Le RGPD (Règlement Général sur la Protection des Données) entre en vigueur dans l’ensemble des pays membres de l’Union Européenne le 25 mai 2018.
Son objectif est d’harmoniser les règles de protection des données ainsi que protéger et renforcer les droits des citoyens européens en cette matière.
Ce règlement s’applique à l’ensemble des sociétés traitant des données personnelles au sein de l’Union Européenne. Vous êtes donc concerné si vous collectez des données qui permettent d’identifier directement ou indirectement une personne.
Avec le RGPD, il n’y a plus de déclaration à faire à la CNIL, nous adoptons désormais une logique de conformité continue tout au long du cycle de vie de la donnée.
Quels sont les règles de protection des données personnelles à respecter ?
Les conditions du consentement de l’utilisateur à la collecte et l’utilisation de ses données ont été renforcées. Désormais, l’utilisateur doit donner son consentement de manière claire, accessible et sans ambiguïté. En pratique, cela pourra se faire à travers d’une case à cocher par exemple, mais celle-ci ne pourra jamais être pré-remplie. De la même manière, le consentement doit pouvoir être retiré aussi facilement qu’il a été donné par l’utilisateur avec pour conséquence la suppression des données concernées.
Pour que ce consentement soit valide, l’utilisateur doit donc avoir accès aux informations concernant les données, les principes fondamentaux de la protection des données personnelles, qui étaient déjà en vigueur sont ainsi conservés et renforcés :
1 – La finalité des données : on doit annoncer aux personnes concernées à quoi les données collectées vont servir. L’objectif doit être clair et compréhensible et l’on ne pourra utiliser les données pour un autre objectif.
2 – La pertinence des données : seules les données strictement nécessaires à la réalisation de l’objectif peuvent être collectées, on doit minimiser la collecte. On ne peut collecter de données « sensibles » sauf exceptions.
3 – La conservation des données : on doit supprimer les données une fois l’objectif de la collecte atteint. La durée de conservation doit être définie au préalable, sa durée maximum va dépendre de la nature des données et de la finalité.
4 – Les droits sur les données : Les personnes concernées peuvent accéder à leurs données, les rectifier, et peuvent s’opposer à leur utilisation. On doit leur expliquer comment exercer ces droits.
5 – La sécurité des données : On doit assurer la sécurité et la confidentialité des données, seules les personnes autorisées peuvent y accéder.
Quels sont les nouveaux droits et obligations du RGPD ?
Chacun peut demander à recevoir les données qui le concernent dans un format structuré, couramment utilisé, lisible par une machine et interopérable. Cela permet notamment de les transférer à un autre responsable du traitement. Par exemple, je demande à ce que mes données Amazon soient transmises à la Fnac.
Chacun peut demander à ce que ses données soient supprimées, que leur diffusion soit arrêtée et que les potentiels tiers cessent de les traiter.
Chacun peut demander à ce que le traitement de ses données soit limité. C’est à dire que les données continueront à être stockées, mais qu’elles ne pourront plus être utilisées pour la finalité désignée par l’utilisateur.
– La notification des failles de sécurité
Si une faille de sécurité porte atteinte aux droits et libertés des individus, autrement dit qu’il y a une fuite de données, il y a l’obligation de notifier l’autorité de contrôle ainsi que les personnes concernées dans les 72 heures.
– La protection dès la conception (Privacy by Design)
C’est un concept qui existe depuis plusieurs années et qui devient ici une obligation légale : la protection des données doit être assurée dès la conception de la solution à développer par les mesures techniques et organisationnelles appropriées. Cela implique par exemple la minimisation de la collecte des données, la limitation de l’accès aux données aux personnes autorisées ou encore la vérification de la conformité des sous-traitants aux mesures du règlement.
– Etablir un registre des activités de traitement
Pour les entreprises de plus de 250 salariés il est obligatoire. Ce registre sert à prouver à l’autorité de contrôle que le traitement des données est conforme. Le registre des activités de traitement doit comporter plusieurs informations obligatoires.
– La nomination d’un DPO (Data Protection Officer)
Si la société fait du traitement de données à grande échelle ou traite des données sensibles, un DPO doit être nommé. Son rôle sera notamment de veiller à la bonne tenue du registre des activités de traitement. Ses coordonnées devront être transmises à l’autorité de contrôle.
– La coresponsabilité des sous-traitants
La responsabilité des sous traitants pourra être engagée en cas de manquement, ils sont tenus avec vous de respecter le principe de Privacy by Design.
Quelles sont les sanctions en cas de non respect du RGPD ?
Le non respect des règles relatives aux droits des personnes vous expose à une amende dont le montant est égal à 4% du chiffre d’affaires mondial, avec un plafond à 20 millions d’euros.
L’amende représentera 2% du chiffre d’affaires mondial avec un plafond à 10 millions d’euros pour les autres manquements, par exemple en cas d’absence de notification d’une faille de sécurité à l’autorité de contrôle et aux utilisateurs concernés.
A ces sanctions administratives pourront s’ajouter des sanctions pénales prévues aux articles 226-16 à 226-24 du Code pénal.
Les sanctions seront graduées : la CNIL prononcera d’abord un avertissement, puis une mise en demeure pour se mettre en conformité.
Le RGPD en pratique sur un site ou une application
- Lister à l’utilisateur, pour chaque donnée collectée, la nature de cette dernière, la finalité de sa collecte, sa durée de conservation, les droits dont il dispose et comment il peut les exercer. Ces informations peuvent être ajoutées dans les mentions légales par exemple.
- Demander à l’utilisateur son consentement pour chaque finalité de traitement différente. Ce consentement doit être explicite, à travers une case à cocher non pré-remplie par exemple. Ce consentement est directement demandé lors de sa navigation pour toutes les collectes de données par des services tiers comme Google Analytics, Facebook etc., et avant la création de son compte. Il devra être stocké pour pouvoir être prouvé.
- Prévoir une interface où l’utilisateur pourra exercer ses droits comme accorder / retirer son consentement et télécharger ses données sous un format lisible.
- Mettre en place des automatismes qui effaceront les données collectées après l’expiration de leur durée de conservation.
Vous pouvez faire appel à nous pour la mise en conformité de votre site ou application !