Article
Guide de la conformité au règlement général sur la protection des données (RGPD)
Le règlement général sur la protection des données (RGPD) est une loi adoptée pour contrôler la manière dont les organisations traitent et utilisent les données personnelles collectées auprès des consommateurs en ligne. L'Union européenne (UE) l'a approuvé en avril 2016, et les exigences dictant la conformité au RGPD sont entrées en vigueur le 25 mai 2018. Les exigences de conformité au RGPD représentent une harmonisation des lois sur la confidentialité des données dans l'ensemble de l'UE.
L'utilisation quasi omniprésente des services en cloud et les menaces généralisées de violations de données sont un élément moteur des exigences de conformité au RGPD. Les services numériques ont érodé les frontières qui permettaient autrefois de mieux contrôler le lieu de résidence des données.
Les exigences de conformité au RGPD reflètent la position très protectrice de l'UE sur la confidentialité des données et la sécurité de ses citoyens.
Bien que la loi ait été rédigée et adoptée dans l'UE, le RGPD s'applique à toute organisation qui collecte et traite des données relatives aux citoyens de l'UE, quel que soit le lieu où elle se trouve.
Sept principes de protection des données guident les exigences de conformité au RGPD en matière de protection de la vie privée des personnes dont les données sont collectées, utilisées, consultées ou traitées d'une autre manière :
- Responsabilité
- Exactitude
- Minimisation des données
- Integrité et confidentialité
- Licéité, équité et transparence
- Limitation des finalités
- Limitation de la conservation
Quelles sont les exigences en matière de conformité au RGPD ?
La conformité au RGPD est considérée comme l'une des plus difficiles à atteindre et à maintenir ; la loi est largement considérée comme la directive la plus stricte au monde en matière de sécurité et de protection de la vie privée, le texte intégral contenant 99 articles individuels. Les principales exigences de conformité au RGPD sont présentées ci-dessous afin de donner une idée de la portée et de l'ampleur de la loi.
Exigences en matière de responsabilité
Les organisations qui traitent des données à caractère personnel sont tenues d'avoir des responsables du traitement des données qui peuvent démontrer leur conformité au RGPD.
Exigences d'exactitude
La conformité au RGPD exige des organisations qu'elles prennent des mesures raisonnables pour s'assurer que les informations des personnes concernées sont exactes. Bien qu'aucune exigence spécifique ne soit imposée, il faut tenir compte des circonstances, du type de données personnelles traitées et de la raison pour laquelle elles sont utilisées.
Pour satisfaire à cette exigence, une évaluation est nécessaire pour déterminer l'importance des données personnelles. Au fur et à mesure que leur importance augmente, les mesures prises pour garantir leur exactitude doivent également augmenter. Dans le cadre de l'exigence d'exactitude, la conformité au RGPD exige que des procédures soient mises en place pour permettre aux personnes concernées de faire mettre à jour leurs informations personnelles à leur demande.
Exigences en matière de consentement
Contrairement à la croyance populaire, la conformité au RGPD n'exige pas le consentement des personnes concernées pour traiter leurs informations. Le consentement est l'une des six bases légales pour le traitement des informations des personnes concernées et il est généralement demandé si l'une des cinq autres n'est pas applicable.
Toutefois, si le consentement est utilisé comme base pour la conformité au RGPD, les organisations doivent se conformer à plusieurs règles, notamment :
- Les enfants de moins de 13 ans ne peuvent donner leur consentement qu'avec l'autorisation de leurs parents.
- Le consentement doit être « libre, spécifique, éclairé et sans ambiguïté ». Les utilisateurs doivent donner leur consentement de manière active et l'organisation ne doit pas utiliser des cases pré-cochées pour donner leur consentement.
- Les personnes concernées peuvent à tout moment retirer le consentement qu'elles ont donné précédemment. (Il est important de noter que si le consentement est retiré, les organisations ne peuvent pas le remplacer par l'une des cinq autres raisons légales de traiter les informations de la personne concernée).
- Les preuves documentaires du consentement doivent être conservées.
- Les demandes de consentement doivent être « clairement distinguées des autres questions » et présentées dans un « langage clair et simple ».
Exigences en matière d'évaluation de l'impact sur la protection des données
La conformité au RGPD inclut l'identification et la minimisation des risques dans le traitement des données à l'aide d'analyses d'impact sur la protection des données (DPIA). L'article 35 introduit le concept des DPIA, une exigence de conformité au RGPD lorsque le traitement des données « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Dans le contexte de la conformité au RGPD, le risque élevé se réfère à ce qui suit :
- les données relatives à des catégories particulières ou à des infractions pénales à grande échelle
- le profilage systématique et étendu
- la surveillance systématique à grande échelle de lieux accessibles au public
Exigences en matière de droits des personnes concernées
La conformité au RGPD doit prendre en compte huit droits des personnes concernées.
- Le droit d'être informé
Les organisations doivent informer les personnes concernées, de manière concise et dans un langage clair, des informations collectées, de la manière dont elles sont utilisées, de la durée de leur conservation et de leur éventuel partage avec des tiers. - Le droit d'accès
Les personnes concernées peuvent demander aux organisations de leur fournir une copie de toute donnée personnelle stockée et recevoir cette information dans un délai d'un mois, sauf exceptions. - Le droit de rectification
Les personnes concernées peuvent demander que leurs informations soient mises à jour s'il s'avère que les données sont inexactes ou incomplètes. Ce droit doit être exercé dans un délai d'un mois, sauf exceptions. - Le droit à l'effacement
Dans certaines circonstances, les personnes concernées peuvent demander à une organisation d'effacer leurs données, par exemple si les données ne sont plus nécessaires, si elles ont été traitées illégalement ou si elles ne répondent plus au motif légal pour lequel elles ont été collectées. - Le droit à la limitation du traitement
Lorsqu'une personne concernée n'utilise plus le produit ou le service pour lequel ses données ont été initialement collectées, elle peut demander qu'elles soient effacées. Si l'organisation démontre que cela est nécessaire (par exemple, pour établir, exercer ou défendre une réclamation légale), des restrictions peuvent être imposées sur la façon dont les données sont utilisées. - Le droit à la portabilité des données
Les informations relatives aux personnes concernées doivent être accessibles dans un format standard afin de pouvoir être utilisées par différents services. - Le droit d'opposition
Même si une organisation traite des données personnelles en se fondant sur l'intérêt légitime ou l'exécution d'une tâche dans l'intérêt de l'autorité publique, les personnes concernées ont le droit de s'opposer au traitement. - Droits liés à la prise de décision automatisée, y compris le profilage
Des limites sont imposées à l'utilisation des informations des personnes concernées pour la prise de décision automatisée, comme le profilage et d'autres applications de l'intelligence artificielle et de l'apprentissage automatique.
Exigences en matière de transfert de données
Les règles relatives aux transferts de données varient en fonction de l'endroit où les données sont déplacées. Les protections de base du RGDP en matière de données et de vie privée sont acceptables si les informations d'une personne concernée sont transférées au sein de l'UE.
Toutefois, les données ne peuvent être transférées à un tiers ou à une organisation internationale que si l'organisation de traitement « a mis en place des garanties appropriées et à condition que des droits exécutoires et des recours juridiques efficaces soient disponibles pour les personnes concernées ».
Exigences en matière d'intégrité et de confidentialité
Le traitement des données doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées pour répondre aux exigences de conformité au RGPD. Le niveau des contrôles de sécurité doit être proportionnel à l'impact d'une violation des données sur une personne concernée.
La protection des données est nécessaire pour éviter que les données traitées ne soient compromises accidentellement ou délibérément. Seuls les utilisateurs autorisés doivent pouvoir accéder aux informations des personnes concernées, les modifier, les divulguer ou les supprimer.
Exigences en matière de traitement licite, équitable et transparent
Le traitement doit être licite, équitable et transparent pour la personne concernée. L'un des six motifs légaux de traitement des données doit être respecté pour garantir la conformité au RGPD.
Bien que le traitement des données ne doive pas être essentiel, il doit y avoir une finalité spécifique pour le traitement des informations d'une personne concernée :
- Le consentement explicite de la personne concernée doit avoir été obtenu.
- Le traitement est nécessaire au respect d'une obligation légale.
- Le traitement est nécessaire à l'exécution d'un contrat avec la personne concernée ou à la prise de mesures en vue de conclure un contrat.
- Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement.
- Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que les intérêts, droits ou libertés de la personne concernée ne prévalent sur ces intérêts.
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux d'une personne concernée ou d'une autre personne.
Pour garantir la transparence, les organisations doivent créer des avis de confidentialité et les rendre facilement accessibles aux personnes concernées.
Exigences en matière de limitation des finalités, de données et de conservation
La conformité au RGPD exige que les organisations aient un motif légitime pour traiter les informations des personnes concernées et qu'elles l'indiquent explicitement à la personne concernée au moment de la collecte. Lorsque les données ne sont plus nécessaires, elles doivent être supprimées. Il existe des exceptions pour le traitement des données à des fins d'archivage dans l'intérêt public et à des fins scientifiques, historiques ou statistiques.
Exigences relatives à la notification d'une violation de données personnelles
En cas de violation de données, il existe des exigences très spécifiques en matière de conformité au RGPD. L'une des plus importantes est liée à une violation de données impliquant la compromission d'informations personnelles et la mise en danger potentielle de personnes.
Dans ce cas, l'organisation doit signaler l'incident dans les 72 heures suivant son identification. Par la suite, un processus est mis en place pour évaluer ce qu'il est advenu des données et les implications pour les personnes concernées.
L'article 4, section 12, définit une violation de données à caractère personnel comme « une violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Cela signifie qu'une violation de données personnelles va au-delà de l'attaque d'un cybercriminel et inclut les initiés accidentels qui compromettent par erreur les informations d'une personne concernée.
Exigences en matière de protection de la vie privée dès la conception et par défaut
Pour satisfaire aux exigences de conformité au RGPD en matière de respect de la vie privée dès la conception et par défaut, une organisation doit commencer à développer son programme de traitement des données en intégrant la sécurité plutôt qu'en l'ajoutant ultérieurement. Cela signifie qu'elle doit intégrer les mesures techniques et organisationnelles appropriées de protection des données, ainsi que les mesures nécessaires pour protéger les droits à la vie privée de la personne concernée.
Exigences en matière de formation de sensibilisation à la sécurité
La formation du personnel à la sensibilisation à la sécurité est obligatoire pour la conformité au RGPD. Toute personne qui traite des données personnelles ou qui est chargée de superviser les pratiques de protection des données doit être informée de ses responsabilités, des menaces qui pèsent sur les données personnelles et des droits des personnes concernées. La formation de sensibilisation à la sécurité doit également porter sur le respect de la vie privée dès la conception et par défaut, ainsi que sur les DPIA.
Exigences en matière de limitation de la conservation
Les organisations doivent disposer de politiques et de calendriers de conservation qui définissent la durée pendant laquelle les informations des personnes concernées seront stockées pour répondre aux exigences de conformité du RGPD. Cette période de conservation ne doit durer que le temps nécessaire à l'utilisation des données.
Des systèmes doivent être mis en place pour garantir que les données sont supprimées ou rendues anonymes lorsqu'elles atteignent la fin de leur période d'utilisation définie. De plus, il doit exister une procédure de suppression anticipée (par exemple, si une personne concernée en fait la demande ou si les données ne sont plus utilisées).
Qui est tenu de se conformer au RGPD ?
La conformité au RGPD est requise pour toute organisation qui traite les données personnelles d'un citoyen de l'UE. Quel que soit le lieu d'implantation de l'organisation, la conformité au RGPD est requise si l'organisation :
- Surveille le comportement d'un citoyen de l'UE, par exemple au moyen de cookies ou d'adresses IP (protocole internet)
- propose des biens et des services à un citoyen de l'UE à partir de son site web
Quels sont les droits des utilisateurs en vertu du RGPD ?
La conformité au RGPD établit des droits pour les personnes concernées ainsi que des obligations pour les organisations qui traitent leurs données à caractère personnel. Voici un résumé des droits des personnes concernées que le RGPD met en œuvre.
Le droit d'accès
Les organisations doivent faciliter l'accès des utilisateurs à leurs données personnelles pour assurer la conformité au RGPD. Les personnes doivent pouvoir demander une copie des données à caractère personnel détenues par une organisation et en recevoir une copie accompagnée de toute information complémentaire, telle que les finalités du traitement et la période de conservation des données. Ces informations doivent être fournies dans un délai d'un mois à compter de la date de la demande, à quelques exceptions près.
Le droit à la portabilité des données
La conformité au RGPD exige qu'une personne concernée puisse transférer ses données personnelles d'un prestataire de services à un autre. Ce droit permet aux personnes concernées de mieux contrôler leurs données et de bénéficier d'une plus grande liberté lorsqu'elles passent d'un fournisseur de services à un autre, par exemple pour obtenir un meilleur service ou un meilleur prix.
Le droit à l’effacement
Également connu sous le nom de droit à l'oubli, ce mandat de conformité au RGPD permet aux personnes concernées de demander aux organisations d'effacer toutes les données personnelles qu'elles ont collectées. Les exceptions à ce droit sont les situations où il existe une obligation légale de conserver ces données et celles où elles sont utilisées dans le cadre d'une tâche effectuée dans l'intérêt public. Une demande d'effacement doit être traitée dans un délai d'un mois à compter de la demande.
Le droit d'être informé
Pour se conformer aux exigences du RGDP, les organisations doivent s'assurer que les personnes concernées disposent d'informations claires sur ce qu'une organisation fait de leurs données personnelles. Les exigences varient selon qu'une entreprise collecte des données personnelles directement auprès de la personne concernée ou qu'elle les obtient d'une autre source.
- Si les données sont collectées directement auprès de la personne concernée, l'organisation est tenue de fournir les informations personnelles.
- Si les données sont collectées auprès d'une source tierce, l'organisation doit seulement informer la personne concernée de la source, plutôt que de fournir les informations personnelles.
Le droit de rectification
Les exigences de conformité au RGPD stipulent que si une organisation reçoit une demande de rectification, elle est tenue de prendre des mesures raisonnables pour confirmer que les données sont correctes ou les corriger. Les organisations disposent d'un mois à compter de la réception de la demande pour y répondre.
Droits relatifs à la prise de décision automatisée et au profilage
La prise de décision automatisée est un processus sans implication humaine, tel que le profilage et la formulation de jugements sur certains aspects d'une personne. La prise de décision automatisée ne peut être utilisée que dans trois situations :
- Les personnes concernées sont informées du traitement
- Une personne concernée peut facilement demander une intervention humaine ou contester une décision
- Des contrôles réguliers sont effectués pour s'assurer que le système fonctionne comme prévu
Le droit à la limitation du traitement
La conformité au RGPD exige que les organisations aient le consentement clair d'une personne concernée pour traiter ses données personnelles. Le processus d'obtention du consentement doit être transparent et facilement accessible. Les personnes concernées ont également le droit de savoir s'il est nécessaire d'obtenir le consentement explicite d'une personne pour le traitement de ses données personnelles et l'étendue de ce traitement.
Quelles sont les sanctions prévues en cas de non-respect du RGPD ?
Le non-respect des critères de conformité au RGPD est passible de lourdes amendes, qui varient en fonction de la gravité de l'infraction. Il existe deux niveaux d'amendes pour le non-respect des exigences de conformité au RGPD. Outre les amendes, le RGPD donne aux personnes concernées le droit de demander réparation aux organisations qui leur causent un préjudice matériel ou moral en raison du non-respect des exigences de conformité du RGPD.
Amendes de premier niveau
Une amende pouvant aller jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial de l'organisation pour l'exercice précédent, le montant le plus élevé étant retenu, est imposée en cas de violation des règles relatives aux entités suivantes :
- Les organismes de certification (articles 42 et 43)
- Les responsables et gestionnaires (Articles 8, 11, 25 à 39, 42 et 43)
- Les organismes de contrôle (article 41)
Amendes de deuxième niveau
Une amende pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'organisation pour l'exercice précédent, le montant le plus élevé étant retenu, est imposée en cas de violation des règles relatives à ce qui suit :
- Toute violation des lois des États membres adoptées en vertu du chapitre IX (le chapitre IX donne aux États membres de l'UE la possibilité d'adopter des lois supplémentaires sur la protection des données, à condition qu'elles soient conformes au RGPD)
- Le non-respect d'une injonction d'une autorité de contrôle
- Les principes de base du traitement (articles 5, 6 et 9)
- Les conditions du consentement (article 7)
- les droits des personnes concernées (articles 12 à 22)
Les amendes pour non-respect des exigences de conformité au RGPD sont administrées par l'autorité de régulation de la protection des données dans chaque pays de l'UE. Elles déterminent s'il y a eu violation et quelle sera la sanction.
Les 10 critères clés pour évaluer les infractions au RGPD
Les dix critères suivants sont utilisés pour déterminer si une organisation a enfreint le RGPD et, le cas échéant, la sanction associée. S'il est établi que l'organisation a commis plusieurs violations, elle sera sanctionnée pour la plus grave d'entre elles, à condition que toutes les violations fassent partie de la même opération de traitement.
- La gravité et la nature
- Intention
- Limitation
- Mesures de précaution
- Antécédents
- Coopération avec l'autorité de contrôle
- Catégorie de données
- Notification
- Certification
- Facteurs aggravants/atténuants
- Comment cela s'est produit
- Le temps nécessaire pour résoudre le problème
- Les dommages subis
- Le nombre de personnes touchées
- Ce qui s’est passé
- Pourquoi cela s’est-il passé
- Intentionnel
- Accidentel
- Résultat d'une négligence
- L'organisation a-t-elle pris des mesures pour limiter les dommages
- Combien de temps a-t-il fallu pour prendre des mesures
- Mesures de protection techniques
- Préparation de l'organisation
- Toute infraction antérieure pertinente au titre de la directive sur la protection des données et du RGPD
- Respect des mesures correctives administratives prises par le passé au titre du RGPD
- Pour découvrir la violation
- Pour remédier à la violation
- Type de données personnelles concernées
- L'entreprise a signalé l'incident de manière proactive
- L'incident a été signalé par un tiers
- L'entreprise a-t-elle respecté les codes de conduite approuvés
- L'entreprise était-elle déjà certifiée
- Avantages financiers obtenus
- Pertes évitées
Quel est le lien entre le RGPD et les violations de données ?
Pour se conformer aux exigences du RGPD, les organisations doivent signaler à l'autorité de régulation toute violation de données personnelles susceptible d'entraîner un « risque pour les droits et libertés des personnes concernées ». Selon les règles de conformité du RGPD, il existe trois types de violations de données personnelles, et les violations de données peuvent appartenir à ces trois catégories.
- Violation de la confidentialité - une divulgation ou un accès non autorisé ou accidentel à des données personnelles
- Violation de la disponibilité - un accès accidentel ou une perte d'accès à des données personnelles ou la destruction de données personnelles
- Violation de l’intégrité - une altération non autorisée ou accidentelle de données personnelles
La conformité au RGPD exige que les organisations signalent une violation de sécurité qui affecte les données personnelles à une autorité de protection des données (DPA) dans les 72 heures après en avoir pris connaissance.
Qu'est-ce qu'une demande d'accès d’une personne concernée ?
Une demande d'accès d'une personne concernée (DSAR) est une demande d'accès d'une personne aux données personnelles qu'une entreprise a traitées, ainsi qu'aux informations suivantes :
- Les catégories de données personnelles traitées par l'organisation
- La période de conservation des données
- Des informations sur la prise de décision automatisée (par exemple, le profilage)
- Des informations sur leurs droits en vertu du RGPD
- La finalité du traitement de données personnelles
- La source des données (c'est-à-dire si les données ne sont pas collectées auprès de la personne concernée)
- Les tiers avec lesquels l'organisation partage des données personnelles
Qu'est-ce qu'un délégué à la protection des données ?
Un délégué à la protection des données (DPD) est chargé de veiller à ce qu'une organisation respecte les exigences de conformité du RGPD. Dans les grandes organisations, la fonction de DPD est assurée par plusieurs personnes ou par un département entier.
Le rôle du DPD est le suivant :
- Servir de point de contact entre l'organisation et son autorité de contrôle
- Conseiller le personnel sur ses responsabilités en matière de protection des données
- Approuver les workflows d'accès aux données
- Définir la manière dont les données conservées sont rendues anonymes
- Établir des périodes de conservation défendables pour les données personnelles
- Aider la direction à décider si des évaluations de l'impact sur la protection des données (DPIA) sont nécessaires
- Surveiller tous ces systèmes pour s'assurer qu'ils fonctionnent de manière à protéger les données privées des clients
- Superviser les politiques et procédures de protection des données
- Servir de point de contact pour les personnes concernées
Notez que toutes les organisations n'ont pas besoin d'adhérer aux règles de conformité du RGPD. Un DPD doit être désigné lorsque l'organisation a :
- Des activités qui constituent un traitement à grande échelle de catégories particulières de données énumérées aux articles 9 et 10 du RGPD
- Des activités de base qui l'obligent à contrôler systématiquement et régulièrement les personnes concernées à grande échelle
- Une autorité publique autre qu'un tribunal agissant dans le cadre d'une fonction judiciaire
Prendre au sérieux les exigences de conformité au RGPD
La conformité au RGPD ne doit pas être prise à la légère. Les sanctions imposées par les régulateurs sont élevées. En outre, les individus peuvent demander des compensations supplémentaires, ce qu'ils font d'ailleurs régulièrement. Bien que la conformité au RGPD nécessite des efforts, elle contribue également à renforcer la sécurité globale, ce qui est bénéfique pour les organisations.