Règlement général sur la protection des données : dès 2018

À partir du 25 mai 2018, le RGPD (dit règlement général sur la protection des données) ou en anglais GDPR (General Data Protection Regulation) va définitivement entrer en vigueur. Les instances européennes travaillent maintenant depuis près de cinq ans sur cette importante réforme de la protection des données. La directive de 1995 sur la protection des données (directive 95/46/CE) est toujours en vigueur, mais les évolutions technologiques des dernières décennies rendent bien nécessaire une révision et une amélioration de la législation sur la protection des données. En effet, en 1995, Internet n’était alors qu’à ses débuts. Aujourd’hui, la protection des données à l’échelle de l’UE doit faire face au Big Data, à l’industrie 4.0, à la robotique et à l’ intelligence artificielle notamment.

Le règlement européen sur la protection des données sert avant tout un seul but : réglementer et harmoniser le traitement des données de manière uniforme au niveau de l’Union européenne. Ceci soulève deux questions pour les entreprises : quelles sont les nouvelles réglementations ? Et quel impact pour les exploitants et gestionnaires de sites Internet ? Dès que le règlement entrera en vigueur le 25 mai, des modifications devront alors être apportées, notamment pour le commerce en ligne, ainsi qu’au niveau de la protection des données personnelles dans les entreprises ainsi que pour les organismes ou institutions. Si vous n’avez pas encore réussi à vous adapter et à vous conformer au nouveau règlement européen, il est alors grand temps de le faire. Pour vous aider nous vous présentons un résumé de la nouvelle situation juridique ainsi que tous les points importants à prendre en compte et les mesures relatives au RGPD.

Pas de directive mais un règlement

Les lois ou directives européennes prennent en général beaucoup de temps pour s’appliquer, même après une entrée en vigueur officielle. En effet, si une nouvelle directive européenne est adoptée après de longs débats par le parlement à Bruxelles et à Strasbourg, les 28 états membres se voient souvent accorder des périodes transitoires plus ou moins généreuses pour intégrer la loi dans la législation nationale. Ainsi, un temps parfois important peut s’écouler avant la mise en œuvre concrète.

Cependant en plus des directives, il existe un deuxième type de législation européenne : ce sont les règlements. Ces derniers n’offrent pratiquement aucune souplesse en termes de délai d’application. Elles sont juridiquement contraignantes pour l’ensemble des pays membres, et touchent bien entendu les entreprises qui travaillent dans l’espace européen. C’est le cas du RGDP qui est un règlement et non une directive.

En avril 2016, le règlement européen sur la protection des données a été définitivement adopté par le Parlement européen, avec une période transitoire de deux ans et entrera donc en vigueur le 25 mai 2018. A partir de cette date, ce règlement fera office de loi officielle sur la protection des données pour tous les états membres de l’UE, surpassant toutes les législations nationales existantes. Ainsi, toutes les entreprises et autorités publiques qui travaillent avec des données à caractère personnel devront mettre en œuvre sans délai les nouvelles dispositions imposées par l’UE. 

Cependant, cette urgence n’est apparemment pas encore prise en compte par toutes les entreprises ; en effet, une enquête réalisée par le cabinet Censuswide sur la conformité des entreprises avec le RGPD indique qu’à 6 mois de l’entrée en vigueur du règlement européen, seulement la moitié des décideurs IT pensent être déjà en conformité. Cette étude révèle aussi qu’en France une entreprise sur 5 ne respectera pas le règlement lors de son introduction.

Ces chiffres sont assez surprenants compte-tenu des amendes élevées qui peuvent être infligées  en cas d’infraction : jusqu’à 20 millions d’euros ou 4 pourcent du chiffre d’affaire annuel mondial consolidé, ce qui représente des sanctions lourdes pour toutes les entreprises.

Compléments : clauses d’ouverture et nouvelle loi française

Les règlements de l’UE l’emportent sur les lois nationales ou sur le droit des Etats membres, c’est ce que l’on nomme le principe de primauté. Toutefois, le règlement général sur la protection des données comporte certaines clauses d’ouverture qui permettent aux Etats membres d’amoindrir ou de renforcer certaines règles ou dispositions sur la protection des données. Comme par exemple l’article 8 du règlement qui fixe à 16 ans le seuil d’âge à partir duquel un mineur pourra donner son consentement à ce que ses données personnelles puissent être collectés par des entreprises (Snapchat, Facebook etc.), mais laisse cependant aux parlements nationaux la possibilité de descendre jusqu’à 13 ans, chaque pays est ainsi libre de renforcer cette disposition.

En France, il n’y a pour l’heure pas de décision prise à ce sujet. En effet la garde des Sceaux et Ministre de la Justice vient, en décembre 2017, de présenter en conseil des ministres le projet de loi relatif à la protection des données personnelles, dont la mission est bien de s’adapter au droit européen. Le texte devra certainement être encore débattu et donc modifié à l’Assemblée début 2018, notamment concernant ces clauses d’ouverture. Il est donc important de rester informé sur ce sujet.

Mission : unification européenne du droit sur la protection des données

Le règlement général sur la protection des données a pour objectif principal d’harmoniser au niveau européen le cadre juridique relatif à la protection des données. Alors que la directive de 1995 en vigueur dans l’espace européen offrait une certaine souplesse, le nouveau règlement donne lui beaucoup moins de possibilités d’actions unilatérales au niveau national.

Un deuxième domaine essentiel abordé par le RGPD concerne les changements technologiques intervenus au cours des 25 dernières années et les évolutions techniques futures. En effet, de nombreux défis en matière de protection des données sont encore à relever, par exemple au niveau de la collecte des données biométriques auprès des employés qui peut être obligatoire pour certains travaux sur des machines intelligentes. Il existe bien évidemment la tentation d’utiliser ces données à d’autres fins comme notamment pour calculer ou surveiller le rendement. Le nouveau règlement européen devrait également répondre à de tels développements ou de possibles dérives.

Contenu : développer des principes éprouvés

Un résumé du règlement général sur la protection des données doit en premier lieu aborder les changements liés aux données à caractères personnel. C’est notamment là que se produisent les changements les plus importants, et même si ce n’est pas le but originel du règlement européen général sur la protection des données, le RGPD renforce nettement la protection des données des particuliers. Tout un ensemble de paragraphes est destiné à réglementer et à encadrer la collecte de données personnelles d’une manière compréhensible et appropriée.

Par exemple, la responsabilisation des entreprises, le processus de mise en conformité d’une entreprise (accountability) va être étendu : avec le nouveau règlement, des obligations plus contraignantes pour documenter et prouver quelles données une entreprise collecte seront obligatoires, et surtout à quelles fins une entreprise utilise ces données et enfin comment elle les traite. Le règlement général sur la protection des données ordonne avant tout un travail de documentation. Les entreprises qui tiennent déjà un registre des procédures de traitement des données et accordent une importance à la protection de celles-ci peuvent donc facilement se mettre en conformité avec la nouvelle règle. C’est également ici qu’interviennent les BCR (règles internes d’entreprise) ou Blinding Corporate Rules en anglais, qui constituent un code de conduite qui définit la politique d’une entreprise pour le transfert de données personnelles.

Toutefois, dans l’ensemble, le RGPD ne contient pas de réorientation fondamentale sur la protection des données, les principes de bases sont maintenus et sont renforcés ou détaillés. Les plus importants de ces principes sont les suivants :

  1. Interdiction de principe avec réserve d’autorisation : cela signifie que tout traitement de données à caractère personnel et « sensible » est interdit, à moins qu’il ne soit expressément autorisé à la fois par les personnes et par une autorité : en France il s’agit de la CNIL. Ceci a provoqué auparavant de nombreuses controverses et des conflits juridiques. Mais toutes les données n’ont pas la même importance et il existe des donnés jugées « sensibles » comme la santé, les opinions, les origines ethniques, etc. Cependant, selon le RGPD, ce principe d’interdiction s’applique indifféremment à toutes les données personnelles. Il réaffirme donc le principe de la maîtrise par l’individu de ses données, et toute personne dispose ainsi du droit de décider et de contrôler les usages des données à caractère personnel la concernant.

  2. La finalité : les entreprises ne peuvent collecter et traiter les données qu’à des fins spécifiques. Pour ce faire, les objectifs doivent être formulés avant la collecte, et l’utilisation future des données doit être documentée. Par exemple, dans le monde du travail, les données collectés par une entreprise pour rédiger un contrat sont stockées à ce titre et ne peuvent être utilisées à des fins publicitaires. Il s’agit là d’un autre objectif qui nécessite une justification particulière. Les changements d’objectifs ultérieurs ne sont autorisés que dans certaines circonstances.

  3. Minimisation de la collecte : le principe de limitation ou de minimisation de données oblige les entreprises à collecter le moins de données possible. Seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées, le fait de recueillir des données non pertinentes à la finalité énoncée est donc interdit. Ainsi, ce principe interdit la collecte de données « blinde » en mémoire.

  4. Transparence : le traitement des données doit être clairement énoncé et compréhensible pour les personnes concernées. Ceci nécessite d’une part des déclarations de protection de données compréhensibles (des mentions d’information) et d’autre part, les utilisateurs bénéficient de droits étendus grâce aux progrès apportés par le RGPD : comme auparavant, les entreprises doivent fournir des informations sur les données dont elles disposent et sur l’utilisation de ces dernières.

  5. Confidentialité : les entreprises doivent s’assurer qu’elles protègent les données personnelles de leurs clients sur le plan technique et organisationnel, qu’il s’agisse d’une protection contre un traitement non autorisé, d’altérations des données, de vols ou encore de la destruction des données. L’obligation explicite de prendre des mesures techniques pour sécuriser les données est nouvelle. Cependant, ces mesures ne sont pas précisément formulées dans le règlement européen de protection des données ; il existe donc plusieurs interprétations possibles. Dans le cas d’un vol de données, ceci va dépendre de l’adéquation des mesures de protection techniques et d’organisation en fonction du risque et du type de données collectées. 

Les acteurs : entreprises et les délégués à la protection des données

Tout d’abord, le règlement général sur la protection des données est une bonne nouvelle et une avancée pour tous les consommateurs, internautes et utilisateurs de systèmes informatiques. En effet, le RGPD assure une protection accrue. De plus, ce règlement européen affecte également les droits des employés.

Ces règles s’appliquent à toutes les entreprises qui emploient des salariés. Par ailleurs, de nombreuses entreprises sont concernées à plusieurs titres : la protection de la vie privée des employées (protection des données du travail) mais aussi des données clients, fournisseurs ou les utilisateurs des sites Web.

À l’avenir, toutes les autorités publiques et toutes les entreprises dont l’activité principale est liée au traitement de données à grande échelle devront désigner un délégué à la protection des données, qui sera responsable, à l’échelle de l’institution ou de l’entreprise, de tous les sujets en rapport à la protection des données et de la mise en application du RGPD. Selon le règlement européen sur la protection des données, la désignation d’un tel délégué est obligatoire pour les autorités ou organismes publics et pour les entreprises dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle, et/ou dont les activités de base amènent à traiter à grande échelle des données dites « sensibles ». Ainsi, de nombreuses entreprises sont concernées par la désignation d’un délégué, et il peut même être judicieux pour d’autres entreprises de le faire également, afin d’aider et de garantir la sécurité juridique du processus de conformité au règlement général sur la protection des données. 

Le RGPD modifie et encadre fondamentalement le rôle déjà existant au niveau national du Correspondant Informatique et Libertés (CIL). Son champ d’activité est élargi et sa responsabilité augmente. Cette tâche implique beaucoup de travail et le délégué doit se familiariser avec la nouvelle situation juridique. Pour cela, la Cnil offre un aperçu des obligations du délégué à la protection des données, qui est utile pour bien comprendre le rôle de ce dernier. Enfin, il est possible de retrouver sur ce sujet les lignes directrices de l’article 29 sur la protection des données sur les délégués à la protection des données (DPD).

Vous trouverez ci-après un résumé du règlement général sur la protection des données, qui tient compte en particulier des innovations et changements pour les exploitants de sites Web et pour les entreprises. 

Première conséquence : la vigilance pour les entreprises

Même si il n’y a pas de réorientation fondamentale de la protection des données, le règlement européen apporte de nombreux changements dans les détails. Il est impératif que les entreprises en tiennent compte et les intègrent dans leurs processus de travail, dès la phase de construction d’un workflow qui implique des personnes (privacy by design). Sinon, le droit européen n’est pas respecté. Viennent ensuite les nouvelles règlementations les plus importantes auxquelles les entreprises doivent se conformer, en particulier dans le domaine du commerce en ligne :

Sécurité générale des données dans les entreprises

  • Data Protection Impact Assessment (DPIA) : en français, on parle de l’analyse d’impact relative à la protection des données. Les organismes et les entreprises sont tenus d’évaluer les risques, et doivent préciser les mesures de protection en place pour réduire au maximum les risques, notamment lorsqu’une entreprise utilise le Cloud-Computing. En effet, le cloud computing implique souvent la manipulation de grandes quantités de données personnelles. Les entreprises qui stockent des données sur la santé risquent d’être encore plus touchées car ces données sont considérés comme particulièrement sensibles.
  • Données personnelles des employés : la manière dont les entreprises traitent les données de leurs employés est aussi prise en compte. C’est pourquoi le RGPD concerne aussi les ressources humaines, ce département doit donc tenir compte des modifications.
  • Délégué à la protection des données : pour de nombreuses entreprises, avoir un délégué à la protection des données devient obligatoire. Il est responsable du contrôle de la stratégie de protection des données et de la conformité avec le RGPD. Ceci ne s’applique pas uniquement aux entreprises qui travaillent avec des données personnelles à grande échelle. Un institut ou une entreprise qui travaille par exemple avec des données « sensibles », même en faible volume, peut être obligée de recourir à cette obligation.
  • Obligations de sécurité et de notification : le nouveau règlement général sur la protection des données est nettement plus strict sur la manière de traiter les incidents de sécurité. En effet, tout accident de sécurité doit être signalé dans les 72 heures suivant le signalement, aussi bien aux autorités compétentes qu’aux personnes concernées.
  • Responsabilité et amendes : avec cette réforme européenne, les entreprises seront plus facilement être tenues responsables d’incidents ou de violations des données que ces dernières collectent, et ceci implique aussi en conséquence des fortes amendes.

Sécurité des données personnelles

  • Documenter la conformité : le RGPD met l’accent sur la responsabilité des entreprises, plus connue sous le terme d‘accountability. En effet, les entreprises seront obligées de documenter la bonne conformité en matière de protection des données via une documentation interne. Les entreprises doivent être en mesure d’informer à tout moment les autorités compétentes, par le biais d’une liste correspondante, des données stockées, de la finalité et du traitement des données ainsi que la date à laquelle l’entreprise compte supprimer ces données.
  • Privacy by Design : la notion de Privacy by Design signifie que les entreprises doivent dès la conception de la structure technique des processus tenir compte du respect de la protection des données. Il ne sera plus autorisé de mettre en œuvre des mesures de protection de données de manière rétrospective mais doivent les intégrer dès la conception d’un processus, service ou produit. De plus, ces derniers doivent donc être conçus de manière à ce qu’ils requièrent le moins de données personnelles possible (principe dit de « minimisation »).
  • Privacy by Default : ou protection de la vie privée par défaut, cette disposition du règlement européen sur la protection des données stipule qu’en principe, la variante la plus respectueuse de la protection des données doit être techniquement prédéfinie et doit garantir le plus haut niveau de sécurité. Cela afin d’éviter aux consommateurs de se débattre pour obtenir des restrictions sur le traitement des données
  • Transparence et consentement : dans la majorité des cas, les individus devront accepter explicitement l’utilisation de leurs données personnelles à l’avenir. En outre, le consentement de l’employé ou du consommateur n’est valable que pour les objectifs énoncés. De plus, la déclaration de consentement doit être formulée de manière claire et compréhensible et doit en principe être révocable. La révocation doit en principe être aussi facile pour la personne que de donner son accord (consentement). Les exigences au niveau du consentement effectif ont été renforcées dans le cadre du RGPD.
  • Surpression des données : les données personnelles ne peuvent être conservées que pour la durée nécessaire à l’objectif poursuivi. Si l’autorisation de traitement expire (par exemple si le consentement est révoqué), les données doivent être supprimées.
  • Droit d’information et au déréférencement : les citoyens de l’Union européenne ont le droit de savoir, sur demande, quelles données sont détenues par une entreprise et comment elles sont utilisées. De plus, un consommateur peut aussi demander aux entreprises de supprimer les données. C’est notamment le droit au référencement qui est ainsi consacré dans le RGPD.

Deuxième conséquence : les exploitants de sites Web doivent être vigilant

Le règlement général sur la protection des données ne contient pratiquement pas de règles explicites pour l’e-commerce, mais énonce plutôt des principes généraux de la protection des données, dont les sous-domaines sont régis par d’autres lois et ordonnances. Néanmoins, les règles du RGPD apportent aussi quelques innovations pour le commerce en ligne. A ce sujet, pour plus d’informations, vous pouvez consulter les deux sections suivantes.

Ce qui ne change pas

Outre les réglementations susmentionnées pour les entreprises, le RGPD implique finalement peu de changements pour le commerce en ligne. Les thèmes centraux pour les exploitants de sites Web comme les cookies, le suivi des utilisateurs, le spam et le marketing direct ne figurent pas explicitement dans ce règlement.

Mais le RGPD a en effet été complété par un autre règlement du Parlement européen sur la protection de la vie privée en ligne : c’est l’ePrivacy. Le 23 octobre 2017, le Parlement européen a voté la proposition de règlement, qui vise à modifier la directive du même nom qui date de 2002. La date d’entrée en vigueur devrait potentiellement être la même date que celui du RGPD, mais puisque des changements peuvent d’ici là être apportés au processus législatif notamment par la Commission européenne, la date risque fort d’être reportée. En effet, le projet prévoit une exigence de consentement très strict pour les cookies. Et si le texte est définitivement adopté dans son état actuel, il aurait de sérieuses répercussions sur l’utilisation des cookies, le ciblage et la publicité personnalisée. Il faut donc encore attendre de voir comment ce texte va être modifié, il est ainsi peu probable qu’il rentre en vigueur d’ici la fin de l’année 2018. Néanmoins, les exploitants de sites Web et les acteurs de l’e-commerce doivent absolument surveiller l’évolution du règlement ePrivacy dit aussi « vie privée et communications électroniques » puisqu’il vise à renforcer la protection de la vie privée des citoyens européens au niveau du numérique.

Ce qui change

Qu’est-ce qui va changer pour les exploitants de sites Web avec le règlement général de l’UE sur la protection des données ? Voici les principaux changements :

  1. L’obligation de documenter la conformité avec le règlement général sur la protection des données.
  2. Des consentements et autorisations plus complexes
  3. Les principes de Privacy by Design et Privacy by Default
  4. Extension des droits à l’information et au déréférencement (suppression des données)
  5. Le droit à la transférabilité des données
  6. Exigences d’information beaucoup plus étendues (par exemple pour la déclaration de protection des données d’un site Internet)
  7. Interdiction de subordonner le consentement à l’exécution d’un contrat
  8. Amendes très élevées
En résumé

Le consentement à la protection des données et la déclaration de la protection des données doivent être strictement distingués. Le consentement de l’utilisateur qui est requis pour tout traitement de données signifie une confirmation active de l’utilisateur : ce dernier accepte les conditions de protections des données de la part de l’entreprise. La déclaration de protection des données est, par contre, le texte dans lequel l’entreprise explique et présente aux utilisateurs ses mesures de protection des données. Ce texte est obligatoire sur tous les sites Internet.

La principale nouveauté du RGPD pour les exploitants de sites Internet est le consentement au traitement des données. En effet le consentement doit désormais relever d’un « acte positif clair » de la personne avec une liberté de choix. Cela signifie notamment que dans le formulaire une case pré-cochée au consentement va désormais être interdite. Il faut que la personne coche elle-même la case signifiant qu’elle donne son consentement. Il est désormais également prévu que la personne puisse retirer son consentement aussi facilement qu’elle l’a donné. Ce dernier point est une avancée au niveau du droit des données personnelles.

Enfin, les experts considèrent que le fait que l’exécution d’un contrat ne doive pas être subordonnée au consentement est la plus grande restriction imposée par le règlement général sur la protection des données. Ainsi, si vous demandez l’abonnement à une newsletter en même temps que la conclusion d’un contrat (réalisation d’un achat), vous serez en violation avec le future cadre du droit communautaire de l’Union européenne. 

Citation

« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l‘exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

- Art. 7 alinéa 4 du RGPD sur la subordination d’un contrat au consentement (Source : www.privacy-regulation.eu/fr/7.htm)

Au final, il ne faut pas oublier aussi les modifications apportées au niveau de la documentation, des autorisations, du stockage des données, des droits d’informations et enfin du droit de suppression.

Liste des mesures afin de se conformer au RGPD pour les entreprises

Si vous désirez commencer à appliquer le nouveau règlement européen de base sur la protection des données, la première règle est déjà de savoir que les mesures requises varient d’une entreprise à une autre. Cependant, il y a certaines mesures et précautions que toute entreprise doit obligatoirement prendre en compte. Nous les listons ci-dessous :

✔ Etablir une documentation de conformité pour le traitement des données personnelles
✔ Définir une liste des activités de traitement
✔ Etablir des moyens de communications pour les requêtes et demandes des clients et des utilisateurs au sujet de la protection des données
✔ Vérifier si vous devez désigner un délégué à la protection des données
✔ Adapter la politique de confidentialité de votre site Internet à la nouvelle réglementation
✔ Consulter le responsable de votre département technique et le délégué à la protection des données pour déterminer si les mesures techniques actuelles de protection des données sont suffisantes. Dans certains cas, des mesures complémentaires peuvent être prises ou alors il peut suffire de mieux intégrer vos mesures existantes dans l’infrastructure informatique.
✔ Toutes les données personnelles collectées qui violent l’interdiction de la subordination d’un contrat au consentement doivent être collectées différemment et en tant que données fournies de manière volontaire.
✔ Si vous avez chargé des prestataires de services externes (sous-traitance), d’administrer et de gérer les données personnelles de votre entreprise, vous devez préciser avec eux si les accords conclus correspondent à la réforme de la protection des données, et si nécessaire de modifier vos accords pour être en conformité avec les nouvelles spécifications.
✔ Vérifier comment vous obtenez l’accord, le consentement de vos clients dans votre boutiques en ligne et adaptez la procédure en fonction de RGPD.
✔ Rester attentif à l’application du règlement ePrivacy et notamment de sa date d’application car il va réglementer notamment la façon dont les boutiques en ligne peuvent utiliser les cookies et les outils d’analyse
✔ Si vous n’êtes pas sûr, n’hésitez pas à faire appel aux conseils d’un professionnel

Réactions au RGPD : avancées et critiques

La majorité des politiques avaient un avis assez positif lorsque le règlement général sur la protection des données a été adopté. En effet, il apporte une sécurité juridique pour les citoyens, consommateurs et enfin pour les entreprises cela garantit des conditions de concurrence équitables pour l’ensemble des acteurs du marché européen. En France, la Cnil a donné son avis, salue cette nouvelle étape, souligne que le projet de loi joue pleinement le jeu du Règlement et de l’harmonisation, et note que ce cadre « renforce en effet les droits des personnes, responsabilise davantage l’ensemble des acteurs qui traitent des données personnelles ». En revanche, la commission émet quelques critiques et « regrette que d’autres propositions n’aient pas étés retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitement algorithmiques ».