Le RGPD, ce qu’il faut en retenir

Le Règlement général sur la protection des données (RGPD) entre en vigueur aujourd’hui (25/05/2018), ce texte relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données adopté le 14 avril 2014 est composé de 173 considérants (les motifs de la loi) et 99 articles.

Le RGPD est l’incarnation réglementaire de l’impérative adaptation des textes relatifs à la protection des données personnelles (loi « informatique et libertés » de 1978, directive européenne du 24 octobre 1995 ou encore loi du 6 août 2004 pour la France).

Un acte juridique d’application directe

Le fait qu’il s’agisse d’un règlement est également important. Comme le rappelle vie-publique.fr :

Le règlement européen est un acte juridique, de portée générale, obligatoire dans toutes ses dispositions : les États membres sont tenus de les appliquer telles qu’elles sont définies par le règlement. Le règlement est donc directement applicable dans l’ordre juridique des États membres.

C’est pour cette raison qu’on en parle comme d’un règlement d’application directe. En réalité, en ce qui concerne le RGPD, quelques nuances sont à apporter. En effet, les dispositions du texte prévoient une certaine marge de manœuvre aux États membres en leur proposant des « options » à activer.

978996-lexluthor
Dura lex sed lex

C’est pour cette raison que le parlement discute actuellement d’une loi. Je dis « discute » car à ce jour 60 sénateurs ont saisi le Conseil Constitutionnel pour différentes raisons.

Des données personnelles

L’idée fondamentale du texte est de protéger les « données personnelles » que son article 4.1. définit comme « toute information se rapportant à une personne physique identifié ou identifiable ».

PeDa.PNG
Source : Calimaq – CC BY SA

Le Règlement prévoit ainsi de protéger ce qu’il qualifie de données « sensibles » : qui révèle l’origine raciale ou ethnique, les opinions politiques, religieuses, philosophiques, l’appartenance syndicale, génétiques, biométriques, sexuelles ou de santé. Sauf en cas de consentement, de traitement nécessaire, de sauvegarde des intérêts vitaux, de motifs d’intérêt public ou de traitement par une fondation, association ou organisme poursuivant une finalité politique, philosophique, religieuse ou syndicale. Si la personne concernée rend manifestement publiques ces données, le texte prévoit aussi une exception.

Responsable et délégué

Le texte prévoit que le traitement (les opérations sur les données) des données personnelles échoit à un « responsable du traitement » (et aux sous-traitants). Ce responsable doit désigner un délégué à la protection des données (article 37) s’il est une autorité ou un organisme public (ou si « les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ou ; les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10. »). Ce DPD (DPO pour Data protection officer en anglais) est un référent autonome pour tout ce qui concerne les données personnelles.

Anonymat et pseudonymat

Le RGPD distingue le traitement des données rendues anonymes et des données pseudonymisées. Lorsque les premières ne permettent plus l’identification de la personne concernée (de manière irréversible) alors les données ne sont plus soumis au règlement. En revanche, « les données à caractère personnel qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires » sont, elles, toujours considérées comme personnelles et donc soumises au RGPD.

 

Licéité et minimisation

C’est donc le DPD qui se charge du traitement des données à caractère personnel. Celles-ci doivent être traitées de manière licite (cf. image 2), loyale, transparente et de façon à garantir une sécurité appropriée. Elles doivent aussi être collectées pour des finalités déterminées, explicites et légitimes, minimisées (soit adéquates, pertinentes et limitées), exactes (et tenues à jour si nécessaire) et enfin, conservées pour une durée « n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (est exclu du champ l’archivage ou la recherche).

licite
Source : Calimaq – CC BY SA

L’article 6 dispose que le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Contrairement à ce que l’on peut souvent voir, le consentement préalable n’est qu’une des 6 conditions possibles pour un traitement licite.

Consentement et clarification

L’article 7 ajoute à cette idée de consentement le principe de clarification des CGU : « la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. » Autrement dit, l’utilisateur ne devra plus lire des textes interminables pour être informé de l’usage qui va être fait, par le service, de ses données.

Résultat de recherche d'images pour "I agree"

Cet article dispose également que le consentement doit pouvoir être retiré à tout moment aussi simplement qu’il a été donné mais également que ce consentement doit être donné librement, ce qui pourrait conduire à la fin du chantage au service (« acceptez nos conditions ou supprimez votre compte » – à bon entendeur Mark). Ce principe consacre également le droit à l’effacement des données d’un individu qui s’ajoute au droit au déréférencement existant depuis l’affaire Google Spain.

Démonstration et certification

L’article 7 ajoute aussi l’idée que le responsable doit pouvoir démontrer que la personne a donné son consentement. Cette idée de démonstration est également présente au paragraphe 2 de l’article 5 qui précise que le responsable du traitement est en mesure de démontrer le respect des conditions de traitement.

L’article 24 dispose que  » le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. »

1548834-y_charmed_367_122_404lo
Déléguée à la protection des données tenant son registre (image non contractuelle)

Cette obligation de pouvoir s’assurer et démontrer que des mesures efficaces sont appliquées peut s’incarner dans un code de conduite (art. 40) ou un mécanisme de certification (art. 42). L’article 30 prévoit une autre obligation : le responsable du traitement (ou délégué le cas échéant) doit tenir un registre des activités de traitement.

Privacy by design et privacy by default

Le paragraphe 1 de l’article 25 dispose que « le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées« . En d’autres termes il incombe à l’entreprise d’établir une protection dès la conception mais aussi par défaut.

Le paragraphe 2 du même article dispose que « le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. » Avec le RGPD, le traitement des données personnelles devient une exception et celui des données anonymisées, la norme.

Droit à la portabilité

Le RGPD instaure un nouveau principe, celui du droit à la portabilité. Ce droit permet à un individu de récupérer les données qu’il a fourni. Ces données devront lui être transférée (art. 20) « dans un format structuré, couramment utilisé et lisible par machine« .

Ce droit tout neuf permettra également de (faire) transmettre ses données à un autre organisme sans que le premier puisse y faire obstacle. La CNIL développe cette question dans un excellent texte que je vous conseille.

Applications et sanctions

Les dispositions du RGPD s’appliquent à partir du moment où le traitement est effectué dans le cadre des activités d’un établissement sur le territoire de l’UE. Les données de citoyens européens ne peuvent être transférées que dans des pays avec un niveau comparable de protection (ce qui fait déjà une bonne liste). Les transferts vers les USA sont, quant à eux, encadrés par un accord plus ancien : le Privacy Shield (qui remplace le Safe Arbor depuis le recours de Schrems). Il ne sera pas fait mention ici des BCR qui peuvent permettre aux entreprises de transférer des données.

Une autre nouveauté du RGPD réside dans la sanction puisque l’autorité de contrôle, la CNIL en France, pourra infliger des amendes allant jusqu’à 4% du CA. Cependant, pour les personnes publique la question est encore en suspens (cf. la saisine du Conseil Constitutionnel susmentionnée) puisque l’article 83 prévoit de laisser les États-membres décider individuellement des sanctions concernant les autorités publiques.


Pour une analyse commentée du RGPD article par article, foncez lire le texte de Marc Rees à qui ce billet de blog doit beaucoup.

Pour des bonnes pratiques techniques je vous conseille ce Thread plein de bon sens de Zythom (qui conseille Veracrypt, Keepass, une YubiKey, de séparer les activités pro et perso et de passer sur ProtonMail).

Se préparer en 6 étapes, vous en rêviez, la CNIL l’a fait.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s