RGPD (2/4) : première plongée au cœur du RGPD

Avant d’aller plus loin, il est temps de définir un petit glossaire RGPD simplifié, qui éclaircira le sens précis des termes utilisés par la suite. Ce glossaire est inspiré (et simplifié) du RGPD lui-même (article 4 du RGPD). Chaque fois que vous verrez un mot écrit en vert, une référence à ce mot sera faite dans le glossaire.

• Personne : il s’agit d’un individu (personne physique), quel qu’il soit (particulier ou professionnel), dont des données personnelles sont gérées par votre société.
• Collecte : action de récupérer (activement ou passivement) des données personnelles, quelle qu’en soit la finalité.
• Fichier : ensemble structuré de données, contenant des données personnelles. La forme peut être dématérialisée, c.-à-d. numérique, ou physique, comme les documents « papier ».
  
• Traitement : tous types d’actions manuelles ou automatisées portant sur les fichiers, et en particulier sur les données personnelles. La constitution d’un fichier (et donc la collecte), tout comme la gestion des données du fichier, sont des traitements.
• Finalité : c’est l’objectif de la collecte et du traitement qui s’ensuit. Il doit être défini avant la collecte, et encadre toutes les utilisations futures des données collectées.
• Responsable : c’est la personne qui a la responsabilité de la collecte, de la finalité et des traitements associés. Cette personne peut déléguer tout ou partie de ses tâches, mais reste responsable en tant que commanditaire.
• Sous-traitant : entreprise (ou individu) à qui un responsable délègue tout ou partie d’un traitement.
• DPD (Délégué à la Protection des Données) : en anglais DPO (Data Protection Officer). Personne en charge du respect de la protection des données personnelles, de leur finalité, des traitements, des processus, et donc du RGPD dans son ensemble. Le DPD est en charge de ces aspects, mais n’est pas directement responsable (c’est la direction de l’entreprise qui est, et reste, responsable).
• Autorité : il s’agit de l’autorité de contrôle, obligatoire dans chaque pays. En France, c’est la CNIL (qui existe depuis la loi « Informatique et libertés » de 1978).

Ajoutons le terme « gérer », qui n’est pas dans le glossaire du RGPD, mais que nous utiliserons pour englober tous les types d’actions (créer, collecter, stocker, modifier, analyser et/ou exploiter), qu’elles soient automatiques ou manuelles, sur des données personnelles.

Certains droits définis par le RGPD (il s’agit des droits des personnes dont vous gérez des données personnelles, données d’origine privée ou professionnelle) ne sont pas nouveaux, plusieurs existaient déjà dans la loi CNIL.

• Consentement et annulation du consentement (article 7 du RGPD) : si vous êtes responsable de la collecte, ou plus généralement de la constitution, d’un fichier, vous devez demander le consentement explicite (opt-in), informer chaque personne qu’elle peut annuler à tout moment son consentement, et qu’elle dispose des autres droits ci-dessous (pour être précis, il faut fournir toutes les informations de l’article 13 du RGPD). En particulier, il faut lui indiquer comment exercer ses droits et à qui envoyer ses demandes (responsable du traitement, ou directement au DPD, ceci dépend de votre organisation interne) ;
• Limitation du traitement et opposition (articles 18 et 21 du RGPD) : toute personne peut s’opposer à, ou demander la limitation (sous conditions) de, tout ou partie de vos traitements, selon leurs natures. Par exemple une personne peut s’opposer à ce que vous la sollicitiez (par téléphone, courriel, courrier), sans pour autant qu’elle souhaite supprimer ses données de vos traitements ;
• Information et droit d’accès (article 15 du RGPD) : toute personne peut vous demander si vous avez des données personnelles la concernant (elle ne sait pas forcément si vous en avez ni lesquelles !), la liste de ces données, quelle est la finalité de vos traitements, les coordonnées du responsable de chaque traitement et du DPD de votre entreprise, la durée de conservation et la source ayant fourni ces données ;
• Rectification (article 16 du RGPD) : toute personne peut vous demander de corriger les données la concernant (par exemple suite à un changement d’adresse postale ou électronique, de nom de famille, etc.), ceci incluant le droit de compléter ses données (données manquantes) ;
• Suppression (article 17 du RGPD) : toute personne peut vous demander d’effacer tout ou partie des données la concernant, c’est le fameux « droit à l’oubli », ce qui l’exclut implicitement d’une partie, ou de la totalité, de vos fichiers et traitements ;
• Portabilité (article 20 du RGPD) : toute personne peut vous demander le transfert de ses données à une société tierce effectuant un autre traitement. Le format d’export des données doit être simple, compréhensible, structuré, et si possible, le transfert sera effectué directement de votre responsable à son homologue (dans l’autre société), lorsque c’est possible.

→ Bien entendu, il y a quelques exceptions (articles 23 et 85 à 91 du RGPD), pour lesquelles les droits peuvent ne pas être entièrement respectés.  Par exemple, si la suppression des données empêche la réalisation du contrat qui vous lie à la personne concernée (dans le cas d’un contrat directement avec la personne, ou avec l’entreprise pour laquelle la personne travaille).

Concernant le consentement, il y a évidemment de très nombreux cas particuliers selon le métier de votre entreprise, mais le RGPD ne fait pas d’exception. Voici deux situations assez typiques :

• Cas 1 : envois non sollicités pour (vers) votre entreprise (par exemple une candidature spontanée, une prise de contact commerciale d’un prospect, quel que soit le média) :  il faudra malgré tout informer la personne de ses droits en retour ;
• Cas 2 : envois non sollicités par (depuis) votre entreprise (quel que soit le média), telles que les campagnes marketing, publicitaires ou simplement informatives (en B2B et B2C) avec consentement implicite (opt-out), c.-à-d. que la personne n’indiquant pas son refus explicitement, vous considérez son consentement acté. En théorie, ces cas ne sont plus possibles, du moins en première analyse du RGPD (ce point fait débat, comme l’on peut s’en douter).

Sachez également que la confirmation de la réalisation de la demande doit parvenir au demandeur dans un délai défini (article 12 du RGPD) : au plus tard un mois après réception de la demande. Ce délai peut passer exceptionnellement à 2 mois, sur justifications (nombreuses demandes à traiter par exemple) et seulement après avoir informé le demandeur (la personne) avant la fin du premier mois.

Le RGPD liste de nombreux principes, qui sont au cœur du règlement, et en ont guidé la rédaction. Certains principes sont évidents (licéité des traitements), d’autres bien moins triviaux (anonymisation). Nous présentons ici ceux qui nous paraissent les plus importants.

→ Les principes généraux (articles 5 à 11 du RGPD) englobent tous les aspects (le consentement, la collecte, le traitement, la finalité, la durée, la sécurité, etc) de chaque traitement que votre entreprise met en place. Le respect de ces principes doit pouvoir être démontré à l’autorité de contrôle et aux personnes à leur demande (voir plus haut), ce qui implique de formaliser et conserver toutes les « preuves » démontrant votre bonne foi en cas de contrôle ou de litige.

À noter qu’il n’y a plus besoin de déclarer les fichiers à la CNIL. En contrepartie, tout doit être tracé et formalisé : cartographie des fichiers et traitements, consentement aux collectes, demandes d’exercice des droits, procédures, etc.

• Licéité : une collecte, et le traitement associé, sont licites si chaque personne a donné son consentement explicite (opt-in) et est informée de la finalité du traitement, ou si la collecte et le traitement sont incluses dans un contrat où la personne est partie prenante, ou font suite à une obligation légale, ou relèvent de l’autorité publique, ou sont nécessaires aux intérêts vitaux de la personne, et enfin s’ils ne sont pas contraires aux libertés et droits fondamentaux de la personne. Exemple : si la personne est un enfant (article 8 du RGPD), il y a bien évidemment des contraintes plus fortes, telles que l’autorisation parentale obligatoire.
• Finalité : c’est l’un des principes centraux du RGPD. La finalité (motivation, pertinence, périmètre, portée, justification, cibles, etc.) doit être définie clairement, et validée par le DPD, avant la mise en place de toute collecte et traitement. Cela implique que les données ne pourront être réutilisées pour un autre traitement. Si celui-ci évolue (= finalité différente), il faut informer et demander à nouveau le consentement à toutes les personnes concernées (pour cela il faut donc conserver un moyen de contact).
• Conservation : les données collectées le sont pour une durée finie, qui doit être définie avant la mise en place, et compatible avec la finalité du traitement. Aucune durée n’est spécifiée dans le RGPD, mais un consensus sur une moyenne de 2 ans est couramment cité (cela dépend du traitement évidemment : pour le fichier des collaborateurs, la durée est celle de leur contrat de travail, éventuellement prolongée d’une durée fixée).
• Minimisation : seules les données absolument nécessaires (au vu de la finalité) peuvent être rassemblées, donc pas de collecte complémentaire « au cas où ». Pour cela, on comprend aisément qu’il est indispensable d’avoir spécifié précisément la finalité, préalablement à la collecte et au traitement.
• Exactitude : les données collectées doivent être exactes, sinon elles doivent être corrigées, ou à défaut supprimées, sans tarder.
• Transparence : afin de pouvoir répondre honnêtement, rapidement et exhaustivement aux demandes d’information (droit d’accès), mais également vis-à-vis de l’autorité de contrôle.
• Confidentialité et intégrité : en entreprise, les données, notamment personnelles, sont bien évidemment confidentielles, tout au long de leur gestion (quels que soient les technologies et les médias utilisés). En particulier les données personnelles doivent être protégées des accès illicites (vol, copie) et des modifications (altération, perte, destruction), que ces actions soient malveillantes ou accidentelles. La sécurité des données personnelles, via des mesures tout autant organisationnelles que techniques, est centrale dans le RGPD : plusieurs articles y font référence.
• Responsabilité : le responsable du traitement (il doit y avoir un responsable identifié pour tout traitement) doit être capable de démontrer que tous les principes ci-dessus sont respectés.

Bien entendu, ces principes sont applicables à tous les types de fichiers et traitements sur des données personnelles : qu’il s’agisse de personnes internes (collaborateurs) ou externes (clients ou utilisateurs).

En cas de violation de données personnelles (articles 33 à 34 du RGPD), ce qui peut être caractérisé par une destruction, altération, copie (vol) ou un accès illicite, que la violation provienne d’une source interne ou externe, le responsable du traitement (ou à défaut le DPD) doit déclarer à l’autorité (CNIL) au plus tôt (et dans un délai maximum de 72 heures), avec toutes les informations pertinentes (coordonnées du DPD, nature et portée de la violation, volumétrie concernée, conséquences probables, mesures correctives ou palliatives prises, etc.).

Si la violation entraîne un risque élevé pour les personnes (nous aborderons l’analyse des risques dans le prochain article), le responsable doit informer celles-ci le plus clairement possible, et dans les plus brefs délais.

Naturellement, si la violation intervient chez un sous-traitant, celui-ci doit la signaler au responsable du traitement dans les plus brefs délais, avec le même niveau de détail, afin qu’il puisse remplir ses obligations indiquées plus haut.

→ Dans le prochain article, nous continuerons cette exploration des principales spécificités du RGPD.