Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, dit « RGPD » est entré en vigueur depuis le 25 mai 2016, bien que son application ait été différée au 25 mai 2018.

Ce Règlement change considérablement le paradigme de la protection des données à caractère personnel en imposant de passer d’un système globalement déclaratif, à un système de gestion interne de la conformité, au travers d’une documentation qui devra être fournie et détaillée.

Ce changement de modèle s’accompagne d’une augmentation substantielle des amendes administratives qui pourront atteindre, selon la catégorie de l’infraction, 10 ou 20 millions d’euros, ou 2 % à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Ces sanctions sont considérables lorsque l’on sait que les exigences du RGPD relatives à protection des données à caractère personnel ont vocation à concerner toutes les entreprises, y compris les TPE-PME, et quand bien même leur activité principale serait sans lien avec la collecte ou la gestion de données de personnes physiques.

En effet, le RGPD s’applique à tous les traitements (ex. : collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification) de données à caractère personnel, lesquelles sont définies comme « toute information se rapportant à une personne physique identifiée ou identifiable » (ex. : nom, un numéro d’identification, des données de localisation, un identifiant en ligne).

Or, toute entreprise traite au minimum des données de ses salariés, de ses clients, voire de ses prospects.

Pourtant, les derniers baromètres publiés montrent que plus d’un tiers des entreprises françaises ne pensent pas être conformes au 25 mai 2018. De même plus d’un tiers d’entre elles annoncent qu’elles n’ont pas débuté la cartographie des données personnelles qu’elles détiennent et traitent, cartographie qui est nécessairement le premier pas vers cette mise en conformité.

Néanmoins, il est encore temps de commencer sa mise en conformité, pas à pas, sereinement et avec méthodologie. Nous évoquerons les grandes étapes de cette méthodologie (II) après avoir évoqué les évolutions essentielles apportées par le RGPD en matière de protection des données à caractère personnel (I).

1. Les évolutions essentielles apportées par le RGPD en matière de protection des données à caractère personnel

De manière synthétique (rappelons que le RGPD est constitué de 173 Considérants et de 99 articles), les principales évolutions sont les suivantes :

• Le champ d’application territorial du règlement est élargi : le RGPD s’appliquera chaque fois qu’un responsable de traitement [1] ou sous-traitant [2] sera établi sur le territoire de l’UE, quel que soit le lieu du traitement, mais aussi chaque fois qu’un responsable de traitement ou un sous-traitant hors UE effectuera un traitement ayant pour finalité d’offrir des biens ou des services, ou de suivre le comportement de personnes, qui se trouvent sur le territoire de l’UE.

• Comme indiqué ci-dessus, le RGPD repose sur une logique de responsabilisation des acteurs traitant les données, dite « accountability » : l’entreprise responsable de traitement et le sous-traitant devront vérifier en continu qu’ils assurent la conformité de leurs traitements au Règlement, et documenter cette conformité.

• Une des grandes innovations du RGPD est en effet le remplacement des obligations déclaratives auprès de la CNIL par la tenue par le responsable du traitement d’un registre des activités de traitement effectuées sous sa responsabilité. Le registre se présente sous une forme écrite, y compris sous forme électronique, et doit être mis à disposition des autorités de contrôle sur demande (CNIL en France).

L’obligation de tenue de registre ne s’appliquent aux entreprises de moins de 250 employés, « sauf si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données (données dites « sensibles ») ou sur des données à caractère personnel relatives à des condamnations pénales et à des infractions ». Chaque TPE/PME devra donc vérifier si elle a ou non l’obligation de tenir un registre des activités de traitement, étant entendu que même non obligatoire, la tenue d’un tel registre reste préconisée afin de permettre à l’entreprise de documenter sa conformité aux autres obligations imposées par le RGPD.

• Le « CIL » (Correspondant Informatique et Libertés) dont la désignation au sein des entreprises était optionnelle est remplacé par un « DPO » ou « DPD » (Data Protection Officer ou Délégué à la Protection des Données) dont la désignation peut être obligatoire dans certaines hypothèses. Tel sera le cas en cas de suivi régulier et systématique à grande échelle de personnes (ex. : profilage, lutte contre la fraude, publicité comportementale, appareils connectés, etc.), ou en cas de traitement à grande échelle de catégories particulières de données (données dites « sensibles »). Hors de ces hypothèses, la désignation d’un DPO reste vivement encouragée par la CNIL afin de faciliter la mise en conformité au RGPD, étant précisé que le DPO peut exécuter d’autres missions et tâches, à condition que celles-ci n’entraînent pas de conflit d’intérêts. Il semble par ailleurs que dans le cadre global de l’« accountability » voulue par le RGPD, l’absence de désignation d’un DPO devrait être documentée.

• Toute « violation » de données à caractère personnel, définie comme « la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel, ou l’accès non autorisé à de telles données » devra faire l’objet d’une notification à la CNIL 72 heures au plus tard après en avoir pris connaissance. De plus, si cette « violation » de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement doit en informer chaque personne concernée dans les meilleurs délais, sauf exceptions. Le responsable doit conserver une trace documentée de chaque violation indiquant son contexte, ses effets et les mesures prises pour y remédier.

• Le Règlement réserve une place importante à des mécanismes tels que les codes de conduite et la certification. L’application d’un code de conduite ou l’obtention d’une certification pourra être utilisée pour démontrer le bon respect par le responsable de traitement ou un sous-traitant de ses obligations en matière de protection de données, de garanties apportées par un sous-traitant ou de l’obligation de sécurité des données.

• Alors que seules les notions de responsable de traitement et de sous-traitant existait, le RGPD ajoute la notion de « responsables conjoints du traitement », afin de prendre en compte les hypothèses ou deux entreprises, quel que soit par ailleurs leurs rapport, déterminent conjointement les finalités et/ou les moyens d’un seul et même traitement. Ce statut impose alors la signature d’un contrat définissant de façon transparente les obligations respectives des parties, notamment en ce qui concerne l’information des personnes concernées par le traitement et les modalités d’exercice de leurs droits. Le sous-traitant voit ses obligations et son régime de responsabilité rapproché de celui du responsable de traitement. Et le RGPD impose au responsable du traitement de faire uniquement appel à des sous-traitants qui présentent des « garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée » [3]. Les relations entre le responsable de traitement et le sous-traitant doivent être contractualisées, et le RGPD liste les éléments devant obligatoirement figurer dans le contrat.

• Le RGPD renforce les droits des personnes à l’égard du traitement de leurs données à caractère personnel. D’une part, il y a une augmentation du devoir de transparence, et d’autre part, la reconnaissance de nouveaux droits : droit à l’effacement ou droit à l’oubli, droit à la portabilité des données (qui trouvera notamment à s’appliquer dans le secteur des banques et des assurances).

• Le RGPD prévoit que les personnes concernées doivent être informées du traitement de leurs données à caractère personnel. La liste des informations à fournir varie selon que les données à caractère personnel sont collectées directement auprès de la personne concernée (collecte directe [4]) ou non (collecte indirecte [5]). Dans tous les cas, l’information doit être faite « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

Enfin, si le RGPD ne modifie pas les différentes conditions de licéité du traitement [6] définies jusqu’alors, celui-ci modifie les conditions d’obtention du consentement, et l’interprétation de la notion d’intérêts légitimes du responsable du traitement. L’article 4 dispose en effet que le consentement correspond à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Le consentement doit en outre porter sur « une ou plusieurs finalités spécifiques » (article 6). Le responsable du traitement doit encore faciliter l’exercice des droits conférés à la personne, de sorte qu’il est expressément prévu qu’il doit être aussi simple de retirer que de donner son consentement.

Si le consentement n’a pas été donné selon les conditions désormais fixées par le RGPD, il sera alors nécessaire d’obtenir un nouveau consentement conforme aux nouvelles dispositions légales : recueillir l’accord explicite et éclairé des personnes, et être en capacité d’en apporter la preuve.

2. Méthodologie de mise en œuvre de la conformité

Cette liste de changements a de quoi effrayer, mais que chacun se rassure, la mise en conformité est avant toute une question de méthodologie. La CNIL a par exemple publié sur son site internet une feuille de route pour se préparer en 6 étapes [7].

Cette obligation de mise en conformité peut d’ailleurs être appréhendée comme une chance de faire le point sur les données que l’entreprise possède déjà, l’utilisation qui en est faire, et pourquoi pas l’optimisation de celles-ci.

Comme à l’aune d’un déménagement : on fait le tri, et on jette, on range, on réorganise, bref on optimise ! Il est impératif de commencer par un audit pour réaliser une cartographie des données et traitements existants.

Naturellement, la conduite de cet audit nécessite la constitution de l’équipe qui sera impliquée dans ce projet de mise en conformité, équipe qui doit être transversale afin d’associer la direction, les ressources humaines, les services techniques (interne ou externe), le marketing, la communication, etc. En outre, un « pilote » ou « chef d’orchestre » [8] de cette équipe devra être désigné.

L’audit a pour objet principal d’identifier :

• les traitements de données à caractère personnel mis en place ;
• les catégories de données à caractère personnel traitées ;
• les objectifs/finalités poursuivis par les opérations de traitements ;
• les durées de conservation des données ;
• les acteurs (internes ou externes) qui traitent ces données ;
• les destinataires des données ;
• les transferts de données personnelles (en particulier hors UE) ;
• les mesures de sécurité technique et organisationnelles mises en place ;
• les informations données aux personnes concernées ;
• la gestion interne de l’exercice de leurs droits pas les personnes (accès, rectification, suppression)

Cette phase permettra notamment de poser les questions suivantes (et d’y répondre) :

• quelles est l’origine des données en notre possession ? avec qui les partageons-nous ?
• avons-nous une cartographie des données personnelles que nous traitons ? applications, bases de données, datacenter, cloud ?
• avons-nous une base légale pour chacun de nos traitements ?
• comment informons-nous les personnes concernées par les traitements sur leurs droits ?
• si la base légale est le consentement, pouvons-nous prouver ce consentement ? celui-ci a-t-il était donné dans les conditions prescrites par le RGPD ? faut-il obtenir un nouveau consentement ? les personnes peuvent-elles modifier leur consentement ?
• respectons-nous les finalités des traitements ?
• avons-nous des données « sensibles » ? avons-nous des données relatives à des enfants ?
• effectuons-nous du « profilage » ? des interconnexions entre les fichiers ?
• devons-nous désigner un DPO ? tenir un registre des traitements ?
• nos traitements présentent-ils des risques sur les droits et libertés des personnes physiques ? devons-nous en conséquence effectuer une analyse d’impact ?
• avons-nous des sous-traitants qui traitent nos données ? ces traitements par les sous-traitants sont-ils encadrés contractuellement ? les clauses doivent-elles être revues ?
• avons-nous des transferts de données hors UE ? sont-ils correctement encadrés ?
• les mesures de sécurités existantes sont-elles suffisantes ? avons-nous des procédures de gestion des accès aux systèmes contenant des données ? effectuons-nous des purges ? des archivages ? etc.

L’audit lui-même peut être conduit sous forme d’interviews ou de réponses à des questionnaires de la part des différents intervenants dans les processus de collecte et de traitement des données à caractère personnel, en gardant en tête que tous les traitements doivent être répertoriés. Les entreprises peuvent effectuer cette étape seules lors qu’elles connaissent bien le sujet, ou accompagnées par des conseils externes.

La cartographie de l’existant permettra de déterminer les écarts avec les exigences du RGPD, et de définir un plan d’action pour la mise en conformité des traitements de données au sein de l’entreprise.

Une fois cette phase d’audit et d’analyse franchie, le travail de la mise en conformité effective pourra commencer.

La nouvelle obligation de minimisation des données pourra être mise en œuvre (i.e. : données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées).

Les supports nécessitant des mentions d’informations auront été identifiés, et pourront être mis à jour, de même que les modalités de recueil du consentement.

Les sous-traitants seront répertoriés, les transferts de données à caractère personnel hors UE également, et les contrats pourront en conséquence être revus à l’aune des obligations du RGPD.

La documentation interne de la conformité pourra être rédigée, ou mise à jour :

• Politique de protection des données ;
• Politique de gestion des demandes d’exercice des droits des personnes, fiche de réponse à une demande d’accès, fiche de notification relative à une demande de rectification, de limitation ou d’effacement, politique de gestion des plaintes ;
• Politique de gestion des mesures de sécurité et procédures en cas de faille de sécurité ;
• Politique de gestion des cookies ; Etc.

Enfin, le RGPD impose une amélioration continue de la protection des données à caractère personnel, ce qui nécessitera un suivi régulier du registre des activités de traitement, la sensibilisation et la formation des personnels en charges de ces questions, et la mise à jour régulière des différentes politiques mises en place en matière de protection des données.

Le RGPD considère la protection des personnes physiques à l’égard du traitement des données à caractère personnel comme un droit fondamental, et indique expressément que « le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. ».

Avant de servir l’humanité, les traitements de données à caractère personnel servent votre entreprise, ce sont des biens immatériels dont il faut préserver la valeur en protégeant notamment leur exactitude et leur sécurité.