RGPD / GDPR : Plus qu’1 an pour se préparer !

Nouveau règlement sur les données : 25 mai 2018, préparez-vous !

Le 25 mai 2018, la date à ne pas oublier

Dans un an, jour pour jour, le monde des données sera secoué !

Après quatre années de débats et d’intenses campagnes de lobbying, le Règlement Général sur la Protection des Données (1) (RGPD, en anglais GDPR pour General Data Protection Regulation), voté par le Parlement européen et le Conseil le 27 avril 2016, entrera en vigueur.

A l’inverse de la directive européenne qu’il abroge, le GDPR est un règlement, c’est-à- dire qu’il sera d’application directe dès le 25 mai 2018 dans toute l’Union Européenne, sans nécessiter aucune loi de transposition.

Startups, DSI/CIO, CDO, entrepreneurs, grands groupes, vous êtes-vous préparés ? Car dans 365 jours le nouveau règlement nous concernera tous, et vous sera applicable.

La France est certes un des premiers pays à avoir instauré une loi informatique et libertés en 1978, modifiée par la suite en 2004, puis encore récemment avec la loi pour la république numérique. Ce règlement ne manquera pas toutefois de bouleverser un nombre important de principes.

Les personnes physiques se voient accorder de nouveaux droits :

• droit à la portabilité de leurs données d’un service à un autre ;
• une meilleure information de la part des personnes qui traitent leurs données ;
• un renforcement du droit à l’oubli numérique.

Les responsables de traitements et les sous-traitants se voient quant à eux imposer de nouvelles obligations :

• privacy by default and by design ;
• notification en cas de violation de données ;
• analyse d’impact du traitement envisagé avant sa mise en œuvre ;
• obligation de documentation des mesures prises par l’entreprise.

A l’heure de la mise en données du monde, il deviendra de plus en plus important pour des acteurs majeurs du Big Data et de la nouvelle économie d’adopter une approche éthique de l’exploitation des données et de l’utilisation de leurs algorithmes.

Cette vision du monde à venir distinguera demain les différents acteurs du marché. La protection de la vie privée deviendra à n’en pas douter un avantage concurrentiel.

Quelle gouvernance pour les données de demain ?

Voici quelques illustrations de mesures qui impacteront directement votre modèle d’affaires. Se préparer à ce Règlement européen pourrait constituer une fantastique opportunité de montrer vos best practices, par exemple en matière de profilage, de privacy by design, ou encore en cas de violation de données.

• Recueil d’un consentement clair et explicite (Art. 6 et 7)
  Le consentement ne peut qu’être exprimé par un « acte positif clair » par lequel la personne concernée manifeste son accord au traitement des données à caractère personnel la concernant (ex : case à cocher).
  Nb : ça sera désormais au responsable du traitement d’être en mesure de démontrer que la personne concernée a donné son consentement !
  Il est possible de se passer du consentement de la personne concernée lorsqu’il existe, par exemple, un « intérêt légitime » pour le responsable de traitement ou un tiers (art. 49). Lorsque le mineur est âgé de moins de 16 ans, le consentement doit être recueilli auprès du titulaire de l’autorité parentale (art. 8).
• Droits des personnes concernées (Art. 12)
  Obligation de faire droit aux demandes d’accès, de rectification, d’effacement (« oubli numérique »), opposition, sauf si impossibilité de réidentifier la personne, dans un délai d’un mois maximum.
• Droit à la Portabilité des données (Art. 20)
  Possibilité pour l’utilisateur de recevoir et de demander sans entrave le transfert de ses données personnelles vers de nouveaux prestataires, dans un format structuré, communément utilisé, et lisible pour une machine.
• Limitation du recours au Profilage (Art. 22)
  L’utilisateur a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, notamment le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative.
  Il existe toutefois des exceptions si ce traitement est nécessaire à l’exécution d’un contrat entre la personne concernée et le responsable du traitement, ou bien que la décision est autorisée par le droit de l’UE, ou que le consentement explicite de la personne concernée a été recueilli en amont.
• Principe d’« accountability » (Art. 24 et 30)
  Tout responsable de traitement ou sous-traitant a l’obligation de conserver un registre de tous les traitements effectués sous leur responsabilité. Ce registre doit pouvoir être mis à tout moment à disposition des autorités de contrôle afin de vérifier la conformité du traitement avec le règlement. En cas de litige, le professionnel devra démontrer qu’il a rempli ses obligations en matière de protection des données grâce à la tenue de ce registre.
• Privacy by default and by design (Art. 25)
  Dès leur conception vos produits et services devront proposer les paramètres de sécurité les plus protecteurs des données à caractère personnel.
  Par conséquent l’utilisateur devra exercer une action positive s’il souhaite abaisser les paramètres de confidentialité.
• Principe de minimisation (Art. 25)
  Tout site doit appliquer un principe de minimisation en ne rendant publique que les données les moins sensibles. Libre à chacun d’élargir les critères de publicité de son profil.
• Garantie de la protection des données (Art. 32, 33.5, 35)
  Tout responsable de traitement ou sous-traitant doit assurer la protection des données des personnes concernées par le traitement : obligation d’analyse d’impact, suivi par le délégué à la protection des données, obligations particulières pour les données sensibles, obligation de sécurité du traitement des données.
• Notification des violations des données personnelles (Art. 33 et 34)
  Obligation pour tout responsable du traitement et sous-traitant de notifier les violations des données à caractère personnel à l’autorité de contrôle dans les 72 heures puis communication à la personne concernée.
• Règles particulières aux données personnelles VS pseudonymisées VS anonymisées
• Le Data Protection Officer (DPO) (Art. 37 à 39)
  Le délégué à la protection des données a pour mission d’assister le responsable du traitement et le sous-traitant afin de veiller au respect du Règlement, recueillir les informations visant à connaître les opérations de traitement et d’apprécier leur conformité au cadre légal : informer, conseiller et émettre des recommandations au responsable du traitement. Il n’est pas obligatoirement un employé du responsable du traitement.
• Le code de conduite et les certifications (Art. 40 à 42)
  Les acteurs représentatifs d’un secteur d’activité particulier pourront élaborer des codes de conduite. Ceux-ci seront soumis à l’autorité de contrôle locale pour avis, puis publiés. Les entreprises y adhéreront sur une base volontaire, et auront la possibilité de faire certifier leur conformité au code de conduite par des organismes tiers spécialement accrédités à cet effet par l’autorité de contrôle.
  De plus, le Règlement encourage la création de véritables labels, qui permettront à toute entreprise de s’en prévaloir dans ses relations avec les tiers, dès lors qu’elle aura été certifiée conforme au référentiel correspondant par un organisme accrédité.
• Sanctions (Art. 83)
  Un des points sans doute les plus importants : on passe d’un montant maximum de sanctions de 150 000 euros (prononcée une seule fois dans l’affaire Google cars) à des amendes pouvant s’élever à 20 millions d’euros, ou 4% du chiffre d’affaires annuel mondial de l’exercice précédent.

N’hésitez pas à réagir sur Twitter, LinkedIn ou Facebook. 

Vous cherchez votre prochain poste de Data Protection Officer (DPO) ? C’est ici 😉

Vous songez ou voulez recruter un DPO ? C’est juste là

(1) Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE
http://eur-lex.europa.eu/legal- content/FR/TXT/?uri=CELEX%3A32016R0679