Le 25 mai 2018, date limite de mise en conformité pour le RGPD, se rapproche. Pourtant, de nombreuses entreprises se posent encore des questions sur ce Règlement européen. Le 16 novembre dernier, pendant l’événement « La Très Haute Sécurité », Mael Fablet, avocat chez EY Société d’Avocats, a répondu aux questions d’acteurs du marché sur le sujet. Découvrez le compte rendu de cet échange !

RPGD : en quelques mots, c’est quoi ?

Le RGPD, Règlement Général pour la Protection des Données, a été adopté en avril 2016, et va entrer en application le 25 mai 2018. Il a pour objectifs principaux d’uniformiser le droit de la donnée personnelle dans toute l’Union Européenne et de renforcer les droits des personnes. En effet, aujourd’hui les données personnelles sont utilisées partout et par tous, ce qui requiert une mise à jour des lois actuellement en vigueur, comme la Loi Informatique et Libertés pour la France.

Ce règlement apporte de nouveaux concepts, comme la portabilité des données ou la protection des données dès la conception (« privacy by design »). Il supprime l’obligation de déclaration des traitements et la remplace notamment par l’obligation de constituer un registre des traitements. Il s’axe sur la responsabilisation des entreprises, qui ont des obligations plus fortes, et seront soumises à des sanctions également renforcées (avec des amendes jusqu’à 4% du Chiffre d’Affaires mondial ou 20 millions d’euros).

25 mai 2018 : une date butoir ?

C’est la première fois que les entreprises ont bénéficié de 2 ans pour se préparer entre l’adoption et la mise en vigueur du règlement, d’autant plus qu’il s’applique directement, sans nécessité d’adoption de lois de transposition par les Etats comme c’était le cas pour la Directive de 95. Cependant, beaucoup d’entreprises commencent à peine à s’intéresser à ce sujet.

Certes, le texte est très dense et il reste certaines zones d’ombres, mais des lignes de conduite et des recommandations sont déjà disponibles : les organisations n’ont pas d’excuses pour ne pas commencer à se mettre en conformité… Consultez vite les recommandations du G29 (en anglais pour la plupart) et les informations relayées par la CNIL, qui s’inspire en partie de ce dernier !

Que faire si je n’ai pas commencé ma mise en conformité avec le RGPD ?

Bien entendu, il y aura une marge d’évolution, et toutes les entreprises ne seront pas conformes à 100% au texte au 25 mai 2018. On pourra vous reprocher de ne pas avoir commencé votre travail de mise en conformité avant cette date, et il est difficile de connaître la marge de tolérance de la CNIL… Mael Fablet conseille d’avoir au moins réalisé l’inventaire et le registre des traitements,  d’avoir établi sa feuille de route de mise en conformité et d’avoir avancé au maximum à cet égard !

Le registre des traitements, c’est une cartographie des traitements de données réalisés par votre entreprise. Ces traitements doivent être regroupés, non pas par application, mais par finalité (recrutement, paye, prospection, gestion des commandes etc.). Pour chaque finalité de traitement, étudiez le flux de vos données et identifiez en particulier :

  • Quelles personnes sont concernées par les données (clients, collaborateurs etc.) ?
  • Où sont stockées les données ?
  • Quels types de données sont traitées (nom, age, formation, panier d’achats…) ?
  • A quoi servent ces données ?
  • Qui a accès à ces données, en interne comme en externe ?
  • Comment les données sont-elles stockées, sécurisées ?

Attention : jusqu’à présent, si une entreprise sous-traitait le traitement de ses données, elle restait la seule responsable en cas d’incident vis-à-vis de la CNIL. Avec le RGPD, les sous-traitants, notamment prestataires informatiques (éditeurs, hébergeurs, mainteneurs) seront responsables d’un certain nombre d’obligations, notamment en matière de sécurité informatique ! Ils doivent donc créer, eux aussi, des registres de traitement (un par finalité ou un par client par exemple).

Donnée personnelle, donnée sensible : c’est quoi ?

Une donnée est dite personnelle quand elle permet d’identifier, même indirectement, la personne à qui elle fait référence (par recoupement, combinaison d’informations). Il n’existe a pas de définition plus précise, d’où l’importance d’étudier les données traitées par votre entreprise pour identifier si elles rentrent dans ce cadre.

Notons la différence entre données pseudonymisées et données anonymisées. La pseudonymisation est une mesure de sécurité efficace permettant de cacher l’identité de la personne sous-jacente, mais qui permet toujours d’identifier cette personne même si cela est difficile et/ou nécessite une opération technique complexe : on reste dans de la donnée personnelle. A l’inverse, l’anonymisation ne permet pas de revenir en arrière et de retrouver a posteriori à qui la donnée fait référence : ces données ne sont plus considérées comme personnelles.

Certaines catégories de données personnelles sont considérées comme « données sensibles ». Il s’agit en particulier des opinions (religieuses, syndicales, politiques…), de l’orientation sexuelle, des données de santé et des données d’infractions, entre autres. Si les premiers exemples ne sont en principe jamais utilisés dans la vie courante d’une entreprise, elles peuvent traiter les données de santé et d’infraction (secteur médical, para médical, gestion des contraventions etc.). Ces données seront soumises à des régimes particuliers (finalité légitime, minimisation de la collecte, consentement recueilli dans la plupart des cas, autorisation de la CNIL etc.)

Quid de l’étude d’impact sur la vie privée ?

L’étude d’impact sur la vie privée (ou « Data Privacy Impact Assessment ») est un travail exigé par le RGPD pour les traitements de données les plus à risque, comme le profilage, le traitement de données sensibles à grande échelle ou la vidéo protection à grande échelle par exemple. Le G29 a donné une liste de critères au-delà de ces exemples : le principe est que si vous en cochez 2 pour un type de traitement, vous devez faire cette étude (et il y a des exceptions).

Cette procédure assez lourde consiste en une analyse de risque initiale, la création d’un plan d’action pour pallier ces risques, une analyse de risques résiduels etc.. Elle exige de se mettre à la place des personnes concernées pour envisager tous les cas de figure qui pourraient leur causer préjudice.

Dois-je nommer un DPO ?

Le sujet de la nomination ou non d’un DPO (Data Privacy Officer) fait couler beaucoup d’encre, et il n’est strictement imposé par le RGPD que pour les entreprises opérant certains traitements à risque. Cependant et pour de nombreux experts, c’est un faux débat : pour garantir votre conformité nommez-en un, que cela soit obligatoire ou non ! Vous pouvez l’externaliser, le mutualiser avec d’autres entreprises… Par exemple, un DPO devrait être nommé pour l’ensemble de la profession d’avocat.

Contrairement au responsable de traitement, le DPO n’est pas légalement responsable de la mise en conformité de son entreprise. C’est un expert en interne, qui conseille ses collaborateurs et les directions opérationnelles de son entreprise pour la mise en conformité, et c’est également le contact de référence de la CNIL.

Ce doit être un expert en protection des données, plutôt un profil juridique avec une très bonne connaissance des systèmes d’information. Mael Fablet vous conseille de choisir un profil expérimenté, qui puisse se faire entendre des différents interlocuteurs. Il doit également être soutenu et accompagné par la Direction, sans pour autant perdre son indépendance dans l’exercice de ses fonctions.

Quel sera le rôle de la CNIL ?

Le rôle de la CNIL sera a priori assez similaire à son rôle actuel si ce n’est qu’elle ne recevra plus les déclarations de traitement des entreprises. Elle se confortera probablement dans son rôle de « guide », communiquant sur les bonnes pratiques et produisant des normes pour les traitements les plus courants, utilisés par de nombreuses sociétés, comme la gestion des clients/ prospects ou des ressources humaines par exemple, même si ces normes ne serviront plus de référence pour l’exercice de déclarations simplifiées comme c’est le cas aujourd’hui.

Elle restera surtout une autorité de référence pour vérifier la mise en conformité au RGPD, grâce à des contrôles pouvant être assortis de mises en demeures et/ou sanctions. Cependant, la CNIL, comme les autres autorités européennes, est dans une démarche raisonnée : si vous savez justifier un écart avec les recommandations du fait des particularités de votre activité, elle pourra dans certains cas l’accepter si votre justification est légitime et que le traitement reste conforme aux exigences du texte.

Le RGPD impacte-t-il mes campagnes d’emailing ?

Le règlement ne statue pas sur la prospection par voie électronique : sur ce sujet le règlement européen E-privacy sera bientôt adopté (probablement en 2018). Cependant, le RGPD met l’accent sur les conditions de recueil du consentement des personnes pour certains traitements, ce qui impacte indirectement certaines pratiques d’emailings : les entreprises devront par exemple désormais distinguer les opt-ins spécifiques à la prospection (afin de savoir si l’individu accepte de recevoir des emails commerciaux) de ceux liés au profilage (c’est-à-dire permettant que ces emails commerciaux soient ciblés en fonction des profils de clients).

Le renforcement des droits des individus ne facilitera pas toujours la vie des entreprises, notamment les services marketing pour lesquels l’enjeu est d’inciter les prospects à accepter ces propositions. Mais en présentant les choses de manière positive et transparente, il y a fort à parier que les habitudes seront rapidement prises, comme pour les cookies qui font désormais partie de notre quotidien.

 

Merci encore à Mael Fablet, Avocat chez EY Société d’Avocats,
pour ses réponses, et aux participants de l’atelier !

Accédez aux conclusions des autres experts de l’événement « Très Haute Sécurité »

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.