RGPD : pour moi aussi ?

La réponse est oui, mais pas de panique !

Le RGPD (ou Règlement Général sur la Protection des Données) est le règlement n°2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données.

Toute entité privée ou publique, quels que soient sa taille, son pays d’implantation et son activité, est concernée dès lors qu’elle traite des données à caractère personnel, de façon automatisée ou manuelle.

Néanmoins, la plupart des exigences du RGPD sont déjà applicables en France depuis plusieurs années, sur le fondement de la loi informatique et libertés de 1978. Dès lors, les efforts de mise en conformité au RGPD des petites entités devraient être minimes, surtout qu’elles traitent un faible volume de données personnelles et, à l’exception des professions médicales et de certaines associations, qu’elles ne traitent pas de données sensibles.

Le RGPD poursuit principalement deux objectifs :

harmoniser et renforcer au sein de l’Union Européenne les libertés et les droits fondamentaux des personnes physiques ;
responsabiliser les acteurs du traitement sur la protection des données personnelles dès leur collecte, en passant d’un système de formalités préalables (autorisation et information de la CNIL) à une logique de conformité continue (s’assurer soi-même et en permanence du respect de ses obligations et des droits des personnes physiques).

Les données

Données à caractère personnel (ou données personnelles)

C’est toute information se rapportant à une personne physique identiﬁée ou identiﬁable.

L'identification est :

directe ou indirecte ;
à partir d'une seule donnée ou du croisement de plusieurs données :

nom • prénom • numéro d'identification • données de localisation • identifiant en ligne • un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale • voix • image • ...

Le RGPD ne concerne pas les données d'identiﬁcation de personnes morales.

Données sensibles

Les données sensibles sont :

données qui révèlent l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale ;
données génétiques ou biométriques ;
données concernant la santé ;
données concernant la vie sexuelle ou l'orientation sexuelle d'une personne.

Le traitement des données sensibles est interdit, sauf exceptions prévues par le RGPD (comme par exemple les données de santé pour les professions médicales).

Même si le NIR (Numéro d’Inscription au Répertoire, plus connu sous le numéro de sécurité sociale) n'est pas une donnée sensible, son utilisation n’est pas totalement libre. Elle doit être autorisée par décret (non paru à ce jour), ce qui devrait être le cas pour l’établissement de la paie et des déclarations sociales et ﬁscales.

Traitement

C'est toute opération out ensemble d'opérations :

automatisées ou manuelles ;
portant sur des données personnelles ou un ensemble de données personnelles.

collecte • enregistrement • organisation • structuration • conservation • adaptation • modification • extraction • consultation • utilisation • communication par transmission • diffusion • toute autre forme de mise à disposition • rapprochement • interconnexion • limitation • effacement • destruction.

Un traitement de données personnelles n’est pas obligatoirement informatisé. Les ﬁchiers papier sont aussi concernés.

Responsable du traitement

C’est la personne qui, seule ou conjointement avec d'autres, détermine les ﬁnalités et les moyens du traitement. Dans une petite entité, c’est souvent le dirigeant.

Sous-traitant

C’est la personne qui traite des données personnelles pour le compte du responsable du traitement.

Les principes

Une collecte pour une ou plusieurs finalités précises

Chaque traitement de données personnelles doit être mis en œuvre dans un ou plusieurs buts précis et clairs, de surcroît légaux et légitimes au regard de l’activité professionnelle exercée. Il n’est pas possible de traiter ultérieurement ces données d’une manière incompatible avec ce ou ces buts.

Les droits des personnes physiques

Concernant ses données personnelles, une personne physique dispose de :

un droit d’être informée de leur traitement et de sa finalité ;
un droit d’accès ;
un droit de rectification ;
un droit d’effacement (ou « d’oubli ») ;
un droit à la limitation ou d’opposition au traitement ;
un droit à la portabilité.

Une collecte limitée au strict nécessaire

La collecte doit être circonscrite aux données strictement nécessaires à la réalisation du ou des buts originels. Il n’est pas possible de collecter des données personnelles simplement au cas où cela serait utile un jour.

Des données exactes

Toutes données personnelles inexactes doivent être rectiﬁées sans tarder ou à défaut effacées (sous réserve des obligations de conservation imposées par la loi).

Un traitement licite et transparent

Pour qu’un traitement soit licite, il faut que la personne concernée (ou son représentant légal si elle est un mineur de moins de 15 ans) ait donné son consentement au traitement de ses données personnelles pour une ou plusieurs ﬁnalités. Ce consentement doit avoir été exprimé de manière explicite, sous une forme compréhensible en des termes clairs et simples. Il doit s’agir d’un acte positif clair, et non d’un acte passif.
Il existe aussi des situations où le consentement de la personne concernée n’est pas exigé. Il faut néanmoins que le traitement soit nécessaire :

à l’exécution d’un contrat auquel la personne concernée est ou sera partie (par exemple les coordonnées d’un prospect pour faire un devis, les informations pour rédiger un contrat de travail…) ;
au respect d’une obligation légale à laquelle le responsable du traitement est soumis (par exemple le traitement DSN, le remplissage du registre unique du personnel…) ;
à la sauvegarde des intérêts vitaux de la personne concernée (par exemple chez un médecin, les antécédents médicaux d’un parent…) ;
à la préservation des intérêts légitimes du responsable du traitement (par exemple une mise en cause de sa responsabilité civile le temps de la prescription, le transfert de données à l’intérieur d’un groupe…).

Une conservation sous conditions

La conservation doit permettre l’identiﬁcation de la personne concernée pendant une durée n’excédant pas celle nécessaire au regard des ﬁnalités pour laquelle elles sont traitées.

Des données sécurisées

Le traitement doit garantir une sécurité appropriée (intégrité et conﬁdentialité) de façon à éviter notamment tout traitement non autorisé ou illicite, le vol, la destruction ou les dégâts d’origine accidentelle.

Vos obligations

Informer la personne concernée du traitement

À chaque collecte de données personnelles, y compris lorsque le consentement n’est pas exigé, la personne concernée doit être informée du traitement, notamment de sa ﬁnalité, des fondements juridiques de la collecte, des destinataires du traitement et de ses droits.
Les mêmes règles prévalent, en principe, lorsque la collecte n’est pas réalisée auprès de la personne physique concernée elle-même mais auprès d’un tiers (administration, autre site internet…).

Une information collectée pour un ou plusieurs buts ne peut pas faire l'objet d'un traitement à d'autres fins sans que la personne concernée en ait été préalablement informée.

Tenir un registre des activités du traitement

Le responsable du traitement et le sous-traitant, chacun de leur côté, tiennent un registre des activités de traitement qui comporte les ﬁnalités du traitement, les personnes concernées, les destinataires, une description des mesures de sécurité techniques et organisationnelles…

Faire une analyse d'impact relative à la protection des données

La CNIL a déﬁ ni neuf critères de risque (notation d’une personne, données sensibles, surveillance systématique des personnes, personnes vulnérables…). Si le traitement de données répond à deux de ces neuf critères, le responsable du traitement doit en principe conduire une étude d’impact sur la protection des données avant de commencer les opérations de traitement. Cette étude, très rare dans les petites entités, fait apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

En cas de risque élevé, le responsable du traitement doit consulter la CNIL avant de mettre en œuvre ce traitement. Cette dernière pourra s’opposer au traitement à la lumière de ses caractéristiques et de ses conséquences.

Notifier à la CNIL une violation de données personnelles

Lorsqu’une violation de données personnelles est constatée, elle doit être notiﬁée à la CNIL dans les 72 heures, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques concernées.

Une violation engendre un risque lorsqu’elle cause aux personnes concernées des dommages physiques, matériels ou un préjudice moral tels qu'une perte de contrôle sur leurs données personnelles, une discrimination, un vol ou une usurpation d'identité, une perte ﬁnancière, une perte de conﬁdentialité…

Communication aux personnes concernées d'une violation de leurs données personnelles

L’information des personnes concernées est requise dans les meilleurs délais si cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette communication s’opère en des termes clairs et simples. Elle décrit aussi la nature de la violation de leurs données.

La conformité en 4 étapes

Recenser les fichiers de données personnelles
Objectifs :obtenir une vision d’ensemble des traitements de données et déceler certains risques et/ou certaines non-conformités.
Créer un registre des traitements qui comprend une liste des traitements et pour chaque traitement une ﬁche descriptive.
Les traitements ponctuels n'ont pas à y figurer.
Faire le tri dans les données
Objectifs : minimiser la collecte et se conformer aux obligations du RGPD.
Pour chaque traitement, vériﬁer que les données collectées sont utiles au regard de la ou des ﬁnalités exprimées, que leur traitement est nécessaire à l’activité, qu’il ne vise pas des données sensibles, ou si tel est le cas, que leur traitement est permis au regard de l’activité, que le délai de conservation est raisonnable.
Respecter les droits des personnes
Objectifs : informer les personnes concernées et leur permettre d’exercer facilement leurs droits.
Analyser la nécessité d’obtenir leur consentement pour traiter les données personnelles.
Mettre en oeuvre les modalités :
• d’information des personnes concernées sur le traitement de leurs données personnelles ;
• d’exercice de leurs différents droits.
Sécuriser les données
Objectifs : garantir l’intégrité des données et minimiser les risques de pertes ou de piratage.
Analyser la sécurité des données personnelles contre les risques externes ou internes d’accès illégitime aux données, de modiﬁcations non désirées de données, de disparition ou de destruction volontaire ou involontaire de données… (sécurité du système informatique, sauvegarde, flux, supports, protection contre l’incendie et les inondations…).
Classer les risques et prioriser les actions correctives (antivirus, ﬁrewall, authentiﬁcation…).

Quelques conseils

Agir dans l'urgence ne résout rien

Certes, le RGPD entre en application le 25 mai 2018. Et même si la loi de transposition d’une partie de son contenu (notamment les options laissées aux Etats membres de l’Union Européenne) était votée avant cette date, les décrets d’application ne seront, quant à eux, pas encore publiés.

« Il faut en ﬁnir avec l’alarmisme sur le RGPD ! Avec ce guide (voir en bas de page), nous voulons montrer aux PME que se mettre en conformité, c'est facile en adoptant simplement de bons réflexes... Enfin, un couperet ne va pas tomber sur les entreprises le 26 mai. »
Isabelle Falque-Perrotin, Présidente de la CNIL

Faire preuve de bon sens, de prudence et d'une bonne organisation

Quelle entreprise, quelle association ne collectent pas de données personnelles de personnes physiques ? Cependant, cette collecte est très souvent mineure.

Une donnée personnelle ne doit être collectée que dans un but précis, utile et licite. La personne concernée doit avoir donné son consentement, sauf disposition légale contraire, ou à tout le moins, être informée du traitement et de son objectif. Elle doit pouvoir faire valoir ses droits. La donnée doit être conservée et sécurisée contre toute malveillance ou destruction involontaire.

Dès lors la première et principale priorité est la sécurité informatique aﬁn d’éviter les intrusions non autorisées et les pertes de données fortuites.

Etre vigilant

Le RGPD paraît complexe. La presse en dramatise parfois les enjeux et les risques. Des consultants et d’autres intervenants saisissent l’opportunité de nouvelles missions. Certains sont sérieux et compétents, d’autres nettement moins. Ceux-là appuient leurs démarches commerciales sur un marketing de la peur. C’est pourquoi la CNIL appelle à la vigilance au sujet d’acteurs peu scrupuleux proposant des prestations excessivement coûteuses ou générant des appels surtaxés.

La CNIL recommande plutôt, avant de signer tout contrat, de commencer par s’informer pleinement du sujet pour connaître les premiers éléments de langage en vue d'échanger avec d’éventuels prestataires.

Le site de la CNIL propose : www.cnil.fr

un « guide pratique de la sensibilisation au RGPD », spécialement conçu pour les petites et moyennes entreprises, ainsi que trois ﬁches « sachez que faire quand votre entreprise communique et/ou vend en ligne », « améliorez et maîtrisez votre relation client » et « protégez les données de vos collaborateurs » ;
sous le menu « règlement européen » de nombreux outils comme des foires aux questions, un modèle de registre des traitements, un modèle d’étude d’impact (PIA), un formulaire de notiﬁcation de violation de données…

Le RGPD, pour moi aussi ?