Article
guide des obligations du RGPD
Le Règlement général sur la protection des données (RGPD) a été créé par l’Union Européenne (UE) afin d’établir des lignes directrices pour la collecte et le traitement des informations à caractère personnel de ses citoyens. Si les obligations du RGPD font majoritairement référence à des données collected online issues de sites web et d’applications, elles concernent également les données recueillies sur papier et d’autres supports.
Le RGPD s’applique à tous les citoyens de l’UE, qu’ils résident dans ou hors de l’UE, ainsi qu’à toute organisation traitant leurs données personnelles, peu importe sa localisation. Conformément au RGPD, les entreprises doivent garantir la protection et la confidentialité des données personnelles (PII) de tout citoyen de l’UE, incluant les informations de leurs employés, clients et fournisseurs.
Approuvé en 2016 et entré en vigueur en 2018, le RGPD remplace la Directive de 1995 sur la protection des données, avec pour objectif principal de redonner aux citoyens de l’UE le contrôle de leurs informations personnelles et d’encadrer strictement leur usage par les entreprises.
Découvrez l’importance de l’identité pour les obligations du RGPD.
Qu’est-ce qui est considéré comme information permettant l’identification personnelle (IPIP) ?
La quasi-totalité des interactions avec les organisations impliquent un échange de données à caractère personnel. Dans de nombreux cas, des fragments isolés de ces données ne suffisent pas à identifier une personne. Par exemple :
- La date de naissance
- Les renseignements sur les études
- L’adresse électronique
- Les renseignements professionnels
- Les renseignements financiers
- Les indications géographiques
- L’adresse postale
- Les renseignements médicaux
- Le lieu de naissance
- La race
- La religion
- Le numéro de téléphone
Mais lorsqu’elles sont regroupées, les données à caractère personnel ci-dessus permettant l’identification d’un individu et deviennent des informations permettant l’identification personnelle, ou IPIP. En voici quelques exemples :
- Les données biométriques : images numérisées de la rétine, signatures vocales ou géométrie faciale ;
- Le nom : nom complet, nom de jeune fille, nom de jeune fille de la mère ou alias ;
- Les renseignements concernant l’adresse personnelle : l’adresse physique ou électronique ;
- Les caractéristiques personnelles : les clichés photographiques (en particulier du visage ou d’autres caractéristiques permettant l’identification), les empreintes digitales ou l’écriture ;
- Les numéros personnels d’identité : le numéro de sécurité sociale (NSS), le numéro de passeport, le numéro de permis de conduire, le numéro d’identification fiscale, le numéro de compte financier ou le numéro de carte de crédit ;
- Les numéros de téléphone personnels ;
Pour être en règle avec le RGPD, les sociétés doivent mettre en place des protections sur les données et la confidentialité pour les IPIP relatives à tous les citoyens de l’UE auxquels elles ont affaire (salariés, clients et fournisseurs tiers).
À lire pour approfondir le sujet :
- Les obligations du RGPD
- Qui doit se conformer aux obligations du RGPD
- Les sept principes du RGPD et les obligations qui en découlent
- Les obligations du RGPD pour les droits individuels
- Assurer la conformité aux obligations du RGPD
Quelles sont les obligations du RGPD ?
1. Un traitement licite, équitable et transparent (RGPD chapitre 2, article 5a)
« Les données à caractère personnel seront : »
5a : «traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence)"
5b: « ollectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ; le traitement ultérieur à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités) ;»
Pour se conformer à ces obligations du RGPD, les organisations doivent avoir une raison licite de traiter les données à caractère personnel. Elles doivent aussi obtenir le consentement des personnes concernées de collecter les informations ainsi que de les informer de la façon dont elles seront traitées et utilisées.
Répondre aux obligations du RGPD pour un traitement licite, loyal et transparent signifie :
- Licite signifie que tout traitement doit reposer sur une finalité légitime.
- Loyal signifie que les sociétés assument la responsabilité et ne traitent les données pour aucun autre objet que les finalités légitimes indiquées.
- Transparent signifie que les sociétés doivent informer les personnes concernées des activités de traitement utilisées pour leurs données à caractère personnel.
2. Limitation de la finalité, des données et de la conservation (RGPD chapitre 2, article 5b et 5c)
« Les données à caractère personnel seront : »
5c : « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; »
Les obligations du RGPD contraignent les organisations à documenter la raison pour laquelle les informations sont collectées et traitées et pour s’assurer que les informations seront détruites lorsqu’elles ne sont plus nécessaires (par exemple la minimisation des données). Il existe une latitude pour le traitement des informations à des fins d’archivage, y compris l’intérêt humain, ainsi que pour des finalités scientifiques, historiques ou statistiques.
Pour répondre effectivement aux obligations du RGPD, les organisations doivent :
- Interdire le traitement de données à caractère personnel en dehors de la finalité légitime pour laquelle les données à caractère personnel ont été recueillies.
- S’interdire de réclamer des données à caractère personnel autres que celles qui sont nécessaires.
- Demander à ce que les données à caractère personnel soient détruites une fois que l’objet légitime pour lequel elles ont été recueillies ait été rempli.
3. Droits de la personne concernée(GDPR chapitre 3, articles 12-23)
Les droits des personnes concernées détaillent les obligations du RGPD ; au nombre de onze, ils sont codifiés en cinq sections :
- Transparence et modalités ;
- Information et accès aux données à caractère personnel ;
- Rectification et effacement ;
- Droit d’opposition et prise de décision personnelle automatisée
- Restrictions
4. Consentement (RGPD chapitre 2, article 6)
« Le traitement n’est licite que si, et dans la mesure où au moins une des conditions suivantes est remplie :
- la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
- le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;
- le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
- le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant. »/em>
Conformément aux obligations du RGPD, le consentement de la personne concernée n’est que l’une des six prérequis pour le traitement des données. Pour que le consentement soit acquis, le responsable du traitement doit avoir obtenu l’accord d’une personne de son plein gré. C’est-à-dire que les personnes concernées doivent avoir consenti au traitement d’elles-mêmes et non de façon passive suite à une intervention du responsable du traitement.
De plus, le consentement doit être documenté et la personne concernée doit avoir la possibilité de se rétracter à tout moment. Pour un traitement de données concernant des enfants de moins de seize ans, le consentement d’un parent ou d’un tuteur est requis.
5. Notification d’une violation des données (RGPD chapitre 4, article 33)
« En cas de violation de données à caractère personnel, le responsable du traitement notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »
L’article 4 (du chapitre 2) définit une violation des données comme «une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.»
Il est à noter que ce qui relève de la violation des données aux termes du RGPD va au-delà du cybercrime. Une violation de données peut être quelque chose d’aussi simple qu’un partage de fichiers avec une personne extérieure à l’organisation, l’envoi par un salarié d’un e-mail contenant des données sensibles à la mauvaise personne ou l’accès d’une personne à des fichiers sans autorisation.
6. La protection des données par définition et par défaut (chapitre 4, article 25)
«…au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires …»
Pour se conformer aux obligations du RGPD pour la protection des données par définition, les organisations doivent prendre en compte la confidentialité des données dès le début du traitement des données.
7. Analyse d’impact de la protection des données (chapitre 4, article 35)
«Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.»
Selon les obligations du RGPD, une analyse d’impact de la protection des données doit être réalisée dans les cas suivants :
- «Une évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
- Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
- La surveillance systématique à grande échelle d’une zone accessible au public..»
8. Transfert de données (RGPD chapitre 5, article 44)
«Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Les règles entourant les transferts de données dépendent du lieu vers lequel ou à partir duquel on déplace les données.»
Il y a d’autres obligations du RGPD concernant les transferts de données, qui sont détaillées aux articles 45, 46, 47 et 48, lesquels font également partie du chapitre 5. Ces articles traitent de certaines sortes de transferts en particulier et de la protection des données qui est requise, notamment les transferts dans des pays hors UE.
9. Délégué à la protection des données ou DPD (chapitre 4, articles 37, 38 et 39)
L’article 37 indique : «Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque :
- le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou ;
- les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10..»
Les obligations du DPD dans le cadre du RGPD sont énoncées à l’article 38. Un des points clés de cet article est : «Les personnes concernées peuvent prendre contact avec le délégué à la protection des données au sujet de toutes les questions relatives au traitement de leurs données à caractère personnel et à l’exercice des droits que leur confère le présent règlement.»
Les tâches du DPD sont énumérées à l’article 39. Elles sont les suivantes :
- Conseiller le personnel sur leur responsabilités vis-à-vis de la protection des données ;
- Informer la direction à propos de la nécessité des analyses d’impact de la protection des données (AIPD) ;
- Revoir régulièrement les cadres d’action de l’organisation sur la protection et les procédures de protection des données ;
- Jouer le rôle de point de contact entre l’organisation et son autorité de contrôle ainsi que pour les personnes sur des questions de confidentialité.
10. Connaissance et formation (chapitre 4, article 39)
« Pour contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris [...] la sensibilisation et la formation du personnel participant aux opérations de traitement […] ;»
Pour se conformer aux obligations du RGPD, les organisations doivent s’assurer que la formation est complète et s’adresse à chacun des rôles différents d’une organisation. La formation à la protection des données relative au RGPD est obligatoire pour tout salarié qui a affaire à des données sensibles transmises par un citoyen de l’UE.
Qui doit se conformer aux obligations du RGPD ?
Les obligations du RGPD s’appliquent à tous les membres de l’Union européenne et de l’Espace économique européen (EEE) qui conservent ou traitent des informations sur les citoyens de l’UE, où que se trouvent les sites et les résidents. Par conséquent, elles s’appliquent à toute organisation rendant des services numériques à des visiteurs européens, même si les citoyens de l’UE effectuent leur visite ailleurs ou résident dans un autre lieu, les obligations du RGPD doit tout de même être respectées.
Les critères de conformité des organisations aux obligations du RGPD sont indiqués ci-dessous ; ils s’appliquent à un grand nombre de sociétés :
- Une présence dans un pays de l’UE ;
- Pas de présence dans l’UE mais traitant les données à caractère personnel de résidents européens ;
- Plus de 250 employés ;
- Moins de 250 employés mais le traitement des données a des répercussions sur les droits et les libertés des personnes concernées, il n’est pas occasionnel ou il inclut certains types de données à caractère personnel sensibles.
Les obligations du RGPD dans les 7 principes du RGPD
L’article 5 du chapitre 2 du RGPD détaille sept principes relatifs au traitement de données à caractère personnel.
1. Licéité, équité et transparence : La licéité signifie que tous les traitements concernant les données de vos utilisateurs doivent être effectués sur une base licite reconnue. Ces processus doivent également être équitables et transparents, c’est-à-dire que vous devez respecter votre politique de confidentialité et n’utiliser les données de vos utilisateurs que de la manière dont vous les avez partagées avec eux.
2. Limitation de l’objet: Le RGPD établit des paramètres sur la façon dont les données peuvent être utilisées, en indiquant qu’elles ne peuvent «recueillies qu’à des fins précises, explicites et légitimes.»
3. Minimisation des données: Dans le cadre de la minimisation des données, le RGPD stipule qu’elles doivent être limitées à ce qui est nécessaire pour atteindre les objectif.
4. Exactitude: Pour être en conformité avec les obligations du RGPD, les organisations doivent assumer la responsabilité de l’exactitude des données à caractère personnel recueillies et conservées, notamment en procédant à des vérifications et des équilibrages pour assurer l’intégrité des données et la maintenir.
5. Limitation de la durée de conservation: La durée pendant laquelle les données peuvent être conservées fait également partie des obligations du RGPD. Les organisations doivent expliquer pourquoi elles ont besoin de conserver les données et quelle est la justification de la période de conservation.
6. Intégrité et confidentialité: Les organisations ont la responsabilité de la protection des données. Des systèmes de sécurité doivent être en place pour que les données soient protégées d’un accès non autorisé, d’un traitement illicite et de dommages, perte ou destruction accidentels.
7. Obligation de rendre compte: Les organisations sont contraintes d’apporter la preuve qu’elles se conforment aux obligations du RGPD. En effet, elles peuvent être appelées à tout moment à démontrer cette conformité.
Obligations du RGPD concernant les droits individuels
Au chapitre trois, huit droits des personnes aux termes du RGPD sont définis.
1. Le droit à l’information: Le droit d’être informé par les organisations sur la façon dont les informations sont collectées, combien de temps elles seront conservées et avec qui elles seront partagées.
2. Le droit d’accès: Le droit d’être informé par les organisations sur la nature des informations recueillies, comment elles sont conservées et traitées et comment elles seront utilisées.
3. Le droit de rectification: Le droit de faire corriger des informations incomplètes ou inexactes.
4. Le droit à l'effacement: Le droit de faire effacement définitivement les documents comportant des données personnelles.
5. Le droit à la restriction du traitement: Le droit de limiter le traitement de données à caractère personnel au cas où elles ne peuvent pas être effacées.
6. Le droit à la transférabilité des données: Le droit de se faire communiquer ses données à caractère personnel et de demander à ce que les organisations envoient ces informations à des tiers.
7. Le droit d’opposition: Le droit de s’opposer au traitement des données à caractère personnel. Cependant, dans certains cas, les organisations peuvent outrepasser ce droit.
8. Le droit d’éviter les décisions prises automatiquement: Le droit de refuser l’utilisation d’algorithmes pour prendre des décisions et de ne pas faire l’objet de décisions prises automatiquement.
Comment être en règle avec les obligations du RGPD : conseils et récompenses
Les lourdes conséquences et les sévères sanctions (de l’ordre de 20 millions d’euros, soit 4 % du chiffre d’affaires annuel) qui font suite au non-respect du RGPD exigent que l’on y soit attentif. Voici plusieurs pratiques homologuées à prendre en compte concernant le respect des obligations du RGPD.
- Déterminer si les applications sur appareils mobiles sont conformes aux RGPD Lorsque l’on a de nombreux collaborateurs qui accèdent à des IPIP conservées sur leurs appareils électroniques, il est important de vérifier que ces applications et appareils respectent les obligations du RGPD.
- Procéder régulièrement à des évaluations de gestion de risque. Dans un contexte de changements incessants dans les entreprises et au niveau opérationnel, il importe de toujours savoir précisément quelles données sont conservées et traitées et quels sont les risques qu’elles comportent. Des mesures d’atténuation et de remédiation doivent également être envisagées dans le cadre de l’évaluation de la stratégie de gestion de risque. Et tout particulièrement, il convient de faire attention aux cas d’informatique fantôme qui recueillent et traitent des IPIP.
85%
du risque pour l’entreprise peuvent être
liés à seulement 5 % des utilisateurs
Plus de 20 millions €
d’amende minimum pour une
effraction au RGPD
Principales étapes pour garantir la conformité au RGPD dans l’entreprise
La conformité aux obligations du RGPD exige de passer en revue l’ensemble des personnes qui ont accès aux données, de déterminer à quelles données et où se trouvent les données réglementées.
- Élaborer et gérer sur la durée un plan de protection des données qui tient compte des obligations du RGPD. Si un plan de protection des données n’est pas en place, fixez-vous comme priorité absolue d’en concevoir un. Pour les organisations qui disposent déjà d’un tel plan, révisez-le pour vous assurer qu’il est conforme aux obligations du RGPD. Les plans de protection des données doivent en outre être régulièrement vérifiés pour s’adapter aux changements et aux mises à jour des obligations du RGPD.
- Susciter parmi les hauts dirigeants un sentiment d’urgence. Faire en sorte que les cadres dirigeants de l’entreprise se donnent comme priorité la conformité aux obligations du RGPD est la garantie qu’elle soit la préoccupation numéro un dans toute l’organisation.
- Embaucher ou nommer un DPD, si ce poste n’est pas déjà pourvu. Même si les obligations du RGPD ne font pas expressément appel à un délégué à la protection des données comme poste distinct, il appartient aux organisations d’avoir une personne chargée d’occuper cette fonction. Et étant donné que le RGPD permet à un DPD de travailler pour plusieurs organisations, un consultant peut être engagé à temps partiel.
- Impliquer la totalité des parties prenantes. Beaucoup s’imaginent que les obligations du RGPD relèvent des services informatiques. Mais ce n’est pas exact. Ces services ne sont pas armés pour assurer la conformité aux obligations du RGPD. Dans une organisation, la plupart des services recueillent, analysent ou utilisent des IPIP, aussi bien les services marketing, que financier ou commercial, ou la production.
- Assurer une veille des systèmes et des processus pour qu’ils se conforment aux obligations du RGPD. Une veille continue doit être mise en place pour qu’une organisation reste en règle avec les obligations du RGPD.
- Tester les plans d'intervention relatifs aux données. Parmi les obligations du RGPD, il y en a une qui stipule que les organisations doivent signaler une violation de données dans les 72 heures après que l'on en a eu connaissance. Bien pensé, testé et soumis à des essais, un plan d’intervention aux incidents peut être un outil précieux pour satisfaire aux obligations du RGPD et atténuer les dommages.
Oui, cela prend du temps, mais une organisation assujettie au RGPD doit investir dans des systèmes et des processus pour garantir la conformité. Les avantages vont bien au-delà de la simple conformité. Un grand nombre d’obligations du RGPD font l’effet d’un halo : elles renforcent la sécurité et rehaussent la perception de la marque en suscitant une plus grande confiance chez les clients.