Il est donc le nouveau texte de référence Européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Il vise à renforcer la protection des données personnelles et couvre l’ ensemble des résidents de l’Union européenne.

L’application de ce texte prendra effet à partir du 25 mai 2018, les organisations collectant des informations personnelles doivent donc se mettre en conformité vis à vis du RGPD.

Afin de tenir compte des évolutions technologiques, la Commission européenne a demandé une actualisation de la législation entrée en vigueur en 1995.

• 2012 : Bruxelles propose un nouveau règlement
• 13/05/2014 : la Cour de justice de l’Union européenne consacre l’existence d’un droit au déréférencement sur internet (sorte de droit à l’oubli) en obligeant Google à retirer des résultats concernant les internautes européens.
• 01/10/15 : dans le foulée, en raison des révélations d’Edward Snowden sur le programme PRISM (par lequel la NSA accèderait aux données stockées aux USA), la même Cour de justice invalide le régime juridique dit du « Safe Harbor » qui permettait aux entreprises américaines d’importer aux USA des données personnelles de citoyens européens.
• 15/12/2015 : accord entre le Conseil, le Parlement et la Commission
• 14/04/2016 : adoption définitive du nouveau texte par le Parlement
• 27/04/2016 : promulgation du RGPD au Journal officiel
• 13/12/2017 : présentation du projet de loi relatif à la protection des données personnelles par la Ministre de la justice française, Nicole Belloubet
• 25/05/2018 : mise en application du RGPD

Notre usage du web est tel, qu’il est fréquent d’oublier que lors de notre navigation sur le web, nous sommes amenés à communiquer des informations personnelles et confidentielles, parfois malgré nous. Ce sont ces mêmes informations, ici appelées données personnelles (ou à caractère personnel), qui seront encadrées et protégées le RGPD.

Une donnée personnelle (ou donnée à caractère personnel) est donc une information qui permet d’identifier une personne physique, directement ou indirectement. Cela peut-être un nom, une photographie, une adresse IP, une adresse mail, un numéro de téléphone, un identifiant de connexion informatique, une adresse postale, un numéro de sécurité sociale, une empreinte, un enregistrement vocal, etc. En bref, il s’agit de toutes les informations que nous pouvons être amenés à saisir lors de l’usage d’un site internet ou d’une application.

Mais il ne faut pas oublier que de nombreuses autres données sont considérées comme « sensibles » et ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite (pour des cas précis, validés par la Cnil) et dont l’intérêt public est avéré.
Ces données dîtes sensibles communiquent des informations comme une état médical, des opinions politiques, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, ou des idées philosophiques… qui pourraient faire l’objet de discrimination ou des préjugés.

C’est l’explosion du numérique, l’apparition de nouveaux usages d’internet et la mise en place de nouveaux modèles économiques qui a poussé l’Union Européenne à mettre en place ce nouveau règlement permettant donc d’encadrer la collecte, le traitement ainsi que l’utilisation des données personnelles, en plaçant l’individu au cœur du dispositif légal.

L’objectif est donc d’harmoniser le cadre juridique européen en matière de protection des données personnelles, en tenant compte des récentes évolutions technologiques (Big Data, objets connectés, Intelligence Artificielle…) et des défis qui accompagnent ces évolutions.

Le but est de permettre aux citoyens de contrôler leurs données personnelles, et de simplifier l’environnement réglementaire des entreprises.
De ce fait, le GRPD doit :

• renforcer le droit des citoyens majeurs et mineurs (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.),
• responsabiliser les acteurs de la donnée (du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de services). Chaque entreprise doit se doter d’une politique de protection des données et s’assurer, dès le moment de la conception(« Privacy by Design »), que les nouveaux services qu’elle s’apprête à lancer et qui vont lui permettre de collecter des données sont bien conformes à la réglementation.(« accountability »)
• renforcer le contrôle et l’application des sanctions en Europe.

Le règlement s’applique à tous les acteurs qui collectent de quelque manière que ce soit des données personnelles, qu’il s’agisse de contacts clients ou prospects : entreprises, associations (même si elle est à but non lucratif), administrations, sous-traitants, collectivités locales et syndicats entreprises…en bref, toute organisation établie en Europe (y compris les groupes étrangers) et collectant des données personnelles.

La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entrent pas en ligne de compte. Les règles contraignantes du RGPD sont les mêmes pour tous, qu’il s’agisse de géants comme Google, Facebook, Amazon, Uber, de sociétés du CAC 40, de banques, d’ assurances, de cybermarchands, de SSII, d’ éditeurs d’applications mobiles ou autres dispositifs connectés… d’une TPE/PME, ou d’une association.

Désormais, il faut que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’ils s’assurent que les enfants mineurs aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.

Le RGPD inclut :

• le droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée,
• le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre… sans perdre ses informations,
• le droit d’accepter et de rectifier les données récoltées,
• le droit à la traçabilité et à la confidentialité des données récoltées,
• le droit d’être informé en cas de piratage des données,
• la possibilité pour les internautes d’être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.

Si le RGPD tend à protéger la vie privée des internautes européens, il va bouleverser le fonctionnement de certaines entreprises qui ont vite compris qu’elles devaient mettre en place des modifications sur leur fonctionnement avant la date d’entrée en vigueur, le 25 mai prochain.

Cependant, la plupart de ces entreprises ne sont pas encore prêtes à respecter ce nouveau règlement. Elles devront pourtant se plier aux obligations suivantes:

• La gestion des données personnelles doit obligatoirement se faire avec l’approbation de la personne. Elles doivent donc aviser tout utilisateur qu’elle collecte des données, de la durée de conservation de ces données, de l’objectif de la collecte et elle devra rappeler à l’utilisateur ses droits relatifs à ses données personnelles.
• Les internautes ont un droit de contrôle sur leurs données : droit de rectification, de suppression, et droit à l’oubli.
• La collecte et l’utilisation de ces données doit se faire selon les besoins réels de l’entreprise et doivent répondre à un objectif précis et clair : limitation des finalités et minimisation des infos récoltées. Des procédures de suppression des données anciennes et des procédures de sécurité doivent voir le jour afin de limiter la conservation, préserver l’intégrité et la confidentialité des données personnelles.

Une entreprise doit donc savoir quelles sont les données dont elle dispose, leur localisation, l’objectif de leur collecte, leur mode de gestion, leur mode de stockage, leur mode de sécurisation, leur mode de transfert et d’effacement. Elle doit être également capable de déceler si leur intégrité a été compromise et d’y remédier au plus vite, tout en consignant et en rendant public l’événement.

Le RGPD est une réglementation qui fera office de référence pendant les années à venir. C’est donc un texte très détaillé et nous n’allons pas énumérer ici l’ensemble des mesures prévues par près de 200 articles de loi… Nous nous concentrons sur les mesures phares qui auront des conséquences majeures sur les entreprises. Vous pouvez consulter la totalité du règlement européen sur la protection des données.

Voici les nouvelles mesures phares et déterminantes pour se prémunir contre d’éventuelles sanctions :

Être totalement transparent sur le traitement des données personnelles
La collecte des données est strictement encadrée. Il est impossible de récupérer des données personnelles sans un accord clair et intelligible de la part de la personne. L’entreprise doit obtenir un consentement et doit pouvoir le prouver.

Identifier les traitements des données personnelles
La déclaration obligatoire à la CNIL (Loi informatique et Libertés) est amenée à disparaître. Toute entreprise doit être en mesure de garantir et de prouver que le traitement des données est conforme et sécurisé. Le traitement des données doit être traçable afin de justifier de la mise en place de bonnes pratiques en termes de manipulation des données personnelles (collecte, stockage, utilisation, partage ou destruction).

Garantir les droits des personnes
L’entreprise doit obtenir le consentement explicite des personnes concernées par la collecte et le traitement des données et doit pouvoir en apporter la preuve.
Le RGPD donne de nouveaux droits aux personnes sur l’utilisation et le traitement de leurs données personnelles.

• Droit à la portabilité des données : les personnes peuvent recevoir les données qui les concernent et qui ont été transmises à un organisme, elles peuvent aussi les transmettre à un autre organisme. Ce transfert doit se faire « dans un format structuré, couramment utilisé et lisible par machine».
• Droit à l’oubli : une personne peux demander la destruction des données personnelles qui concernent sa vie privée dans un délai fixé.
• Droit sur la protection des données des mineurs de moins de 16 ans : les organismes doivent obligatoirement avoir reçu l’ accord d’un représentant légal pour collecter des données sur le jeune public.
• Garantie de confidentialité : chaque entreprise doit renforcer son dispositif contractuel.

Désigner un délégué de la protection des données (data protection officier, DPO)
Le DPO a un rôle de conseil, il est le pilier central de ces différentes mesures puisqu’il est chargé de piloter la gestion et le traitement des données. Il doit s’assurer que l’entreprise est en conformité avec la loi lorsqu’elle fait usage des données, du respect des obligations juridiques et superviser l’ensemble du travail fait sur ce domaine.
Le RGPD encourage les entreprises à engager un DPO et le rend même obligatoire dans certains cas. Il existe 3 situations où le DPO est obligatoire :

• les organismes publics
• les organismes manipulant des données « à grande échelle »
• les organismes qui manipulent des données sensibles (santé, juridique…)

Si votre entreprise n’est pas dans l’obligation d’embaucher un DPO, il est malgré tout recommandé de charger une personne d’assurer la mise en conformité au RGPD.
Il est également conseillé d’informer et de former l’ensemble des salariés sur les procédures à respecter dans la collecte et le traitement des données personnelles.

Tenir un registre des collectes et traitements des données
Les entreprises de plus de 250 salariés ont obligation de tenir un registre actualisé de tous leurs traitements de données personnelles.
Il est conseillé de recenser et d’actualiser les informations suivantes :

• Les différents traitements de données personnelles
• Les catégories de données personnelles traitées
• L’origine des données
• Les objectifs poursuivis
• Les acteurs (internes ou externes) qui traitent ces données (y compris sous-traitants)
• Localisation des données
• Identifier les données sensibles

Vérifier les contrats des sous-traitants
Les organismes qui réalisent le traitement des données ne sont pas les seuls à devoir respecter le RGPD car il met fin à l’immunité des sous-traitants en introduisant un principe de co-responsabilité. Ces derniers doivent donc eux aussi se mettre en conformité et les entreprises doivent choisir un prestataire qui répond aux exigences du nouveau RGPD sous peine d’être sanctionnées.

Rédiger une charte de bonnes pratiques ou un référentiel sécurité
Chaque entreprise doit assurer en interne la mise en place d’un référentiel de sécurité personnalisé et actualisé ou d’une charte de bonnes pratiques qui permet de rappeler aux salariés un certain nombre de bonnes pratiques ainsi que les sanctions encourues en cas de non-respect de la loi. 
(Il est important de préciser qu’un salarié ne peut accéder ou supprimer des informations qui ne relèvent pas de sa fonction ou enregistrer des données sur un support externe sans accord de sa hiérarchie. Le salarié doit également respecter les règles de sécurité définies par le service informatique.)

Réaliser des études d’impact
Le RGPD s’inscrit dans une logique intègre tant sur le plan économique que sur le plan de la protection de la vie privée : différenciation concurrentielle, renforcement de la confiance des partenaires et clients… Il est donc indispensable de définir une politique de protection des données afin d’assurer un développement harmonieux de l’entreprise.
Les études d’impact permettent aux responsables de traitements (comme aux fournisseurs de solutions permettant ces traitements) de justifier du niveau de garantie proposé en termes de protection des données.

Se préparer au risque de perte ou vol de données
Chaque entreprise doit mettre en place une procédure de management des risques permettant de détecter, signaler et investiguer en cas de violation des données qu’elle collecte et qu’elle traite.
Il est nécessaire de prévenir la CNIL et la personne concernée en cas de violation de la vie privée, si possible dans les 72 heures après avoir pris connaissance d’une fuite de données, notamment quand la fuite présente un risque élevé (vol de mots de passe ou le vol de numéros de cartes bancaires par exemple)

Tous les cookies n’ont pas pour objectif d’ identifier les utilisateurs d’un site internet, cependant une grande majorité d’entre eux seront soumis au RGPD. Cela inclut les cookies utilisés à des fins analytiques, de publicité et de services fonctionnels (sondages et messageries instantanées).

La loi « cookie » décrit les conclusions de la Conférence sur la Conformité de la Protection des Données de 2016 :

Le consentement doit être donné via une action affirmative claire comme le fait de cocher une case d’acceptation, ou de choisir les paramètres ou les préférences grâce à un menu de configuration. La simple visite d’un site ne compte donc plus comme consentement.
De ce fait, les messages tels que « en utilisant ce site, vous acceptez notre politique de cookies » ne sont plus valides, il est obligatoire d’offrir la possibilité d’accepter ou de refuser les cookies.

A l’inverse, il doit être aussi facile de retirer son consentement. Les sites internet doivent donc fournir une option de désinscription. Si vous obtenez le consentement grâce à un menu de paramétrage, les utilisateurs doivent pouvoir retrouver ce menu afin de modifier leurs préférences.

Les organisations ont tout intérêt à respecter le RGPD car ce nouveau texte renforce également les sanctions. Alors que jusque là, la CNIL ne pouvait aller au-delà d’une amende de 150 000 euros, les plafonds des sanctions seront à présent particulièrement sévères, et les amendes envisagées, très élevées.
Rappelons aussi qu’une société doit veiller à ce que ses sous-traitants respectent bien ces nouvelles dispositions, car de par sa qualité de responsable, il en subirait les conséquences si ses sous traitants n’étaient pas en conformité avec le RGPD.

Le règlement RGPD prévoit deux niveaux de sanctions pour les entreprises en cas de non conformité :

• Des amendes administratives pourront s’appliquer pour un montant allant de 10 à 20 000 000 €
• ou bien 2 à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent (sachant que c’est le montant le plus élevé qui sera retenu).

Si une procédure était lancée contre un des géants du net, l’amende pourrait ainsi atteindre des dizaines ou des centaines de millions de dollars, voir davantage.
Ceci dit, si ce sont les multinationales qui risquent les amendes les plus fortes, elles ne sont pas les plus exposées pour autant, car elles ont des détachements de juristes et d’experts qui travaillent déjà depuis longtemps déjà à leur mise en conformité avec le RGPD. Le risque est plus grand pour de plus petites organisations, comme les TPE/PME ou les associations.

Si vous gérez une entreprise qui traite des données personnelles, prenez garde à ne pas faire appel à n’importe qui pour adapter vos traitements informatiques.
La Cnil a mis en garde sur les risques d’arnaques autour du RGPD, notamment pour la mise en conformité des TPE/PME, startup et association ne disposant pas de leur propre service juridique.
Veillez à étudier la documentation en ligne sur le site de la Cnil avant de faire appel à tout prétendu expert. En cas de besoin, la Cnil peut d’ailleurs vous conseiller par téléphone via une ligne dédiée : 01 53 73 22 22.

Vous pouvez consulter l’article sur le règlement européen sur la protection des données de la CNIL.