPD pour assurer sa conformité

  • Le registre des traitements

Les entreprises de plus de 250 salariés sont tenues de tenir un registre de leurs activités de traitements. Cette obligation de tenue de registre remplace l’obligation actuelle d’enregistrement que le responsable de traitement doit effectuer auprès de la CNIL.

  • L’étude d’impact

Lorsque vous mettez en œuvre des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devez mener une analyse d’impact sur la protection des données (PIA). Cette évaluation a pour objectif d’identifier et minimiser les risques de non-conformité. Les traitements à grande échelle de données sensibles et les activités de profilage constituent des traitements risqués nécessitant une étude d’impact.

  • Le code de conduite et certification 

Vous pouvez obtenir une certification ou adhérer à des codes de conduite validés par la CNIL, afin de montrer la bonne application du règlement au sein de votre entreprise.

  • Le contrat de sous-traitance et le RGPD

En cas de sous-traitance avec des prestataires, vous devez établir un contrat qui doit définir l’objet et la durée du traitement, la nature et finalité du traitement, le type de données traitées et les catégories de personnes concernées ainsi que les obligations et droits du responsable de traitement.

 

En cas de non-conformité au RGPD

Le RGPD augmente le montant des amendes en cas de non-respect des règles de conformité. Les entreprises contrevenantes peuvent encourir une amende allant jusqu’à 20 millions d’euros, ou 4% du chiffre d’affaire. A savoir, le respect de la protection des données personnelles est un gage de confiance auprès des consommateurs. Une brèche au sein de votre système de sécurité ou une atteinte des données peut être communiquée au grand public et avoir un impact sur la réputation de votre entreprise.