Nous proposons de faire un tour d'horizon du RGPD du point de vue des personnes et des organisations travaillant dans l'IT et impliquées dans le traitements de données à caractère personnels.

A la suite de ce premier billet introductif qui repositionne les enjeux et les acteurs, un exemple de cas d'usage de mise en conformité SI sera publié.

RGPD, de quoi parle-t-on ?

Le règlement général sur la protection des données, ou RGPD, impose un cadre réglementaire Européen unique qui responsabilise les entreprises au sujet des données personnelles. Ce règlement a été adopté par les instances européennes en 2016 et ses dispositions sont applicables depuis le 25 mai 2018 sur le territoire français.

Quel champ d'application pour le RGPD ?

Il s'applique à toutes les organisations et entreprises dans l'Union Européenne, ainsi qu'aux entreprises extérieures à l'UE qui proposent des biens et des services à des résidents de l'Union Européenne.
Il s'applique également à toutes les entreprises, européenne ou non, qui traitent ou détiennent des données personnelles de personnes concernées dans l'Union Européenne.

Cas d'une boutique en ligne basée aux US qui livre dans l'UE.

Quels sont les objectifs du RGPD ?

Le RGPD a trois objectifs principaux :

– Protéger plus efficacement les données personnelles des individus et renforcer leurs droits,
– Responsabiliser les entreprises qui traitent ces données,
– Crédibiliser la régulation en facilitant la coopération entre les autorités et en renforçant les sanctions en cas de non conformité.

Nos entreprises doivent désormais se plier à plusieurs obligations, comme la tenue d'un registre expliquant toutes les données personnelles qu’elles exploitent.

En cas de non respect du RGPD, les sanctions prévues peuvent s’élever selon la catégorie de l’infraction jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, le montant le plus élevé étant retenu.

Qu'est-ce qu'une donnée personnelle ?

Une donnée personnelle est une information permettant d'identifier, directement ou indirectement un individu.

Par exemple :

  • Les données démographiques telles que l'âge ou le nom
  • Les données de localisation telle que le pays de résidence
  • Les données économiques et financières tel que le compte bancaire
  • Les informations sur la vie professionnelle telles que les fichiers employés, les données de connexion
  • Les données de communication, tels que les emails ou les journaux
  • Les données de coordonnées, adresse électroniques
  • Les données sensibles telles que l'opinion politique, les infos de santé ou les infractions pénales

Pourquoi les entreprises sont elles responsabilisées à ce sujet ?

Grâce aux progrès effectués dans les technologies de traitement des données, les entreprises ont un accès sans précédent aux données personnelles.

Parfois cela présente un avantage pour les clients, par exemple dans le cas où les entreprise personnalisent leurs produits afin de répondre aux besoins individuels.
Mais cela présente également des risques, comme la fuite d'information, la mauvaise utilisation (revente, etc.).

Les entreprises Européenne doivent pouvoir prouver que les données personnelles ont été obtenues avec le consentement éclairé des utilisateurs (en les informant précisément de la finalité pour laquelle les données sont exploitées), et démontrer qu’elles ont adopté les mesures de sécurité appropriées en fonction du caractère sensible des données.

Ces obligations s’appliquent aussi aux sous-traitants de l’entreprise impliqués dans le traitement des données (hébergeurs, etc.).

Quels sont les principes de la protection des données personnelles ?

Ces principes visent à garantir que les données personnelles sont :

  • traitées légalement, équitablement et de manière transparente par rapport à la personne concernée,
  • collectées à des fin précises et légitimes, limitées à ce qui est nécessaire,
  • non utilisées au-delà de l'objectif spécifié,
  • exactes et mises à jour si nécessaire,
  • non stockées ou conservées plus longtemps que nécessaire aux finalités définies,
  • protégées par des mesures de sécurité organisationnelles et techniques appropriées.

Comment appliquer le RGPD dans les métiers de l'IT ?

Le RGPD impose des obligations spécifiques à toutes les parties impliquées dans la gestion et l'utilisation des données personnelles.

Dans les métiers de l'IT, les parties prenantes peuvent être distinguées en deux populations, les responsables de traitement des données et les sous-traitants de données.

Le responsable du traitement des données doit définir les finalités, les moyens, les méthodes et les pré-requis du traitement des données personnelles - comprenant la base légale pour traiter les données personnelles -

Le sous-traitant de données travaille ensuite avec les données personnelles au nom et pour le compte du responsable de traitements des données, en suivant les instructions définies par le responsable du traitement des données.

Quelles sont les obligations des responsables de traitement des données ?

Le responsable du traitement des données a plusieurs obligations :

  • Evaluer chaque traitement de données par rapport aux principes du RGPD, y compris en évaluant l'impact "vie privée" si nécessaire
  • Intégrer les mesures de protection de la vie privée à chacune des étapes du cycle de vie du projet
  • Maintenir un inventaire de traitement des données
  • Définir et mettre en oeuvre des mesures de sécurité en fonction du risque et de la sensibilité des données en question
  • Mettre en place des mesure juridiques et de sécurité lorsque des données personnelles sont transférées ou accessibles à partir d'un pays hors de l'Union Européenne
  • Aviser l'autorité de protection des données (la CNIL en France) dans les 72 heures de toute atteinte ou violation à la vie privée ayant des conséquences graves sur les individus

Lors du choix d'un sous-traitant de données, le responsable des données a les obligations suivantes :

  • S'assurer qu'un contrat écrit est en place avant de divulguer des données personnelles aux sous-traitant
  • Ne confier les information qu'à une organisation offrant des garanties techniques et organisationnelles suffisantes de conformité au RGPD
  • Assurer une base juridique appropriée, par exemple contrat ou consentement avec les personnes concernées
  • Assurer la non-divulgation des données personnelles à des tiers qui pourraient les utiliser de manière irresponsables ou illégales
  • Prendre des mesures raisonnables et continues pour assurer la sécurité des données, par exemple en vérifiant régulièrement les dispositions de sécurité des sous-traitants de données

Quelles sont les obligations des sous-traitants de traitements des données ?

Le RGPD impose des obligations spécifiques au sous-traitant de données, dont les plus importantes sont :

  • Traiter uniquement les données personnelles conformément aux instructions documentées par le responsable de traitement des données
  • Passer un contrat écrit avec le responsable de traitement des données et en accepter les instructions
  • Conserver un registre des activités de traitement effectuées pour le compte du responsable de traitement des données
  • Mettre en place des mesures de sécurité adaptées aux risques, telles que stipulées par le responsable de traitement des données
  • Avertir sans délai le responsable du traitement des données des violations de la vie privée
  • Informer le responsable du traitement des données des infractions à la vie privée sans retard excessif
  • Coopérer avec le responsable du traitement des données pour évaluer et documenter la conformité du traitement
  • Informer immédiatement le responsable de traitement des données lorsqu'une instruction est contraire au RGPD
  • Renvoyer et/ou supprimer les données personnelles conformément au contrat

Quels sont les droits des personnes concernées ?

La protection des données à caractère personnel des individus est un droit fondamental.

La relation d'une entreprise avec les personnes concernées s'étend aux étapes de collecte, stockage et traitement des données.

Le respect du droit des personnes concernées est une obligation légale.

Les personnes concernées doivent pouvoir agir sur leurs données

Si des personnes concernées découvrent qu'une entreprise utilise des informations inexactes ou incomplètes à leur propos, elles ont le droit d'obtenir la correction de ces données sans délai indu.

Dans certain cas, les personnes concernées ont également le droit d'interdire la poursuite du traitement de leurs données personnelles. Elle peuvent exercer ce droit si le traitement de leur données est illégal ou s'il existe une objection justifiée.

Les personnes concernées ont le droit de savoir comment leurs données sont stockées et partagées.

Elles ont également le droit de décider la destruction ou l'effacement de leurs données.
Les entreprises doivent bloquer, effacer ou détruire les données quand leur traitement n'est plus nécessaire, si le traitement est illégal, ou si les personnes concernées ont retiré leur consentement.

Les données doivent être transférables

Les personnes concernées ont le droit d'exiger que leurs données leurs soient fournies ou soient fournies à un autre responsable de traitement sous une forme communément utilisée et lisible par une machine

Indemnisation des personnes concernées

Si elles ont subi des dommages à cause d'une entreprise qui n'a pas respecté le RGPD, les personnes concernées ont le droit de réclamer une indemnisation.

Par exemple, dans le cas d'un vol de données personnelles avec utilisation frauduleuse, s'il est montré que l'entreprise victime n'a pas mis en oeuvre les mesures de protection des données appropriés et conformes au RGPD.

Les risques sont financiers mais les entreprises et les individus peuvent aussi être exposées à des sanctions pénales. Les sanctions individuelles dépendent du rôle des individus et de leur part de responsabilité dans la violation du RGPD.

La protection des données hors de l'Europe

Hors de l'Europe le RGPD fait des émules et inspire d'autres zones économiques soucieuses de la protection des données.

On peut citer notamment:

  • CCPA : California Consumer Privacy Act.  Initié en 2018 par la Californie, ce texte a été adopté par de nombreux états Américains et tend à devenir prochainement la règle aux US. Applicable au 1er janvier 2020, il protège le droit de leurs consommateurs.
  • CPISS / CSL : China’s Personal Information Security Specification / Cyber Security Law. Ce texte également connu sous l'acronyme TC260 a été rédigé en 2018, et se concentre sur les données sortant ou à destination de Chine.

Pour aller plus loin...

Voici une courte présentation vidéo du journal "Le Monde" qui répond aux questions suivantes:

Qu'est-ce qu'une donnée personnelle ? Qu'est-ce que que ça change pour les utilisateurs ? Pour les entreprises ? Pourquoi c'est important ?