LA NOUVELLE RÉGLEMENTATION EUROPÉENNE GDPR ou RGPD

GDPR - RGPD : Un grand chantier pour occuper des DSI qui seraient trop tranquilles

Le 25 mai 2018, le nouveau règlement général sur la protection des données à caractère personnel, généralement désigné par les initiales « GDPR » ou « RGPD», sera applicable. Il modifie et complète la Loi Informatique et Libertés du 6 janvier 1978, déjà amendée à plusieurs reprises pour prendre en compte les évolutions des usages et des technologies, dont la dernière fois, le 7 octobre 2016, à la suite de l’entrée en vigueur de la loi pour une République numérique, intégrant en droit français par anticipation certaines dispositions prévues par le GDPR.

Le GDPR concerne les données des personnes physiques, structurées et non structurées, collectées et traitées par les entreprises, qu’elles soient hébergées au sein de l’entreprise ou dans le cloud, ou bien que les traitements soient confiés à des prestataires, notamment dans le cadre de contrats d’infogérance. Ces données peuvent être collectées auprès des clients, des prospects, des partenaires et des salariés.

Pour contraindre les entreprises à s’y conformer et créer ainsi un Marché Unique Numérique, le législateur européen a prévu des sanctions dissuasives, pouvant aller jusqu’à 20 millions d’euros, ou 4 % du chiffre d’affaires des contrevenants.

Les entreprises ont donc encore une année pour s’y conformer ; ce qui n’est pas de trop au vu de l’importance de la tâche.

Une dizaine de grands principes à respecter

Les entreprises doivent mettre en œuvre des processus de protection des données à caractère personnel, répondant à une dizaine de grands principes :

Principe de transparence : les données doivent être traitées de manière loyale et transparente, après communication aux personnes concernées d’une information complète sur leur traitement, formulée dans des termes simples.

Principe de limitation des finalités : les données doivent être collectées pour une finalité précise, et ne doivent pas être réutilisées ultérieurement pour une autre finalité, sauf consentement exprès et information préalable des personnes concernées.

Principe d’un consentement renforcé : les personnes concernées doivent en principe donner leur accord pour le traitement de leurs données, et ce de manière non ambigüe, ou pouvoir s’y opposer tout aussi facilement.

Principe de minimisation des données et de Privacy by Default : seules les données adéquates, pertinentes et nécessaires à la finalité du traitement doivent être collectées et utilisées.

Principe d’exactitude des données : des mesures doivent être prises pour s’assurer que les données sont exactes et mises à jour, et que celles qui sont inexactes sont effacées ou rectifiées sans tarder.

Principe de proportionnalité de la durée de la conservation des données : les données ne peuvent être conservées que pendant la durée nécessaire au regard de la finalité du traitement.

Principes de sécurité, d’intégrité et de confidentialité des données : des mesures de sécurité doivent être prises afin de protéger les données.

Principe de licéité : un traitement n’est licite que si la personne concernée a consenti au traitement, ou bien si le traitement est nécessaire à l’exécution d’un contrat, au respect d’une obligation légale, à la sauvegarde des intérêts vitaux de la personne concernée, ou aux fins des intérêts légitimes poursuivis par le responsable du traitement.

Principe de Privacy by design : dle principe de protection des données individuelles doit être pris en compte dès le début du projet et la conception des systèmes de traitement.

Principe de responsabilisation des acteurs : les sous-traitants deviennent co-responsables. Plusieurs entreprises peuvent se voir reconnaître conjointement responsables de manquements au GDPR.

Principe « d’accountability » : l’entreprise doit être en mesure de démontrer la mise en œuvre des procédures de protection des données personnelles visant à respecter les obligations du GDPR. Les procédures de mise en conformité doivent être appropriées, permanentes et auditées régulièrement. En contrepartie, les entreprises ne seront plus tenues de déclarer leurs traitements de données personnelles à la CNIL.

Les douze changements fondamentaux :

Loi Informatique et Libertés GDPR - RGPD 2018
N°1 Responsabilité des acteurs Co-responsabilité des responsables de traitement et des sous-traitants
Désignation d’un représentant légal (point de contact de l’autorité de contrôle)
N°2 Déclarations CNIL obligatoires pour certains traitements Allègement des formalités administratives : suppression des déclarations préalables auprès de la CNIL mais responsabilisation des acteurs avec les preuves du respect du GDPR (Accountability) selon une logique de conformité
N°3 Information préalable de la personne avant de traiter les données la concernant Transparence : Information plus complète, intelligible, facilement accessible et claire sur les finalités, destinataires et durées des traitements
N°4 Consentement à recueillir de la personne avant de traiter des données la concernant Consentement renforcé : matérialisation non ambigüe avec charge de la preuve du consentement incombant au responsable de traitement
N°5 Enregistrement de données pouvant être utiles ultérieurement Collecte des seules données indispensables, et pour la seule durée nécessaire au traitement précis ayant fait l’objet d’une information préalable à la personne
Une nouvelle clé de lecture : Privacy by Design et respect du principe de minimisation (limitation de la quantité de données nécessaires dès le départ)
N°6 Transferts de données hors de l’Union européenne soumis au droit de l’Union, notamment dans le cadre de BCR (Règles d’entreprises contraignantes) Les données transférées hors de l’Union restent soumises au Droit de l’Union pour tout traitement et transfert ultérieur
Nouveaux outils prévus (Code de conduite ou mécanisme de certification contraignants) pour les responsables de traitements, les sous-traitants, les autorités publiques Autorisation spécifique de l’autorité de protection basée sur ces outils n’est plus requise
N°7 : Désignation facultative d’un CIL (Correspondant Informatique et Libertés) Désignation obligatoire d’un DPO (Délégué à la protection des données) dans de nombreux cas, ou fortement conseillée
N°8 Dispositions spécifiques pour les mineurs de moins de 16 ans (information et consentement).
A l’âge adulte le consentement ainsi donné doit pouvoir être retiré et les données effacées
N°9 Notification de failles de sécurité obligatoire pour les opérateurs télécommunications Obligation de sécurité et notification de failles de sécurité obligatoire étendue à tous les responsables de traitement
N°10 Etudes d’impact sur la vie privée (EIVP ou PIA) pour tous les traitements qui seraient à risque et en cas de risque élevé, consultation préalable de la CNIL avant mise en place du traitement
N°11 Introduction du principe des actions collectives (Class actions à la française)
N°12 Sanctions pouvant aller jusqu’à 150.000 euros (300.000 euros en cas de récidive) 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu

Des Droits renforcés et de nouveaux droits pour la personne

  • Etre informé préalablement et clairement des traitements effectués avec ses données personnelles
  • Accéder aux données la concernant
  • Obtenir la rectification ou l’effacement des données la concernant
  • S’opposer ou limiter les traitements (sous certaines conditions)
  • Obtenir copie des données la concernant sous une forme numérique exploitable par un tiers (droit à la portabilité)
  • Ne pas faire l’objet d’une décision automatique fondée exclusivement sur les données collectées pour établir un profilage (dans le cas d’une demande de crédit par exemple)
  • Être informé en cas de faille de sécurité ou de piratage des données le concernant
  • Pouvoir faire un recours en justice, parallèlement à un dépôt de plainte auprès de la CNIL,
  • Obtenir réparation de ses préjudices matériels ou moraux

De nouvelles obligations pour les entreprises et en particulier les DSI

Dans ce contexte, les entreprises ont obligation de sécuriser les données à caractère personnel qu’elle collecte, et de fournir aux personnes concernées une information complète, facilement accessible, et en langage simple, sur les traitements réalisés avec les données collectées.

L’entreprise a cependant bien d’autres obligations, dont les principales sont de :

  • Désigner un responsable des Données à caractère personnel, le DPO, Data Protection Officer, le véritable chef d’orchestre pour piloter la gouvernance des données personnelles au sein de l’entreprise,
  • Prioriser les actions à mener pour être en conformité le 25 mai 2018
  • Fournir aux personnes concernées une information, claire et complète, en langage simple, sur la finalité des traitements réalisés avec leurs données, et en obtenir leur consentement
  • Répondre à toute demande d’une personne concernée dans un délai maximum d’un mois
  • Tenir un registre des traitements de données à caractère personnel, réalisés en interne ou sous-traités
  • Formaliser une politique de protection des données à caractère personnel en organisant des processus internes pour assurer la conformité en continu
  • Mettre en place des tableaux de bord régulièrement mis à jour
  • Adhérer à un « Code de Conduite » certifié par la CNIL
  • Diffuser au sein de l’entreprise et auprès de ses partenaires une Charte d’utilisation des données à caractère personnel
  • Responsabiliser les sous-traitants au moyen de clauses contractuelles de garantie, de sécurité, d’audits, de notification de faille et de responsabilité
  • Réaliser en interne des actions de formation et de sensibilisation à la protection des données individuelles
  • Réaliser des analyses d’impact pour la sécurité des donnée personnelles, avant la mise en place d’un nouveau traitement présentant un risque élevé pour les droits et libertés des personnes physiques
  • Déclarer dans les 72 heures aux autorités de contrôle (la CNIL pour la France) et dans les meilleurs délais aux personnes concernées, tout incident ou faille de sécurité découverte concernant les données individuelles
  • Mettre en place un processus d’analyse des risques et de contrôle périodique de conformité au sein de l’entreprise et chez ses sous-traitants
  • Démontrer, en cas de contrôle, que toutes les mesures appropriées pour sécuriser les données individuelles sont bien en place et respectées dans les faits (documentation nécessaire réexaminée et actualisée régulièrement).

Selon les spécificités des données collectées ou des traitements, d’autres obligations particulières peuvent exister. C’est le cas notamment par exemples pour la collecte de données de santé, le traitement de données individuelles concernant des mineurs de moins de 16 ans, ou le transfert de données à caractère personnel en dehors de l’Union Européenne.

Un Nouveau casse-tête pour les DSI : comment s’y prendre ?

Pour mettre en conformité son entreprise avec les contraintes issues du GDPR, il est recommandé aux DSI de commencer par faire une présentation des nouvelles obligations légales à la Direction Générale, afin de l’informer, l’impliquer et d’obtenir les budgets nécessaires.

Une fois le budget obtenu, il convient de désigner en interne (ou de recruter) le DPO, Data Protection Officer, qui sera responsable du projet de mise en conformité des processus de l’entreprise. Concrètement, rien ne s’oppose à ce que le DPO soit l’ancien CIL, Correspondant Informatique et Liberté, revêtu d’un nouveau costume aux obligations et responsabilités plus larges.

La première tâche du DPO consistera à recenser les données à caractère personnel collectées, ainsi que les flux et les traitements concernant ces données, au sein de l’entreprise, et chez les sous-traitants. Une cartographie des données, flux et traitements, devra être formalisée, ce qui suppose un recensement préalable souvent long et fastidieux.

Une attention particulière pourra être apportée aux données qualifiées de sensibles, qui doivent être identifiées au plus tôt. Pour celles-ci en effet, des procédures spécifiques de sécurisation devront être mises en place : cryptage, restrictions d’accès, anonymisation, spécifications de l’hébergement….

Rapidement, le DPO devra initialiser également des actions de formation et de sensibilisation à la sécurité des données à caractère personnel et aux enjeux du GDPR. En effet, le respect des obligations du GDPR nécessite une implication de la DSI, mais également de tous les acteurs de l’entreprise.

Une des tâches urgentes les plus lourdes consiste à revoir (et parfois renégocier) l’ensemble des contrats avec les prestataires, sous-traitants, infogérants, fournisseurs de solutions en Saas ou de stockage dans le Cloud, afin de garantir contractuellement le respect des obligations légales dont l’entreprise cliente est responsable en sa qualité de responsable des traitements.

Enfin, le DPO devra s’atteler à la définition et à la mise en place de toutes les procédures rendues nécessaires, pour répondre aux personnes concernées dans les délais, rectifier ou supprimer les données si nécessaire, analyser l’impact de nouveaux traitements, archiver les données dans les délais légaux, informer la CNIL et les consommateurs en cas de faille de sécurité détectée, tenir le registre des traitements, réaliser les contrôles périodiques indispensables, tenir à jour le catalogue des mesures de sécurité en place, ….

Tous les départements de l’entreprise sont concernés

Le GDPR n’est pas un projet de la DSI, même si la DSI a un rôle majeur et peut coordonner les différents acteurs.

La Direction Marketing doit revoir les processus de collecte des informations et des consentements. Le Direction des Achats et la Direction Juridique, doivent redéfinir les clauses des contrats de sous-traitance.

La Direction des Ressources Humaines et la Direction de la Communication, doivent définir les outils de sensibilisation et de formation nécessaires. La Direction de l’Organisation doit définir et mettre en place les nouveaux processus décrits ci-dessus. La Direction du Contrôle Interne doit mettre en place les contrôles obligatoires de conformité. Enfin, chaque Direction Métier doit étudier les impacts de la GDPR sur ses processus de gestion.

Dans ce contexte, on peut dire que la GDPR est bien un projet d’entreprise global et transversal, nécessitant une implication de la Direction Générale et de tous ses interlocuteurs internes et externes.

Des outils peuvent être indispensables

Si une TPE peut gérer sans trop de difficultés les contraintes liées au GDPR en raison du faible nombre de traitements mis en œuvre, le DPO d’une entreprise de taille moyenne ou grande aura besoin d’outils pour gérer sa mise en conformité.

Le Cabinet CIL Consulting, marque du groupe TNP Consultants, a répertorié 58 outils disponibles et édité un livre blanc à l’usage des DPO, pour les aider à s’y retrouver.

Les outils recensés proposent un grand nombre de fonctionnalités parmi lesquelles : la sensibilisation du COMEX et des collaborateurs, l’identification et la cartographie des données et des traitements, la gestion des risques et l’audit de conformité, la tenue du registre et la documentation des traitements, la gestion des analyses d’impact, la gestion des incidents et failles de sécurité, ou la gestion des demandes d’exercice de droits des personnes concernées.

L’utilité de ces outils est réelle. En effet, il peut être difficile par exemple de recenser au sein d’un grand groupe l’ensemble des données à caractère personnel, qu’elles soient structurées et enregistrées dans des référentiels ou non structurées et disséminées dans le système d’information ou le Cloud.

Un outil du type Stored IQ, de IBM, permettra par exemple de recenser un CV, inclus dans un mail de candidature spontanée, qui doit être considéré et sécurisé comme une donnée à caractère personnel.

Un beau chantier …..

Ce nouveau règlement européen va s’ajouter aux autres contraintes techniques, organisationnelles et juridiques pesant sur les entreprises. Or nombreuses sont celles qui n’ont pas encore pris en compte le nouveau droit des contrats, entré pourtant en vigueur au 1er octobre 2016.

Un projet de réforme de la responsabilité civile est également en cours d’étude.

A cela s’ajoute, un nouveau projet de règlement intitulé « e-Privacy », en cours de discussions sur la base d’une version officielle communiquée le 10 janvier 2017, qui viendra compléter le GDPR. Celui-ci va modifier très sensiblement les règles applicables aux communications électroniques (SMS, les OTT tels que WhatsApp, Skype, Facebook Messenger, Gmail, iMmessage ou Viber) , à la publicité en ligne, aux cookies, métadonnées et à l’internet des objets notamment.

Ce nouveau règlement pourrait bouleverser totalement le business model de nombreuses Start-Up et l’écosystème de la publicité en ligne. Son application souhaitée par les autorités européennes serait comme le GDPR à compter du 25 mai 2018, ce qui laisse à penser que ce calendrier est d’ores et déjà trop ambitieux.

Dans un tel contexte d’évolutions législatives, après le passage à l’an 2000, et la mise en place de l’euro, les DSI ainsi que les consultants, les juristes internes et les avocats à leurs côtés, vont devoir prendre à bras le corps le GDPR, nouveau chantier coûteux, obligatoire, transverse, dont on dit heureusement qu’il sera gage d’un avantage concurrentiel pour les entreprises en renforçant la confiance entre les internautes et les acteurs économiques.

Bon courage !…...

Corinne Thiérache
Avocat spécialisée dans le droit des TIC
cthierache@alerionavocats.com

Pascal de La Faye
Consultant en Gouvernance des SI
pascal@delafaye.eu