Données personnelles : compte à rebours pour se préparer au RGPD

Qu’est-ce que le RGPD?

En Mai 2018, le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans toute l’Union Européenne. Ce nouveau règlement a pour but d’uniformiser ce qui a été fait jusqu’à aujourd’hui en termes de protections des données personnelles, mais également d’élargir la définition de « données personnelles », et d’augmenter les sanctions pour les entreprises ne respectant pas le règlement.

Les sanctions, pouvant aller jusqu’à 4% du Chiffre d’Affaire global pour un montant maximal allant jusqu’à 20 millions, devraient suffire à convaincre les entreprises de respecter le RGPD. De plus, les entreprises européennes ne seront pas les seules à être sanctionnés, car le règlement s’appliquera à toutes les entreprises traitant des données personnelles de citoyens européens.

L’article 4(1) du RGPD définit comme données personnelles les données « tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou un ou plusieurs éléments spécifiques propres à l’identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale de la personne ». Une des nouveautés dans cette définition : la catégorie « identifiant en ligne » comprend les adresses IPs ou les cookies de navigation des utilisateurs, des informations qui n’étaient pas considérées comme personnelles jusque là. Les entreprises utilisant des données personnelles auront également besoin d’un consentement « libre, spécifique, éclairé et univoque » (Art.4.11) de leurs utilisateurs. Ce qui veut dire que les entreprises devront expliquer en détails l’utilisation qui sera faite de leurs données personnelles.

Quelles conséquences pour les entreprises?

Ce nouveau règlement devrait avoir un impact positif sur les consommateurs digitaux. La confiance étant un critère déterminant pour les personnes achetant sur des plateformes e-commerce ou utilisant des services en ligne, savoir qu’un site internet respecte le RGPD ne pourra que rassurer les utilisateurs. C’est par conséquent toute l’industrie du Web qui devrait bénéficier d’une meilleure image. Les entreprises pourront également décider de communiquer sur le fait qu’elles respectent le RGPD, tout en expliquant à leurs clients ce que cela signifie. Les entreprises pro-actives sur les questions de cyber-sécurité pourront ainsi valoriser leurs efforts et en faire un avantage compétitif. En effet, le RGPD rend obligatoire pour les entreprises ayant subi des fuites de données le fait de notifier l’incident à tous leurs utilisateurs dans les 72 heures. Au delà de la menace pour la réputation de l’entreprise, ceci représente une réelle opportunité d’élever son niveau de sécurité face à des cyberattaques.

gpdr-grpd-security-website

Et pour les utilisateurs?

Le RGPD va donner aux individus un plus grand contrôle sur leurs données personnelles. En pratique, ils auront la possibilité de demander à consulter, modifier et même détruire leurs données personnelles. A cela s’ajoute le fait que les citoyens européens n’auront pas à se soucier de la provenance d’une entreprise avant d’utiliser ses services digitaux. Le règlement européen ne s’applique pas uniquement aux entreprises européennes, mais s’étend à toutes celles qui traitent des données personnelles de citoyens européens. Il s’agit également d’une bonne nouvelle pour les entreprises qui n’auront pas à craindre la concurrence déloyale venant de pays basés hors de l’UE.

Les préparatifs

Une chose est certaine : Respecter le RGPD sera moins onéreux que de subir des sanctions financières et de détériorer une image de marque. Pour s’assurer de prendre les bonnes mesures, certaines organisations devront faire appel à des « délégués à la protection des données » (DPO en anglais) et devront effectuer des études d’impact.

Le délégué à la protection des données devra avoir une double expertise légale et technique, afin de pouvoir mettre en place des mesures concrètes garantissants la sécurité et la légalité dans l’usage des données. D’après l’article 37.1 il sera obligatoire d’avoir un DPO lorsque:

  • le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Par exemple, cela signifie que les entreprises opérant des réseaux sociaux, des programmes de fidélité, des boutiques en ligne, ainsi que les assureurs ou les prestataires de santé devront faire appel à un DPO. La mise en place du DPO sera obligatoire quelle que soit la taille de l’entreprise, cependant il n’y a pas d’obligation d’embaucher quelqu’un à temps plein pour le poste. Il est par exemple possible de faire appel aux services d’un cabinet de conseil, ou d’avoir quelqu’un déjà présent au sein de l’entreprise qui endossera le rôle de DPO en plus de ses autres fonctions. Ce dernier cas de figure impose que la personne en question n’ait pas de conflit d’intérêts, comme ce serait le cas pour un Responsable IT qui serait contraint de s’auto-réguler.

Mener une étude d’impact sera obligatoire pour les entreprises se trouvant dans un ou plusieurs des cas suivants (Art.35):

  • l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;
  • le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou
  • la surveillance systématique à grande échelle d’une zone accessible au public.

Des lignes de conduites sont fournies par le RGPD: l’étude d’impact devra définir l’usage des données personnelles, expliquer les projets techniques et légaux en cours et à venir, évaluer le risque dû au maniement de ces données et expliquer de quelles manières ces risques seront mitigés. Bien qu’effectuer une étude d’impact ne soit pas obligatoire pour toutes les entreprises, cela fait partie des bonnes pratiques, et devrait par conséquent être considéré par toutes les entreprises.

Mesures techniques

Le recrutement d’un DPO et la conduite d’une étude d’impact seront une obligation pour certaines entreprises. Cependant, les entreprises sont également encouragées à prendre les mesures nécessaires pour s’assurer que les données en leur possession sont à l’abri, d’un point de vue technique, d’attaques venant de personnes mal intentionnées. S’il est admis qu’aucune entreprise ne puisse être totalement protégée d’attaques extérieures, chacune peut néanmoins veiller à son niveau de cybersécurité. Par exemple, en systématisant le chiffrement de données, ou encore en effectuant des audits de sécurité sur leurs plateformes digitales et leurs systèmes d’information.

Pour conclure, le RGPD devrait permettre de décloisonner les services des entreprises en obligeant les services légaux et techniques à collaborer ensemble. Le DPO personnifie cette double approche en garantissant la cohérence technique et le respect du droit européen dans la gestion des données personnelles. Plutôt qu’une contrainte, le RGPD doit être considéré par les entreprises comme une opportunité de prouver leur respect des bonnes pratiques afin d’améliorer la confiance des consommateurs dans les services faisant usage de données personnelles. A moyen-long terme, c’est toute une industrie qui devrait en profiter, sans pour autant créer une concurrence déloyale avec les entreprises hors UE. Enfin, le RGPD va donner plus de pouvoir aux utilisateurs qui seront mieux informés de leurs droits et de ce qu’il advient de leurs données.

Pour vous accompagner dans votre mise en conformité, Vaadata et le cabinet Haas Avocats ont mis en place la première offre d’audit de sécurité juridique et technique, permettant d’allier les deux expertises dans une seule et même prestation. N’hésitez pas à nous contacter pour en savoir plus à ce sujet.