Comprendre le RGPD et ses implications
“Nous utilisons des cookies pour le bon fonctionnement de notre site internet.”
“ Nous utilisons des cookies pour vous offrir une expérience utilisateur de qualité, mesurer l’audience, optimiser les fonctionnalités des réseaux sociaux et vous proposer des publicités personnalisées. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies dans les conditions prévues par notre politique de confidentialité”
“En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous offrir un meilleur service.”
Depuis quelques années, ces pop-ups apparaissent systématiquement sur la plupart des sites Internet. La raison ? Une législation nouvelle et plus stricte, sensible à la collecte massive des données personnelles.
Le texte de référence européen est le RGPD, ou Règlement Général sur la Protection des Données. Il pose le cadre en matière de protection des données pour les résidents de l’Union européenne. Il est applicable depuis le 25 mai 2018.
L’enjeu est simple : établir davantage de contrôle quant à la collecte et à la circulation des données personnelles des résidents de l’Union européenne.
Les données personnelles étaient déjà encadrées au niveau communautaire, par la directive 95/46 du 24 octobre 1995. Mais cette directive âgée de 20 ans ne répondait plus aux problématiques actuelles. Il a donc fallu mettre fin au décalage entre la norme juridique obsolète et les enjeux actuels.
La France disposait déjà d’une structure juridique assez élaborée en la matière. C’est l’un des premiers pays à avoir adopter une législation propre à la protection des données personnelles avec la grande loi Informatique et Libertés du 6 janvier 1978. Le RGPD harmonise le droit des données au niveau européen et réduit la fragmentation juridique entre les états-membres.
La nouvelle législation s’applique à toute entité qui collecte et manipule des données personnelles concernant les résidents de l’UE. Elle ne se restreint pas aux organismes de l’UE : toute organisation (américaine, chinoise, japonaise, indienne, etc.) est concernée à partir du moment où elle traite de données personnelles relatives aux habitants de l’UE. Beaucoup d’entités doivent s’y conformer et les sanctions en cas de non-respect des dispositions légales sont très dissuasives.
Le RGPD a suscité quelques inquiétudes au moment de son adoption. Le texte est long, parfois obscur et difficile d’accès pour les non-juristes…
Quelles sont les grands principes et comment s’y conformer ?
Le texte est applicable à tout organisme maniant des données personnelles. Les données personnelles sont toutes les informations se rapportant à une personne physique. C’est son prénom, son nom, son adresse IP, son numéro de téléphone, sa localisation, etc. etc. Certaines données sont dites sensibles et font l’objet d’un cadre particulier. Il s’agit de la sensibilité religieuse, de l’opinion politique, de l’orientation sexuelle.
Toute structure disposant de données personnelles doit être en mesure de déclarer :
– Quelles sont les données exactes qu’elle possède ?
– Quelle est la finalité de cette possession ? À quoi sert cette collecte, à quelle finalité ?
- Quelle est la durée de conservation de ces données ?
Sur simple demande, l’entreprise doit pouvoir collecter et transmettre les données à la personne concernée.
Elle doit aussi être en mesure de retirer les données personnelles de sa base de données (conformément au droit à l’oubli)
En cas de non-respect de ces nouvelles obligations, les sanctions sont exemplaires (mais rarement appliquées). Elles peuvent aller jusqu’à 4 % du CA mondiale sur une année ou 20 millions d’euros (+ le versement de dommage et intérêt). Étant précisé que c’est la somme la plus importante des deux qui sera choisie.
Le RGPD repose sur plusieurs grands principes :
Je me responsabilise (Accountability)
Le Règlement instaure une dynamique de responsabilisation. C’est à l’entité de prendre toutes les mesures, toutes les précautions nécessaires pour être conforme au RGPD. Elle devra rendre des comptes à la CNIL en montrant qu’elle a bien rempli ses obligations.
J’informe les personnes dont les données sont collectées.
Le RGPD impose une obligation de transparence. Il faut informer de manière simple, concise, compréhensible et visible les personnes concernées. Par ailleurs, certains types de cookies, notamment lorsqu’ils servent à mettre en place de la publicité ciblé nécessitent un consentement préalable tels que les cookies liés à une opération relative à la publicité.
Je sécurise les données personnelles recueillies (Security by default)
Ce principe est basé sur la sécurisation des données personnelles. Le système d’information qui recueille les différentes data doit être protégée – aussi bien physiquement qu’au niveau informatique. Les entreprises doivent investir dans différents systèmes de prévention contre les failles, contrôles d’accès, etc.
Je sécurise les données personnelles immédiatement, dès la conception d’une nouvelle application (Privacy by design)
Les données personnelles doivent être protégées dans les nouvelles applications technologiques et commerciales dès leur conception, au plus haut niveau possible. Il faut que cela soit adapté au contexte du traitement mis en œuvre. Si le traitement est particulièrement intrusif, il conviendra de faire un effort de précision et de transparence supplémentaire et garantir une protection irréprochable.
Je nomme un délégué à la protection des donnés, le Data Protection Officer
Il est en charge de veiller à la conformité au RGPD et il est associé à toutes les questions relatives aux données. C’est également le contact privilégié avec la CNIL. La nomination d’un DPO n’est pas nécessaire pour toutes les entités, et il est possible de nommer un délégué externe pour les petites entreprises.
Je réalise des études d’impact
Concrètement, avant toute mise en oeuvre de nouveaux éléments dans le traitement de données – pouvant porter atteinte aux libertés individuelles – il sera indispensable de réaliser une étude d’impact. Si les atteintes sont avérées par cette étude, il faudra prévoir des mesures pour diminuer les-dites atteintes. Ces analyses permettent la mise en place d’un traitement sécurisé et adapté des données personnelles et de démontrer la conformité au Règlement.
Quel bilan pour le RGPD ?
Plus de 20 mois après son entrée en vigueur, le constat est mitigé.
Nombreux sont les sites qui mettent en place des tactiques discutables - à la limite de la légalité - afin de récolter le “consentement” des utilisateurs et continuer de leur adresser des publicités ciblées. Cases d’acceptation déjà cochées, bouton de refus volontairement peu visibles, certains excellent dans la malhonnêteté et se détourne clairement des objectifs de la réforme. D’après une études récente, 9 sites sur 10 violerait le Règlement général sur la protection des données et détournerait le consentement de leurs visiteurs.
Toutefois, chaque évolution vers une législation plus stricte nécessite une période de transition. Le bilan du RGPD n’est pas résolument négatif et certains chiffres sont encourageants. Plus de 12 000 plaintes de particuliers en France et 150 000 plaintes au niveau européen ont été constatés ce qui témoigne d’une forte implication des citoyens dans l’exercice de leurs droits et d’une prise de conscience de l’importance de rester maître de ses données.
Pour y voir plus clair, et pour approfondir : Cette très bonne vidéo en partenariat avec la CNIL et le texte du RGPD dans son intégralité