À vos marques – RGPD – partez !

Par : Delphine DERUMEZ

À l’heure où la technologie et l’ère du numérique conduisent à des mutations constantes et fulgurantes (e-commerce, réseaux sociaux), les pratiques sont bouleversées et favorisent la volatilité sans précédent de nos précieuses données personnelles.

La donnée personnelle, objet de toutes les attentions, est en effet au cœur d’enjeux de taille, aussi bien commerciaux, stratégiques, économiques que politiques, etc. On parle de l’or noir du 21ème siècle, et de « marché » de la donnée.

Il convenait, dans ce contexte, d’instaurer des mécanismes propres à en assurer la protection, effective, durable, contre toute dérive, de celles qui ponctuent l’actualité avec fracas : vient aussitôt en effet à l’esprit le récent et retentissant scandale Facebook/Cambridge Analytica, ou le piratage record, chez Yahoo, de 500 millions de comptes de ses utilisateurs, en septembre 2016.

Tel est l’objectif poursuivi par le RGPD.

Le RGDP, qu’est-ce que c’est

Le règlement européen n°2016/679, dit « Règlement Général sur la Protection des Données Personnelles » ou RGPD fait le buzz : colloques, articles de la presse spécialisée ou non, émissions TV ou radio etc. se sont unanimement emparés du sujet. Comment s’y préparer, le mettre en œuvre.

Le portail internet de la plupart des grandes enseignes s’ouvre désormais sur une page sollicitant, en préalable à toute navigation, le consentement à leurs conditions générales d’utilisation, et mettant en avant leur pleine conformité aux nouvelles exigences posées par le RGPD.

Quand se mettre en conformité

Le RGPD est entré en vigueur ce 25 mai 2018 et s’applique dès cette date, directement, dans toutes ses dispositions, à toute organisation située sur le territoire de l’Union européenne, ou amenée à traiter les données personnelles de citoyens européens.

Quelle force obligatoire

Le RGPD prime sur les législations nationales existantes : en cas de dispositions divergentes du droit national, elles sont écartées au profit du RGPD.

Les lignes directrices qui sous-tendent le RGPD

Elles sont de deux ordres : imposer au sein de l’UE une règlementation unifiée et redonner au citoyen le contrôle de ses données personnelles (propriété, sécurité, confidentialité).

Qui est concerné

En pratique, l’entrée en vigueur du RGDP concerne toutes les entreprises, y compris les PME/TPE, de tous secteurs, même si les contraintes qu’elle implique varient selon la taille des structures, leur activité, l’importance des données personnelles traitées, collectées ou conservées, la nature plus ou moins sensible de celles-ci.

Quelles nouveautés

Les contraintes organisationnelles sont denses, tout comme les incidences d’une non-conformité, potentiellement lourdes :

De façon générale, les obligations du chef d’entreprise issues de la Loi informatiques et libertés sont maintenues mais renforcées vis-à-vis des titulaires des données personnelles : ces derniers doivent être systématiquement et pleinement informés, consentir à ce que leurs données personnelles soient recueillies, jouir pleinement du droit d’en disposer (ex : droit à l’oubli, portabilité) et à ce que leur protection soit effectivement assurée ;

Seules les données personnelles strictement nécessaires peuvent être désormais collectées et/ou conservées ;

Le mécanisme de formalités préalables (déclaration, autorisation) auprès de la CNIL est allégé. En contrepartie, les différents acteurs (collecteur initial, prestataire, sous-traitant) intervenant dans le traitement des données personnelles de tiers sont responsabilisés et doivent justifier des mesures de mise en conformité avec le RGPD ;

Au-delà d’un effectif de 250 salariés, ou en cas de traitement non occasionnel de données personnelles sensibles, la tenue de registres à jour des activités de traitement peut s’imposer, de même que la désignation d’un délégué à la protection des données (ou DPO) chargé de contrôler la conformité au RGPD, voire la réalisation d’analyses d’impact ;

Le transfert de données personnelles hors de l’Union européenne peut exiger un encadrement juridique spécifique ;

Toute entreprise victime d’une violation des données personnelles est enfin tenue de le signaler dans les 72 heures à la CNIL ;

Les sanctions administratives encourues par les entreprises sont significativement alourdies, jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial (au plus élevé de ces deux plafonds), et les victimes de violation de leurs données personnelles pourront chercher et obtenir réparation de leur préjudice auprès de l’importateur et/ou de l’exportateur des données.

Le parti pris du RGPD est donc celui du choix des moyens à condition qu’ils soient proportionnés et adaptés (notamment à l’activité, aux risques potentiels, à la nature des données), de façon à assurer la protection effective des données collectées.

En pratique

La tâche du chef d’entreprise est en réalité complexe et les obligations, au final, loin d’être toujours intelligibles. Les préconisations foisonnent, et c’est parfois l’organisation dans son intégralité qui est à repenser dans le choix des méthodes, des procédures à mettre en place, en terme de sécurité d’accès aux données, de leur mode de conservation, mais aussi vis-à-vis du personnel et des clients (sensibilisation, information et consentement), ou des prestataires et sous-traitants (formalisation du partage de responsabilités, des garanties apportées).

Pour les grosses structures, cette mise en conformité relève quasiment de la gestion courante : après avoir fait estimer les besoins par un premier audit, les responsabilités ont été réparties et coordonnées entre les différents départements, les arbitrages opérés, et les outils adaptés, déployés. Le processus, désormais, suit son cours.

Le plus souvent, les principales hésitations portent sur l’opportunité de la désignation d’un DPO, le cas échéant « mutualisé ». À ce jour, le rôle que doit tenir le DPO et les compétences dont il doit disposer (IT, opérationnelles) restent plutôt abstraits, et considérations prises du coût généré, les dirigeants peuvent préférer, à tout le moins dans un premier temps, s’orienter plutôt vers une embauche à durée limitée, ou au recours à un consultant externe. Ils s’adapteront aux exigences qui se dessineront au fil de l’eau, sur le long terme.

Les étapes de mise en conformité

La démarche de mise en conformité, le plus souvent, s’effectue en deux étapes :

  • Une première phase d’analyse/audit répondant aux questions suivantes :

Quels traitements réalisés au sein de l’entreprise, par activité (en gestion RH, au niveau clientèle) ;

Quelle nature de données personnelles (incluent-elles des données sensibles – opinion, origine, santé etc.) ?

Comment les données ont-elles été recueillies (information, consentement du titulaire) ?

Quelle utilité des collectes de données, quel objectif ?

Quelle durée de conservation ?

Qui a accès à ces données ?

Comment les accès sont-ils sécurisés ?

À quel prestataire, sous-traitants, les données sont-elles confiées ;

Des données sont-elles transférées hors UE ?

  • Une seconde phase de mise en œuvre concrète incluant généralement :

La désignation un responsable de traitement ou constitution d’une équipe dédiée, le cas échéant par département ;

Le classement les données personnelles par typologie,

La détermination au sein de chaque classement d’une durée de conservation maximale en référence aux besoins et aux prescriptions légales ;

L’établissement d’un registre correspondant (nature de la donnée, durée d’archivage, limite de de conservation, et fixation de procédures de suppression) ;

La formalisation d’une charte de bonnes pratiques vis-à-vis du personnel, des prestataires, sous-traitants, clients ;

La remise, contre signature à chaque nouveau collaborateur, d’un document de sensibilisation (information sur leurs droits, consentement, confirmation de la prise de connaissance de la charte, identification d’un référent) ;

La conclusion d’un avenant à contrat de travail avec les collaborateurs en place (mêmes rubriques) ;

La vérification de la sécurité du système d’information auprès des prestataires, sous-traitants, des mesures mises en place par leurs soins, la conclusion d’un avenant confirmant leur mise en conformité avec le RGPD.

La vérification des mentions figurant sur le site internet (identification des cookies, bandeau de recueil de consentement) à l’attention des clients.

L’estimation de l’opportunité de désigner un DPO, et d’effectuer une analyse d’impact ;

« Citius, Altius, Fortius »[1]

D’aucuns estiment que le RGPD va handicaper la compétitivité des entreprises françaises et européennes sur l’échiquier mondial de la « guerre du numérique ».

Force est toutefois de constater que la protection des données personnelles est une préoccupation d’ores et déjà prise en compte par nombre d’acteurs mondiaux.

Les US, bien conscients des enjeux, ont d’ailleurs accepté de conclure, en la matière, avec l’Union européennes, le Safe Harbor, puis tout récemment, sa version amendée (certes moins contraignante que notre RGPD), et les sociétés françaises filiales de grands groupe US ont, depuis plusieurs mois déjà, adapté corrélativement leurs procédures en interne.

Même le Comité d’Organisation des Jeux Olympiques d’hiver de PyeongChang s’est doté de sa propre politique de traitement des informations personnelles « afin de protéger les informations personnelles de ceux qui les fournissent et pour traiter rapidement et efficacement les réclamations ».

Il appartient désormais aux entreprises françaises de tirer leur épingle du jeu face à ce nouveau défi, pour, autant que faire se peut, le transformer en atout.

[1] « Plus vite, plus haut, plus fort », devise olympique signifiant qu’il convient de donner le meilleur de soi-même, progresser, se dépasser au quotidien, sur le stade comme dans la vie (Encyclopédie universalis)