Focus complet sur le mystérieux acronyme. Définition et explications du RGPD par Bouge ta Boite et Caroline Szmukler, Avocat en Droit des Affaires

DÉFINITIONS ET OBJECTIFS DU RGPD

Le RGPD, pourquoi ?

Les dispositions juridiques étaient insuffisantes et peu appliquées pour faire face à un monde orienté BIG Data et e-commerce. Les collectes de données augmentaient considérablement sans moyen de protection adapté.

Alors quelle solution ? Le fameux Règlement sur la Protection des Données Personnelles (RGPD) mis en place le le 25 mai 2018.

Pour en savoir plus : Lien vers la CNIL (cliquez ici).

Le RGPD, quels objectifs ?

PROTÉGER

Protéger efficacement la vie privée des personnes concernées

LUTTER

Lutter contre le piratage et la perte des données en interne ou en externe

RENFORCER

Renforcer la transparence et la loyauté entre les acteurs économiques et les consommateurs

RESPONSABILISER

Limiter les données traitées en imposant un cadre juridique stricte et des sanctions sévères

Le RGPD offre de nouveaux droits aux consommateurs sur la maîtrise des données collectées :

  • Droit d’accès (art 15))
  • De rectification (art 16 & 19)
  • D’effacement (art 17 & 19)
  • De limitation du traitement ( art 18)
  • De portabilité : Toute personne a la possibilité de récupérer une partie des données dans un format ouvert et lisible par machine (…) Elles peuvent ainsi les stocker ou les transmettre facilement d’un système d’information à un autre, en vue de leur réutilisation à des fins personnelles.”  (art 20)
  • D’opposition (art 21) : “La personne concernée a le droit de s’opposer à tout moment (…) à un traitement des données à caractère personnel la concernant.”

(Cliquez ici pour accéder aux articles du RGPD) :

Données personnelles et traitement des données personnelles : qu’est-ce que cela signifie ?

Les données personnelles

« Toute information se rapportant à une personne identifiée ou identifiable » (source : la CNIL)

Nom ; prénom ; n° de sécurité sociale, captation d’image de la personne, genre, goûts, hobbies, orientation sexuelle, adresse personnelle, ses activités, ses numéros de carte bancaire, situation maritale, parcours professionnel, revenus, charges, identifiants de connexion etc

Autrement dit, il s’agit de toutes données précises qui seule ou par leur croisement, permettent de retrouver une personne déterminée.

  • Exclu : ne sont pas concernées les données d’une société immatriculée au RCS (nom de la société et adresse du siège social)
  • Limite : les informations personnelles des dirigeantes ou bien des salariés, sont des données personnelles.

Le traitement des données personnelles

Il s’agit de toute action permettant la connaissance de données personnelles (utilisation de données, la conservation, l’enregistrement, la communication pour transmission…)

Le simple fait de collecter des données personnelles via un formulaire papier, en établissant une carte de fidélité – par exemple – est un traitement de données personnelles (art 2 du RGPD)

Attention : Il ne s’agit pas seulement de données collectées auprès de vos clients directement mais aussi des données collectées indirectement (sous-traitant, partenaires commerciaux, sources accessibles au public …)

Remarque : L’importance de vos obligations dépend du volume et de la sensibilité des données traitées et non de la taille de votre entreprise.

LES ACTEURS DU RGPD : QUI EST CONCERNÉ PAR LA LOI ET LA RÈGLEMENTATION ? 

Des organismes (acteurs) privés ou publics établis au sein de l’UE

Ou traitant de données personnelles de personnes établies au sein de l’UE

Le Responsable de traitement des données

  • Celui qui collecte et traite les données en définissant la finalité et les moyens de traitement et les mesures de sécurité.

Remarque : La loi impose au responsable de traitement un contrôle effectif du sous-traitant.

Votre obligation (art 24 intro) : « Compte tenu de la nature, de la portée, du contexte, et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable de traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. »

Le Responsable conjoint de traitement (art 26 du RGPD)

  • Celui qui définit avec un tiers l’ensemble les données à traiter, les finalités et les moyens du traitement et les mesures de sécurité (Ex : partenariat dans le cadre d’une opération commerciale)

Cela engendre une responsabilité conjointe vis-à-vis des personnes concernées (contrat).

Exemple 1 : un éditeur de site et une société tierce qui dépose les cookies sur le site internet de l’éditeur sont responsables adjoints. En effet, même si Facebook a la maîtrise des cookies qu’il dépose sur le site, c’est l’éditeur qui permet le dépôt pour un paramétrage de son site (en insérant un bouton Like par exemple). 

Exemple 2 : Dans le cadre d’une opération croisée commerciale entre vous et une autre entreprise et si mise en place d’un formulaire, vous êtes deux responsables des données.

Le sous-traitant (art 3-4 ; 28-81 du RGPD)

    • Celui qui traite des données à caractère personnel pour le compte du responsable de traitement. Un sous-traitant ne traite pas avec un autre sous-traitant sans avertir le responsable de traitement.

Remarque : La mise en place d’un contrat est obligatoire pour encadrer le traitement des données communiquées par le responsable de traitement (art 28).

Exemples : Webmaster, intégrateur de logiciels, comptable, hébergeur, agence de communication, …

Quelles sanctions pour les sous-traitants ?  « un sous-traitant n’est tenu responsable du dommage causé par le traitement que s’il n’a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu’il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci ».

LES SANCTIONS ENCOURUES EN CAS DE NON RESPECT DU RGPD

Rappel : La CNIL (La Commission Nationale de l’Informatique et des Libertés)  en France est l’autorité de contrôle appliquant des sanctions effectives, proportionnelles et dissuasives.

Les sanctions croissantes en fonction de l’ampleur du manquement.

  1. Sanctions pour l’absence de documents et les documents trompeurs et illicites
  2. Sanctions graduées par rapport à la violation (mise en demeure, injonction, limitation ou suspension du traitement des données, sanctions administratives)
  3. Sanctions administratives : 2 ou 4 % du chiffre d’affaires mondial ou 10 ou 20 millions d’euros d’amende selon la nature de la violation de l’obligation (appréciation du montant de l’amende selon plusieurs conditions (nature de la violation, gravité, mesures prises par le responsable de traitement, négligence, coopération avec la CNIL, type de données concernées etc)
  4. Sanctions pénales : 5 ans d’emprisonnement – 300 000 € d’amande (art 226-16 du Code pénal)

Quel recours en cas de sanction ? 

Consultez l’art 79 pour en savoir plus sur les recours juridictionnels ou rendez-vous sur le site de la CNIL

Exemple d’une sanction appliquée à une TPE qui ne respecte pas le RGPD

Délibération n°SAN-2019-006 du 13 juin 2019 prononçant une sanction à l’encontre d’une société française située en région parisienne :

20 000 € et publication de la délibération notamment pour la violation de l’obligation d’information des caractéristiques du traitement – problématique en matière de vidéosurveillance.

AVANTAGES DU RGPD POUR VOTRE ENTREPRISE

  • Sceller une relation de confiance entre vous et les personnes concernées (ex. vos clients)
  • Renforcer votre position face aux concurrents – en évitant des condamnations : j’évite de perdre en réputation au regard de mes concurrents.
  • Améliorer votre prospection avec des fichiers à jour et cohérents avec votre activité en limitant le volume de données traitées = gain de temps pour votre activité et optimisation des investissements.
  • Sécuriser les données : je travaille sereinement en sécurisant mon patrimoine professionnel et en limitant les risques d’une lourde condamnation pouvant mettre en péril tout mon investissement humain et économique.
  • Créer un nouveau service de portabilité de données lequel peut être un choix décisif pour des personnes concernées (art 20-1).

RGPD : LA PRATIQUE PAR LE QUESTIONNEMENT

  1. Je fais le point : phase d’audit

  • Quelle est mon activité et de quoi j’ai besoin ?
  • Est-ce que je sais ce qu’est une donnée et le traitement ?
  • Quelles données je stocke et traite ?

✅ Solution : Je fais le tri en reprenant mes supports (formulaire / site internet…), je vérifie les données que je collecte pour les clients : comment je les collecte, directement ou via mon sous-traitant/partenaire … je fais un audit !

  • Est-ce que je traite des données sensibles par rapport à la loi ?

✅ Solution :  Je m’informe, je supprime si je n’en ai pas besoin, je mets en place un dispositif juridique et technique propre aux données sensibles.

  • Si j’ai une faille (perte, divulgation…) des données informatisées ou conservées physiquement, quel impact pour la personne concernée et pour mes sous-traitants et mes partenaires ?

✅ Solution : J’identifie les risques d’une faille (mesures techniques / organisationnelles mis en place) et selon la nature des données et du risque élevé pour les droits et les libertés : je dois réaliser une analyse d’impact (art 35-36)

  • Comment je les collecte, est-ce que j’obtiens leur consentement, est-ce obligatoire ?
  • Quand j’ai des données, est-ce que je les communique à un sous-traitant/partenaire ou quiconque ?

✅ Solution : Je détermine qui a accès à ces données et pourquoi.

  • Quel est l’objectif de collecter des données ?

✅ Solution : Je détermine les objectifs en faisant un audit de mon activité : pour traiter la commande : pour mon service comptable, pour gérer un litige, pour facturer ; pour créer un espace client sur mon site : pour gérer la prospection

2. J’améliore ma situation et je passe doucement à l’action (mesures techniques)

  • Je cesse de solliciter et de conserver des données non-utiles.

✅ Solution :  Ai-je besoin de la date de naissance des enfants de vos clients ? je minimise la collecte des données en supprimant des demandes inutiles de vos formulaires et bases de données (attention mesures techniques spécifiques pour s’assurer de la suppression du serveur)

  • Je minimise le traitement en limitant les accès à des données et les données que l’on me communique
  • Comment m’organiser ?

✅ Solution : Je mets en place un registre de traitement des données (art 30) adapté à mon fonctionnement, à mon activité, à mes objectifs, qui va recenser les données traitées et la finalité, la durée de conservation, mesures pour les sécuriser…

✅ Solution : Je mets en place un système d’effacement des données afin d’en limiter la conservation

3. J’assure les droits des personnes concernées (mesures juridiques)

  • En ma qualité d’acteur économique, est-ce que les personnes concernées connaissent l’étendue de leurs droits (art 12.1), quels documents pour les informer ?

✅ Solution : (mesures juridiques) : politique de confidentialité (art 13) et/ou clauses contractuelles dans les CGV (selon l’étendue de mes obligations) ; mentions allégées ou complètes sous formulaire contact + moyen de prise de contact pour exercer leurs droits (art 12)

  • Dans le traitement de mes données, quelle est ma qualité ? Est-ce que mes contrats sont bien rédigés définissant les obligations respectives de chaque intervenant sur les données ?
  • Est-ce que mon sous-traitant ou partenaire économique a un contrat contenant les dispositions impératives (art 28 du RGPD) ?

✅ Solution : Je fais le point sur les contrats avec mes cocontractants. Je détermine quel acteur je suis et quels acteurs sont mes partenaires économiques et je mets en place des contrats écrits avec mes partenaires économiques avec des clauses impératives.

4. Je mets en place des mesures pour sécuriser les données (mesures techniques)

  • Comment je conserve les données ? Si informatisées, est-ce que j’ai un support technique spécialisé dans le RGPD pour m’offrir des outils adaptés à mon activité et à mon budget ?

✅ Solution : J’identifie mes moyens de conservations des données informatisées et physiques, je fais le point sur mes mesures/process existants pour anticiper un risque de perte ou de faille des données.

  • La paperasse c’est bien mais en pratique, comment éviter la faille ?

✅ Solution : J’’anticipe (préventif) et je sécurise le système informatique et physique pour éviter toute faille en prenant des mesures adaptées au volume : aux modes de collecte (formulaires en ligne, ou boutique en ligne), et à la sensibilité des données traitées (antivirus, logiciel à jour, changement de MP régulier, MP complexe…)

RGPD, EN RÉSUMÉ : QUE DOIS-JE FAIRE ?

Mesures préventives :

  • Mettre en place des outils pour assurer le droit des individus : consultation, rectification ou suppression des données
  • Mettre en place des mesures techniques : pour détecter les atteintes, sensibiliser les salariés sur le sujet.
  • Mettre en place un dispositif de contrôle d’accès.
  • Encadrer les données afin d’assurer une sécurité pour le partage et la circulation des informations
  • Mettre en place des mesures juridiques : politique de sécurité des systèmes d’information / charte informatique – accord de confidentialité.

Mesures curatives :

  • Identifier et communiquer sur l’atteinte (perte de disponibilité, ou de confidentialité de données personnelles, de manière accidentelle ou illicite). Obligation légale de notification.
  1. À la personne concernée si risque élevé (dans les meilleurs délais).
  2. À la CNIL si susceptible de violer les droits des personnes concernées (art 72).

Rappel : Le Responsable de traitement a 72 heures pour informer de la faille. Le sous-traitant doit informer le responsable de traitement dans les meilleurs délais.

  • Identifier l’origine/l’auteur de l’atteinte.
  • Agir contre l’auteur de l’atteinte.

Si un client veut faire jouer l’un de ses droits, qu’est-ce que j’applique ?

  • Je respecte les modalités d’exécution des droits des personnes concernées en dénonçant une faille du système.
  • Je m’organise en interne pour que les personnes concernées exercent leur droit (formulaire contact, mail dédié aux données personnelles) (art 34).

Tout cela me prend du temps sur mon activité comment savoir que je suis toujours en règle et que je continue à respecter le RGPD ?

Je commence par confier cette tâche aux personnes spécialisées et je m’organise en interne et même si je n’en ai pas l’obligation je désigne un Délégué à la Protection des Données (DPO) assurant le respect de la règlementation et jouant un rôle d’intermédiaire avec la CNIL (art 37 à 39).

Comment limiter les dégâts sur mon activité en cas de défaillance et de sanction ?

Le risque zéro n’existe pas. Il est essentiel de limiter les risques en se mettant en conformité et en souscrivant à une assurance professionnelle qui vous couvre sur ce point. 

RGPD : QUI PEUT VOUS ACCOMPAGNER POUR UNE MISE EN CONFORMITÉ SEREINE ?

  • La CNILLa mise en conformité du RGPD est vérifiée par différents organismes de contrôle  de chaque état membre de l’Union Européenne. En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui est en charge de vérifier la bonne application du RGPD.

Le + : La CNIL publie des Guides pratiques pour une bonne application du RGPD. Le dernier en date est celui dédié aux développeurs : Cliquez ici

  • Le site Virtual DPO : Le site vous propose un Délégué de Protection des Données en ligne, mais également des  audits de conformités, la création de registre de traitements ainsi que la rédaction de bilans annuels sur le traitement des données personnelles. 
  • Un juriste en protection des données personnelles :  Ses missions ? Identifier les enjeux et les risques pour l’entreprise dans le traitement de données personnelles (projets, contrats spécifiques…), suivre et contrôler la conformité du RGPD dans l’entreprise,  gérer le registre du traitement des données etc…
  • Un technicien : Pour appliquer correctement le RGPD au sein de votre entreprise, il est conseillé de faire appel à un technicien (spécialiste de la logistique web) en interne ou en externe. Il vous aidera à sécuriser vos données d’entreprise afin d’être en conformité avec le RGPD.

POINTS DE VIGILANCE

  • Même si votre activité implique une mise en conformité moins complexe, il ne faut pas la négliger.
  • Côté prestataires : L’arrivée du RGPD a ouvert des portes à des acteurs du marché. Tout comme le DPO, vérifiez bien leurs compétences et leurs statuts. Faites marcher votre réseau pour identifier les bonnes personnes !

RAPPEL : LES SITES INCONTOURNABLES

 Caroline Szmukler, Avocat en Droit des Affaires.

Caroline Szmukler

Caroline Szmukler est Avocat en Droit des Affaires auprès de la Cour d’appel d’Aix en Provence.

Son Cabinet intervient dans 4 domaines :  droit des sociétés, droit commercial, les données personnelles (RGPD) et droit de la propriété industrielle (marque).

Pour la contacter, rendez-vous sur sa page Linkedin ou sur sa page Bouge ta Boite.

Ces articles peuvent aussi vous intéresser

Avatar
Bouge ta Boite

Bouge ta Boite est le réseau business féminin pour gagner en stratégie, chiffre d'affaires et leadership !