RGPD (1/4) : généralités et notions principales

Le RGPD est le règlement pour la protection des données personnelles des citoyens européens. Il s’applique à toutes les sociétés qui collectent et/ou gèrent des données de citoyens européens, que ces sociétés soient européennes ou non.

Il a été publié en avril 2016, et est entré en application le 25 mai 2018, dans l’ensemble des 28 pays de l’Union Européenne (UE). RGPD est l’acronyme de « Règlement Général sur la Protection des Données » (en anglais : GDPR « General Data Protection Regulation »).

La particularité d’un règlement par rapport à une directive, est que tel quel, un règlement fait office de loi immédiate pour l’ensemble des pays de l’UE. A contrario, une directive doit (peut) être adaptée à la loi nationale de chaque état membre de l’UE. Par conséquent, les états ne peuvent réduire la portée des articles du RGPD, toutefois ils peuvent décider de les renforcer, à condition que cela améliore la protection des données personnelles.

Avant d’aller plus avant, il convient de bien saisir deux notions clefs : ce que sont les données personnelles et comment bien interpréter les articles du RGPD.

Voici une définition, la plus concise que l’on puisse faire : une donnée personnelle est une information relative à une personne physique, permettant de l’identifier directement ou indirectement  (ce deuxième adverbe est très important). À noter que la notion de donnée personnelle a la même portée avec l’actuel RGPD qu’avec l’ancienne « loi informatique et libertés » française de 1978.

On classe souvent les données personnelles en deux catégories :

• Données fortement identifiantes (c.-à-d. permettant de désigner de manière unique une personne, sans l’aide d’autres données) : numéro de sécurité sociale, numéro de compte bancaire, empreinte digitale, photographie, courriel, numéro de téléphone, plaque minéralogique, adresse IP, etc.
• Données faiblement identifiantes (c.-à-d. qu’à elle seule, la donnée ne permet pas de désigner de manière unique une personne, mais elle le peut par recoupement avec d’autres données) : nom, prénom, date de naissance, adresse, âge, sexe, informations de santé, revenus, salaire, etc.
  

Exemples : une seule personne est associée à un numéro de téléphone, celle qui a contractualisé l’abonnement (même si, pour connaitre son identité, il faut recouper le numéro avec d’autres sources). Par contre, un prénom ou un nom (comme Pierre DUPUIS) ne suffisent généralement pas à identifier de manière unique une personne à coup sûr, il faut d’autres informations (comme l’adresse ou la date de naissance). Malgré cela, toutes ces informations sont des données personnelles !

Si l’identification unique d’une personne semble évidente avec des données fortement identifiantes elle l’est moins avec des données faiblement identifiantes.  Et au-delà de la « force » d’identification intrinsèque de chaque donnée, prise individuellement, il convient de réfléchir en prenant en compte les possibles recoupements avec d’autres fichiers internes ET externes à votre entreprise, et ce même si vous n’avez pas vous-même accès à ces fichiers (un pirate, un voleur, un salarié mal intentionné…  pourrait y avoir accès !).

Exemple simple : supposons que l’on vous donne un numéro de plaque d’immatriculation. En soi (donc directement) cela ne vous permet pas d’identifier le propriétaire du véhicule (c.-à-d. de connaitre son nom, prénom, adresse…). Mais si vous avez accès (via un ami assermenté, ou un pirate par exemple) aux fichiers des immatriculations, vous pourrez l’identifier sans équivoque (donc par identification indirecte). Conclusion : la plaque d’immatriculation est une donnée personnelle !

Exemple plus difficile : avec une adresse IP, cela semble moins évident puisque les attributions changent régulièrement, mais à un instant donné, chaque terminal informatique (ordinateur, smartphone, tablette, …) se voit attribué une (ou plusieurs) adresse(s) IP, qu’elle(s) soi(en)t fixe(s) ou flottante(s). Ces attributions sont tracées temporellement (« sur tel créneau, tel jour, c’est M. DUPONT qui avait telle IP »). De plus, une adresse IP permet aussi de vous localiser. Conclusion : l’adresse IP est une donnée personnelle !

Dernier point concernant les données personnelles : à cause du mot « personnel » certains pourraient croire que le RGPD ne s’applique qu’aux données des personnes hors du cadre professionnel (= d’origine privée), donc pas aux données des clients, des collaborateurs, des fournisseurs, des candidats au recrutement, ou encore des sous-traitants : le RGPD s’applique bel et bien aux données personnelles de tous les citoyens européens, que ces données soient d’origine privée (B2C) ou professionnelle (B2B).

Toutefois, nuances importantes, le RGPD :

• Ne s’applique qu’aux données personnelles de personnes physiques (individus), donc pas aux données des personnes morales ou adresse courriel générique (non nominatives) comme assistance@erdil.fr ;
• Ne s’applique que dans le cadre professionnel : gérer des données personnelles hors du cadre professionnel (c.-à-d. dans la sphère privée) n’est pas soumis au RGPD.

Le RGPD renforce la protection des données des citoyens européens,  par conséquent induit des contraintes supplémentaires pour les entreprises (quelles que soient leurs tailles, de la micro-entreprise à la plus grande multinationale). Bien sûr, comme avec n’importe quel article de loi, il y a toujours une part d’interprétation qui subsiste. Alors comment l’interpréter correctement ?

→ La première chose à faire est de tout simplement… lire le RGPD ! Plutôt que s’appuyer exclusivement sur les études et interprétations d’autres personnes (comme celle de l’auteur du présent article), même si ces études peuvent vous aider à mieux comprendre certains points du RGPD, elles sont par essence réductrices et/ou orientées. Bien sûr, le RGPD peut sembler rebutant à lire : jargon juridique, 99 articles, 88 pages ! Mais en fait il l’est beaucoup moins qu’il n’y parait :

• Jargon juridique : le législateur a plutôt bien fait les choses, à part quelques rares passages « obscurs », la presque totalité du règlement est très simple à comprendre, dans un jargon bien moins « juridique » que d’autres lois. De plus, le RGPD a été traduit dans toutes les langues des pays membres (dont le français) ;
• 99 articles sur 88 pages : en fait il y a plusieurs dizaines d’articles concernant la mise en place du RGPD, le fonctionnement des autorités de contrôle, la coopération entre états, les mécanismes de sanctions et de recours, les dispositions et relations avec d’autres directives.
• Au final, selon le domaine d’activité de votre entreprise (collecte de données ou non, gestion de nombreux fichiers ou non, externalisation de la gestion des données ou non, etc.), il faut compter entre 23 et 50 articles (sur 99 !) vous concernant réellement. Bien sûr, « nul n’étant censé ignorer la loi », nous ne pouvons que vous conseiller de tout lire au moins une fois. Notez que certains articles ne font pas plus d’un paragraphe, quand d’autres, heureusement plus rares, peuvent s’étendre sur deux pages.

• Complément utile : afin d’aider à une interprétation commune, il existe également des documents appelés « lignes directrices » portant sur certains points clés du RGPD (tel que le rôle du nouveau Délégué à la Protection des Données personnelles). Ces lignes directrices (certaines uniquement disponibles en anglais à ce jour) représentent plus de 200 pages cumulées, et de nouvelles lignes directrices font leur apparition. Néanmoins, dans les premières phases de votre prise en compte du RGPD, elles ne sont pas absolument indispensables.

Le législateur a clairement poursuivi plusieurs objectifs pour le RGPD :

• Uniformiser et simplifier la législation européenne dans le domaine de la protection des données personnelles ;
• Restaurer la confiance des citoyens envers les traitements de données personnelles (confiance qui s’effondre suite à tous les abus autour de l’exploitation des données, ainsi que les vols massifs qui explosent depuis une dizaine d’années) ;
• Améliorer la confiance entre les entreprises : clients avec leurs sous-traitants et fournisseurs, avec les entreprises partenaires, etc ;
• Encadrer les activités économiques et professionnelles autour des données personnelles, secteurs qui n’avaient pas ou peu de garde-fous.

Par conséquent, si vous hésitez sur l’interprétation d’un article (ou d’un passage) en particulier, il est préférable de toujours choisir l’interprétation qui protège le mieux les citoyens, même si cela implique quelques contraintes supplémentaires pour votre entreprise. Ainsi vous serez mieux protégé en cas de contrôle, et votre bonne foi sera plus évidente.

Il y a plusieurs très bonnes raisons à cela :

• La plus évidente : parce que c’est la loi, si vous gérez des données personnelles de citoyens européens (voir plus bas : toutes les sociétés en gèrent) ;
• Parce que vous risquez des sanctions importantes en cas de contrôle (spontané, suite à une plainte ou sur dénonciation). En plus des sanctions financières pouvant aller jusqu’à 4% du chiffre d’affaires mondial (si votre entreprise est multinationale), il y a possibilité de sanctions civiles et pénales. Avec l’ancienne loi « Informatique et libertés », les sanctions étaient bien moins dissuasives ;
• En cas de non conformité (qu’il y ait sanction ou non), la confiance de vos clients et partenaires dans votre entreprise pourra se dégrader fortement, et refléter une très mauvaise image auprès du grand public si votre entreprise est particulièrement exposée ;
• Parce que se mettre en conformité permet de rassurer et fidéliser ses clients et partenaires, améliorer l’image grand public de l’entreprise, montrer le niveau de maturité et le sérieux de l’entreprise.
  

Certes la mise en conformité induit des coûts, qu’il faut budgéter, néanmoins ils peuvent être en partie rentabilisés, et considérés comme un investissement pour l’avenir, car les tâches de mise en conformité permettent :

• D’améliorer la gouvernance de votre système d’information grâce aux tâches obligatoires du RGPD, comme la cartographie des traitements et fichiers, ou la formalisation (et la pérennisation) de vos processus ;
• De concourir à l’amélioration de la sécurité de votre entreprise : nouvelles règles de sécurité spécifiques, tenue des registres, security by design, privacy by design, etc ;
• D’élargir et/ou améliorer les compétences de vos collaborateurs : sensibilisation et formations liées au RGPD : gestion des données personnelles, sécurité des données, ingénierie sociale, attaques, bonnes et mauvaises pratiques, etc.

Vous espérez sans doute une réponse directe et simple ? Et bien la voici, mais vous serez peut-être déçu :

→ Oui, vous êtes concerné ! Comme n’importe quelle entreprise, la vôtre gère forcément des données de citoyens européens. Mais la vraie question est plutôt : dans quelle mesure ? En effet, toute entreprise gère, au sens le plus large, des données personnelles de plusieurs groupes de personnes :

• Ses propres collaborateurs ;
• Ses processus de recrutement (candidats) ;
• Ses clients et ses partenaires (incluant toutes données commerciales et des CRM) ;
• Ses fournisseurs et sous-traitant

Et selon le domaine d’activité de l’entreprise, et les produits ou services qu’elle commercialise, il peut y avoir d’autres familles de données personnelles concernant notamment :

• Ses utilisateurs (personnes physiques) finaux : par exemple dans le cas de services accessibles via le web, ou d’échanges directs avec les consommateurs finaux (avis, enquêtes, sondages, etc.) ;
• Les données personnelles (de personnes physiques) que ses clients lui confient pour traitement, même si votre entreprise ne les collecte pas directement. Les cas sont très variés, cela peut aller de quelques données personnelles « classiques » (nom et prénom, courriel, téléphone), à des données hautement confidentielles (informations bancaires ou médicales, données biométriques…)…

Identifier les familles de données personnelles nécessite donc de bien connaître et maîtriser son système d’information et ses processus. En ce sens, le RGPD offre donc l’opportunité de (mieux) cartographier et maîtriser son système d’information.

Enfin, que vous soyez clients et/ou sous-traitants (selon les cas), vous êtes concerné par le RGPD, même si vous êtes une société externe à l’Europe, dès l’instant où vous gérez (même manuellement) des données de citoyens européens (entre autres).

→ Ce premier article vous a présenté les généralités et notions principales du RGPD. Nous espérons que cela vous donnera l’envie de lire les articles suivants. Dans le prochain article, nous commencerons la présentation des principes et obligations du RGPD.