Samedi 1 Septembre 2018
Par Yoann DELHAYE, Avocat au Barreau de Bordeaux
RGPD : Les éléments de base à savoir
Le Règlement Général sur la Protection des Données est entré en vigueur en Droit français le 25 mai 2018.
Ce corpus de règles est issu du Règlement UE 2016/679 du Parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant au passage la directive 95/46/CE (règlement général sur la protection des données).
Cette entrée en vigueur n’est pas passée inaperçue du fait du nombre important de publications sur le sujet, et surtout du nombre de mails adressés par les grandes enseignes informant leurs clients des modifications de leurs conditions générales.
Ce règlement a par suite été complété par des normes nationales, au premier plan desquelles l’on trouve la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles, ou encore le décret n°2018-687 du 1er août 2018, outre certaines dispositions spécifiques à certaines activités ou certains process de traitement.
Mais qu’en est-il dans le détail ? Quelles sont les nouvelles obligations mises à la charge des entreprises ? Quelles sanctions en cas de non-respect de ces obligations ?
Le champ d’application de la nouvelle réglementation RGPD
Comme son nom le laisse entendre, le RGPD a pour objectif principal de donner un cadre juridique concernant le traitement des données à caractère personnel qui peuvent être recueillies par un professionnel dans le cadre de son activité.
A qui s’applique le RGPD ?
Le RGPD a vocation à s’appliquer à toute organisation, quelle que soit sa taille ou son statut, public ou privé, qui traite des données personnelles pour son propre compte, pour peu qu’elle soit
établie sur le territoire de l’Union Européenne ou que son
activité cible directement des résidents européens.
Le RGPD s’applique également aux
sous-traitants, c’est à dire des organismes qui traitent des données personnelles pour le compte d’autres structures, elles-mêmes soumises au règlement.
Qu’est-ce qu’une donnée à caractère personnel ?
Les
données à caractère personnel se définissent comme toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement à l’aide d’un nom, d’un numéro d’identification, de données de localisation ou bien un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.
Le RGPD ne
s’applique donc pas aux données recueillies sur les personnes morales ; simplement aux données relatives aux personnes physiques associées ou dirigeant la personne morale.
Le Règlement Général sur la Protection des Données a institué une sous-catégorie de données personnelles : il s’agit des
données sensibles.
Une donnée sensible se définit par son contenu : il s’agit d’une information sur les
origines raciales ou ethniques, les
opinions politiques, philosophiques ou religieuses, l’
appartenance syndicale, la
santé ou la
vie sexuelle d’une personne physique.
Par principe, le RGPD
interdit de recueillir et d’utiliser ces données dites sensibles. Il existe toutefois quelques tempéraments :
- si la personne concernée à donné son consentement exprès pour le traitement de telles données : ce consentement doit être donné par écrit, de façon parfaitement claire et explicite ;
- si ces données répondent à une finalité médicale, ou pour la recherche dans le domaine médical et de la santé ;
- si le traitement de ces données sensibles est justifié par l’intérêt public et autorisé par la CNIL ;
- si ces données concernent des personnes physiques membres ou adhérentes d’une association ou d’une organisation politique, religieuse, philosophique ou syndicale.
Qu’est-ce que le traitement de données à caractère personnel ?
Le
traitement vise quant à lui toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensemble de données à caractère personnel. Le traitement peut donc se définir comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication, la diffusion ou toute autre forme de mise à disposition, le rapprochement, l’interconnexion, la limitation, l’effacement ou la destruction.
Ainsi, par exemple, le fait de tenir un fichier client est un traitement de données, qu’il soit informatisé au simplement tenu au « format papier ».
Seulement, si ce fichier client ne concerne que des sociétés et ne contient aucune donnée relative à ses dirigeants ou associés personnes physiques, il ne s’agit pas d’un traitement de données.
En résumé, je suis soumis au RGPD si :
- mon entité est située sur le territoire de l’Union Européenne OU mon activité cible des ressortissants européens ;
- je détiens ou manipule directement ou indirectement des données sur des personnes physiques dans le cadre de mon activité
Les obligations mises en place par la réglementation RGPD
Le Règlement Général sur la Protection des données implique un certain nombre d’obligations quant au traitement des données que vous détenez.
Ces obligations présentent une double finalité : d’une part informer les personnes sur lesquelles vous détenez des informations personnelles et d’autre part permettre un contrôle des organismes sur le respect du règlement.
Constitution d’un registre de traitement de données
Le registre de traitement de données permet, dans un document unique, de recenser l’ensemble des données que vous êtes susceptibles de détenir et de localiser où vous stockez ces données.
Ce document constitue en quelque sorte la
présentation de votre fonctionnement interne s’agissant des données que vous détenez.
Il existe un certain nombre de modèles de registre disponible, notamment sur le site de la
CNIL.
Simplement, votre structure peut recueillir et traiter des données personnelles au cours de plusieurs missions : les objectifs de traitement et les données peuvent donc varier d’une activité à une autre,
si bien qu’il peut être préférable de créer une fiche par activité au sein du registre.
Sur chacune des fiches, il faut prévoir les mentions suivantes :
- la finalité poursuivie par le traitement de données : traitement des dossiers, édition de documents juridiques ou comptables, fidélisation du client, ressources humaines, etc.
- la nature des données récoltées et utilisées : nom, prénom, date de naissance, adresse, téléphone et mail, etc.
- l’identification des personnes qui peuvent avoir accès à ces informations : secrétaire, chargé de recrutement, service informatique, comptable, hébergeur, etc.
- la durée de conservation des données : la durée de conservation peut être double, à savoir une durée opérationnelle et une durée d’archivage (qui sera généralement d’au moins cinq ans, soit le délai de prescription en justice).
Ce registre, placé sous la
direction du chef d’entreprise ou du dirigeant de la société exploitant l’entreprise, doit être
régulièrement mis à jour pour présenter le plus fidèlement possible le traitement des données au sein de la structure.
Identification des données nécessaires pour le bon fonctionnement de l’entreprise
Le Règlement Général sur la Protection des Données instaure un
principe de proportionnalité dans le traitement des données : l’idée est de ne récolter que les informations dont la structure a besoin pour son fonctionnement.
Ainsi, les informations récoltées doivent
répondre à un objectif pour votre structure. Par exemple, il n’est peut être pas utile de savoir si votre client est marié et s’il a des enfants, si cette information ne vous est d’aucune utilité pour votre activité.
Les données ne doivent pas relever de la
catégorie des données sensibles, sauf si vous relevez des exceptions sur l’utilisation de telles données.
Vous devez ensuite vous assurer que les
personnes ayant accès aux données personnelles sont habilitées pour les traiter, et si elles ont bien la
nécessite d’y avoir accès (par exemple, votre salarié dédiée à la prospection commerciale n’a pas forcément besoin d’avoir accès aux informations sur les personnes ayant candidaté pour un poste dans la structure).
Le
délai de conservation des données est bien nécessaire : vous ne devez pas conserver des données trop longtemps afin d’éviter tout risque de perte de données.
Attention donc, il faut ici individualiser le traitement des données au regard de l’activité que vous exercez dans le cadre de votre structure. Chaque traitement est donc différent d’une entreprise à une autre.
Information aux personnes concernées
Il s’agit là d’une étape incontournable : vous devez informer les personnes dont vous collectez des données personnelles du dispositif de protection que vous mettez en place au sein de votre structure.
Ainsi, vos supports juridiques et commerciaux tels que vos contrats, conditions générales, formulaires, questionnaires, etc. doivent contenir les mentions suivantes :
- la finalité de la collecte de données les concernant : il ne s’agit là de reprendre ce que vous avez mis sur votre registre de traitement des données ;
- le fondement de votre collecte de données : il peut s’agir du consentement de la personne concernée, de l’exécution d’un contrat ou d’une convention, d’une obligation légale, d’un intérêt légitime de votre structure, etc. Là-encore, tout dépend de votre activité et de ses spécificités ;
- l’identification des personnes qui ont accès aux données collectées : il s’agit là de reprendre ce que vous avez mis sur votre registre de traitement de données ;
- le délai de conservation des données collectées : vous reprendrez encore une fois ce que vous avez indiqué sur votre registre de traitement de données ;
- les modalités selon lesquelles les personnes concernées peuvent exercer leurs droits sur ces données, notamment la modification ou la destruction des données, en indiquant à qui elles doivent s’adresser (identification d’une personne ou d’un service précis, voir plus bas) et par quels moyens ;
- si les données font l’objet d’un transfert de données hors de l’Union Européenne, ce qui peut arriver par exemple en cas d’hébergement du site internet ou d’une base de données à l’étranger. Vous devez alors préciser le pays de destination et l’encadrement juridique qui maintient le niveau de protection des données.
Mise en oeuvre effective de l’exercice de leurs droits par les personnes concernées
Qu’ils soient vos clients, vos prestataires ou vos collaborateurs, les personnes dont vous êtes susceptibles de collecter des données ont des droits sur lesdites données : droit d’accès, de rectification, d’opposition, d’effacement, à la portabilité et à la limitation du transfert de données.
Comme exposé plus haut, vous devez cependant
mettre en oeuvre toutes les modalités pour que les personnes puissent effectivement exercer leurs droits :
- formulaire de contact sur votre site internet ;
- communication de coordonnées (spécifiques ou non) pour faire valoir leurs droits (mail, téléphone, etc.) ;
- modification de leur compte en ligne par eux-mêmes.
Ces modalités doivent pouvoir permettre une réaction de vos services dans des
délais relativement rapides (traitement dans le mois suivant la demande).
Bien entendu, il convient d’informer les clients de leurs droits et des modalités de mise en oeuvre, comme indiqué plus haut.
Le Délégué à la Protection des Données
Votre structure peut parfaitement confier à une personne déterminée le soin de mettre en œuvre le RGPD, que ce soit une personne de la structure ou un tiers.
Dans ce cas, celui-ci s’appelle le « Délégué à la Protection des Données ».
Il est obligatoire pour les autorités ou organismes publics, les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou bien les organismes dont les activités les amènent à gérer régulièrement des données sensibles ou relatives à des condamnations pénales et infractions.
Le Délégué à la Protection des Données doit remplir un certain nombre de conditions, notamment sur ses connaissances et son expérience, pour pouvoir prétendre à ce statut réglementé.
Sécurisation des données
C’est le dernier pilier de la protection des données : votre structure doit s’assurer de la
sécurisation des données collectées pour éviter toute perte, vol ou piratage si elles sont stockées sur support numérique connecté.
Il s’agit là d’une obligation légale qui pèse sur votre structure : vous devez garantir l’intégrité de votre patrimoine de données collectées en minimisant les risques d’atteintes auxdites données.
Il ne devrait bien évidemment s’agir que d’une
obligation de moyens puisque le risque zéro n’existe pas. Vous devez ainsi être en mesure de justifier notamment de la mise à jour de vos logiciels de sécurité, de changements de mots de passe ou du chiffrement de vos données dans les cas les plus sensibles.
Il est possible d’assurer le risque de détournement de données, ce qui peut être intéressant en fonction de votre situation personnelle.
Enfin, si votre structure a fait l’objet d’une
violation de données sous quelques formes que ce soit, vous devez le
signaler auprès de la CNIL dans un délai de 72h si cette violation est susceptible de représenter un risque pour les droits et libertés des personnes concernées.
Vous devez également
informer les personnes concernées si les risques sont élevés également pour eux, selon la nature des informations détournées.
L’on peut ainsi résumer l’ensemble des obligations qui pèsent sur une structure soumise au RGPD, de la façon suivante :
- Je ne collecte que les données vraiment nécessaires ;
- Je suis transparent avec les personnes dont je collecte et utilise des données personnelles ;
- J’informe les personnes sur leurs droits et les modalités d’exercice
- Je suis vigilant sur le traitement des données, notamment par des partenaires de ma structure ;
- J’identifie les risques, internes et externes, sur le détournement de données
- Je sécurise les données que je collecte et utilise.
Les sanctions du non-respect des dispositions du RGPD
En cas de non-respect des dispositions du Règlement Général sur la Protection des Données, vous vous exposez à certaines sanctions, lesquelles doivent encore faire l’objet de précisions dans les mois à venir.
Responsabilité vis-à-vis des personnes concernées
C’est le premier échelon de responsabilité : vous devrez répondre de vos manquements s’ils
causent un préjudice à l’une des personnes dont vous traitez des données personnelles.
Ceux-ci devront démontrer un manquement à l’une des obligations qui pèsent sur vous, étant précisé qu’il devrait ne s’agir que d’obligations de moyens (voir plus haut).
A ce titre, l’article 25 de la loi du 20 juin 2018 permet l’engagement de la responsabilité par plusieurs personnes dans le cadre d’une
action de groupe, aux côtés de la CNIL.
Cependant, cette action est largement restreinte puisqu’elle n’est possible que pour les manquements postérieurs au 24 mai 2018, et lorsque les personnes sont regroupées sont forme d’association ou de syndicats.
Responsabilité vis-à-vis de la CNIL
En cas de contravention aux dispositions du RGPD, la CNIL peut notamment prononcer :
- une mise en demeure de se mettre en conformité avec les obligations visées par le règlement ou bien d’intervenir sur les données aux fins de rectification, de limitation ou d’effacement ;
- un rappel à l’ordre ;
- une injonction de mettre en conformité le traitement qui peut être assortie d’une astreinte d’un montant maximal de 100.000 € par jours de retard ;
- une limitation ou une interdiction du traitement, le retrait d’une autorisation spécifique relative à la protection des données ;
- le retrait d’une certification ;
- la suspension de flux de données adressés à un destinataire situé dans un pays tiers ou à une organisation internationale ;
- une amende administrative plafonnée selon les cas à 10 ou 20 millions d’euros.
Toutefois, les modalités de contrôle sont encore à parfaire ...
Le droit relatif au RGPD n’est donc que naissant et il faudra suivre avec une attention particulière les réformes et adaptations à venir, mais aussi les décisions de justice qui alimenteront le texte et les débats.