schedule2 min de lecture

Le RGPD pour les nuls

Le RGPD pour les nuls

Accepter ou refuser des cookies sur le site que vous êtes en train de visiter, accepter ou refuser qu'un site accède à votre position lorsque vous cherchez un point relais près de chez vous… Là est votre quotidien depuis 2018 avec l’arrivée du RGPD, une sorte de "super loi" s'appliquant à toutes les entreprises, associations et organisations publiques. Vos droits en tant que salariés, clients, usagers, résidents, utilisateurs ont été renforcés, mais le saviez-vous ? Est-ce que votre entreprise, votre médecin, votre organisation syndicale ou votre association sportive s'est sentie concernée selon vous ? A méditer grâce à ce guide, le RGPD pour les nuls.

Quoi qu'il en soit, le RGPD n'est pas seulement applicable au web ou à l'informatique... Il s'applique aussi aux informations personnelles contenues sur papier ! "Data is the new oil", même pour le coiffeur d'une petite ville qui note toutes les préférences de ses clients sur un petit carnet papier. Si les lignes de son carnet contient des données personnelles de citoyens français, le RGPD aura son mot à dire. Idem pour un politique menant campagne ou encore une société de jeux à gratter, à partir du moment où ces derniers collectent des informations personnelles.

Dans ce RGPD pour les nuls, nous présentons avec simplicité cette réglementation déjà applicable depuis plusieurs années maintenant dans tous les Etats de l'UE.  

Définition du RGPD et origine

Le RGPD (Règlement Général sur la Protection des Données) ou « GDPR » en anglais, permet d'encadrer et protéger les données des citoyens européens (notamment en cas de violation). Le RGPD renforce aussi le contrôle des citoyens sur l’utilisation de leurs données pour protéger leur vie privée.

Très inspiré de la loi française « Informatique et libertés » de 1978, le RGPD est entré en vigueur le 25 mai 2018 et chaque entreprise, association, organisme public, société (même google et facebook) se doit d'être capable d'apporter la preuve de sa conformité à tout moment. Comme textes essentiels, nous pouvons aussi citer : la Loi pour une République Numérique du 7 octobre 2016 et la la Loi pour la confiance dans l'économie numérique du 21 juin 2004 (cas particuliers des sites internet).

Une origine européenne

Le RGPD est un Règlement Européen – c’est d’ailleurs pour cela qu’il convient d’utiliser l’article défini « le » et non pas « la ». Un Règlement est un acte juridique européen qui a une portée générale et obligatoire. Concrètement, le Règlement a été créé par les institutions européennes et s’applique dans tous les États-membres de l’Union Européenne, et ce, dès sa signature - sauf dispositions contraires prévues par le texte (et le RGPD en prévoit quelques-unes, mais ce ne sera pas l'objet de notre étude ici).

Sanctions pour non conformité RGPD

Du fait de son caractère contraignant, le RGPD prévoit plusieurs sanctions en cas de manquements des organisations au RGPD. Voici quelques exemples de sanctions : injonction de se mettre en conformité, accompagné généralement d’une astreinte par jour de retard ; amende administrative - certaines pouvant aller jusqu’à 4% du chiffre d’affaire mondial ou 20 millions d’euros (le plus gros montant étant retenu) ; etc.

Notre conseil ? Découvrez les sanctions RGPD applicables aux entreprises, associations, professions libérales et établissements publics. En France, les amendes sont délivrées par l’autorité de contrôle française : la Commission Nationale de l’Informatique et des Libertés (ci-après « CNIL »). Existe-il une exception légale relative à la taille de entreprise permettant de ne pas respecter le RGPD ? Absolument aucune. Le RGPD s'applique même aux professions libérales et indépendants. Google a été sanctionné, ainsi que des politiques, des sociétés, de boîtes de conseil, des hôtels, des avocats et même des médecins généralistes. Comme dirait l'adage, "la loi c'est la loi". 

Les objectifs du RGPD pour les nuls

Le Règlement Général sur la Protection des Données a pour objectif dans un premier temps, de protéger les données personnelles les citoyens européens et leurs droits associés. Mais le RGPD va plus loin encore. Pour simplifier, le Règlement a pour ligne de conduite de :

  1. protéger la vie privée des citoyens européens
  2. responsabiliser les Directions et sanctionner en cas de manquement
  3. répondre à une volonté citoyenne
  4. protéger les personnes vulnérables

A qui s'applique le RGPD ?

Le RGPD s'applique à tout organisme (privé ou public) qui remplit ces deux conditions : 

  1. réaliser un traitement de données à caractère personnel (condition matérielle d'application du RGPD)
  2. être établi dans l’Union Européenne ou cibler une personne physique qui se situe dans l’UE (condition territoriale d'application du RGPD)

Le RGPD (ou GDPR) s'applique d’une part, à tout organisme établi sur le territoire de l’Union Européenne qui traite des données à caractère personnel. Exemple : toute structure ayant son siège social, succursale, ou filiale établie en Europe.

D’autre part, est soumis au RGPD tout organisme, qui n’est pas établi en Europe, mais qui offre des biens ou des services à des résidents européens, et/ou qui réalise leur profilage.

Qu’est-ce qu’une donnée personnelle ? 

Une donnée personnelle est une information qui permet d’identifier une personne physique, directement ou indirectement.

Dans ce cadre, l'identification d'une donnée personnelle peut prendre différentes formes :

  1. L'identification directe : Nom, prénom, Photographie, E-mail nominatif, Numéro de sécurité sociale, etc.
  2. L'identification indirecte : Localisation, Numéro de téléphone, Identifiants, Plaque d’immatriculation, Adresse IP, etc.
  3. L'identification par combinaisons d’informations : Lieu de naissance, Date de naissance, Lieu de résidence, Sexe, Loisirs, Etc. En se fondant sur deux localisations, comme le trajet récurrent domicile-travail, 50% des gens seraient identifiables.

En somme, toutes les personnes interagissant avec des organisations publiques, des entreprises, des auto-entrepreneurs, des associations, des applications web, etc, etc. sont concernées (et vont consciemment ou inconsciemment donner leurs données personnelles). Le RGPD est une belle avancée car il vous ouvre des droits en tant que citoyen d'un État européen mais sa gestion est un véritable casse-tête. Cet article "Le RGPD pour les nuls" a sa place en ligne car justement, comprendre la réglementation est difficile.

Qu’est-ce qu’un traitement de données personnelles ? 

Un traitement de données personnelles est une opération informatisée (tableau Excel, applications), ou non (fichier papier organisé), appliquée à des données identifiant une personne de manière directe ou indirecte.

A titre d’exemples, sont considérés comme traitements : une collecte, un enregistrement, une modification, une destruction, une consultation, etc.

Cas pratique d'application du Règlement : le service RH d’une entreprise française [condition territoriale] qui collecte [traitement] le numéro de sécu, le nom, le prénom, l’adresse, les diplômes, etc. [données] d’un salarié, est soumis au RGPD et doit se mettre en conformité avec celui-ci et en apporter la preuve. Si vous ne remplissez pas les conditions d'applicabilité définies par le droit, la CNIL ne vous dira rien et vous n'aurez nul besoin de nos services.

Les droits des personnes sur leurs données personnelles

  • Droit à l’information
  • Droit d’accès
  • Droit à la portabilité
  • Droit de rectification
  • Droit à la limitation
  • Droit d’opposition ou de suppression
  • Droit de disposer de ses données avant sa mort

En tant qu'organisme, vous devrez respecter les droits des citoyens européens en matière de données personnelles. Pour cela, il est vivement recommandé (voir dans certains cas obligatoire), de vous appuyer sur un Délégué à la Protection des Données, communément appelé "DPO".

DPO RGPD, quésaco ?

Si vous vous intéressez au RGPD, vous avez peut-être entendu parler du DPO (ou DPD pour Délégué à la Protection des Données). Cette fonction est centrale dans la gestion de la conformité au sein d'une organisation. En deux mots, la personne agissant en qualité de DPO (Data Protection Officer) est désignée pour veiller au respect de la réglementation. Ses missions sont nombreuses. Sa place peut être interne (en tant que salarié) ou externe à l'organisme (en tant que prestataire).

Avez-vous le droit de nommer un DPO en interne ? Certainement, mais attention au conflit d'intérêts car la Direction ne peut pas être DPO.

Est-ce recommandé par la CNIL de nommer un DPO même lorsque ce n'est pas obligatoire ? Tout à fait. 

Quoi qu'il advienne, avant d'entrer dans une démarche de conformité, il sera essentiel d'être au clair sur les points suivants : C’est quoi le DPO ? Qui peut être DPO ? Quand le DPO est-il obligatoire ?.

Les données sensibles pour les nuls

Les données sensibles sont des données personnelles spécifiques. Nous avons vu précédemment que traiter des données personnelles est possible (à condition que si le responsable du traitement - en bref, la Direction - respecte le droit). Mais certaines typologies de données sont des exceptions.

La collecte de données dites « sensibles » est par principe interdit car cela pourrait entraîner des discriminations envers les personnes concernées. Plus précisément, les données sensibles sont des données qui révèlent « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique » (article 9 RGPD). 

Si vous êtes accompagné par une asso qui vous aide à sortir de l'addiction à la française des jeux par exemple (ou tout autre addiction pas drôle), l'association en question "utilisera" vos données dites "sensibles" car une addiction est considérée comme une donnée de santé. Imaginez un cas de violation de données (c'est à dire la perte ou le vol d'information), l'impact sur votre vie privée sera plus important que le vol d'une donnée personnelles "classique" telle que l'adresse email. C'est l'une des raisons qui pousse le législateur européen à sécuriser ces infos, qu'il s'agisse d'une addiction aux jeux, d'une orientation sexuelle (exemple : utilisateurs d'applications de rencontre) ou d'une opinion politique.

RGPD et Médico-social

Néanmoins, la suite de l'article 9 précité prévoit une série d'exceptions à ce principe ; ce qui donne le droit à des organismes de collecter des données sensibles tels que les informations de santé ou liées aux handicap. A titre d'exemple, les associations, établissements publics, laboratoires privés et hôpitaux traitent quotidiennement des données sensibles. Ces organismes ont le "droit de collecter", mais doivent être particulièrement vigilant quant au consentement des usagers et à la durée de conservation des données sensibles collectées.

Le respect de la confidentialité des usagers, patients ou résidents est enjeu majeur dans le secteur médico-social et sanitaire. L'impact du RGPD dans le secteur médico-social est spécifique et les options pour les Directions d'établissements sont limitées.

Le RGPD pour les nuls, c'est terminé

Si vous souhaitez comprendre des aspects plus juridiques du RGPD, nous vous proposons d'approfondir le sujet avec les principes fondamentaux du RGPD. Oui, le Règlement Général sur la Protection des Données, c'est avant tout du droit (et non un métier d'informaticien ou de web manager malgré l'idée reçue). La suite de l'article sera donc plus juridique. Non, nous ne parlerons pas de politique de confidentialité ou de procédure en cas de violation de données, ces éléments appartiennent à l'opérationnel du RGPD. Pour cela, vous pouvez consulter nos catalogues de formation RGPD ainsi que notre blog à la section #Mise en conformité.

Les 7 principes fondamentaux du RGPD (ça devient complexe)

Le RGPD a défini les 7 principes fondamentaux suivants :

  1. la licéité du traitement
  2. la finalité du traitement
  3. la minimisation des données
  4. la conservation des données
  5. la transparence du traitement
  6. l’obligation de sécurité des données
  7. le principe d’accountability

1) Le principe de licéité du traitement

Les traitements seront licites, et donc autorisés, s’ils remplissent l’une des conditions suivantes :

  1. nécessaire à l’exécution d’un contrat
  2. nécessaire au respect d’une obligation légale
  3. nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  4. nécessaire à l’exécution d’une mission d’intérêt public
  5. nécessaire à l’intérêt légitime de son responsable (exemple : assurer la sécurité des biens/personnes au sein de son établissement au moyen de vidéosurveillance, protection des systèmes d’information, etc.)
  6. Que la personne concernée ait consentie à une finalité précise

Pour être licite, le consentement devra être : 

  1. Libre : ni contraint, ni influencé
  2. Spécifique : pour chaque finalité, il faut consentir
  3. Éclairé : la personne concernée doit avoir connaissance de toutes les informations sur le traitement avant de donner son accord, présentées dans un langage claire, compréhensible, et accessible à tous
  4. Univoque : consentement doit être recueilli par un acte positif claire (déclaration) sans aucune ambiguïté

2) Le principe de finalité du traitement

Ce principe signifie simplement que les données doivent être collectées pour des objectifs précis et légitimes, et ne doivent pas être traitées ultérieurement pour un autre objectif. Il peut donc exister plusieurs finalités pour un même traitement. Mise en situation : une entreprise récolte des données sur plusieurs candidat(e)s pour la sélection d'un profil et la réponse aux candidatures.

3) Le principe de minimisation des données

Le principe de minimisation exige de ne collecter que les données dont l’organisme a strictement besoin pour atteindre la finalité du traitement. Dans ce cadre, ce principe va permettre de réduire les risques en limitant la collecte de données personnelles de citoyens européens. Mise en situation : collecter l'opinion politique ou le statut marital d'un utilisateur durant une opération d'achat de livre en ligne n'est pas utile (même si cette data serait très utile d'un point de vue marketing pour certaines entreprises).

4) Le principe de conservation des données

Les données à caractère personnel pourront être conservées jusqu’à ce que l’objectif fixé soit atteint. Ainsi, une fois que l’objectif sera satisfait, les données devront être effacées, anonymisées ou le cas échéant, transférées aux archives publiques. Attention à bien lire entre les lignes, car certaines durées de conservation sont prévues par les textes (Code du travail, Code civil, Code de commerce, etc.). Chez Blockproof, nous avons synthétisé dans notre outil RGPD, un condensé des durées de conservation selon les différents textes de loi et recommandations de la CNIL. Demandez une démonstration de notre outil pour en savoir plus.

Mise en situation dans le cadre d'un recrutement : pour les candidatures retenues, il conviendra de conserver leurs données tout le long de la relation contractuelle + 5 ans à compter de sa rupture en vertu du code du travail. Pour les candidatures non retenues, vous devrez informer le candidat que vous souhaitez conserver son dossier afin de lui laisser le temps d’en demander la destruction, mais s’il n’en fait pas la demande, celles-ci devront être conservées 2 ans à compter du dernier contact (durée recommandée par la CNIL).

5) Le principe de transparence du traitement

Comme son nom l’indique, tout traitement doit être transparent aux yeux de la personne concernée (il doit en être informée. Ainsi, cette dernière doit connaître la raison de la collecte de ses données, comprendre le traitement qui est mis en place et rester maître de ses données en voyant l’exercice de ses droits facilité.

Mise en situation : en envoyant sa candidature, le candidat envoie lui-même ses données et il en a conscience. Afin d’être sûr que vous respectez ce principe, vous pouvez par exemple mentionner dans le mail accusant réception de la candidature a minima : votre identité, les finalités et les droits dont le candidat dispose (droit d'effacement, droit de rectification, droit d'actualisation, etc). Vous pouvez également lui rappeler lors de votre entretien téléphonique, entretien d’embauche, et dans le contrat de travail si celui-ci est retenu, etc.

6) Le principe de sécurité des données personnelles

Des mesures de sécurité, aussi bien techniques que organisationnelles, doivent être prises pour prévenir les risques liés aux données (perte d’intégrité, confidentialité). Pour aller plus loin, découvrez notre article relatif à la procédure à suivre en cas de faille dans votre système d'information à la section #RGPD.

7) Le principe d’accountability

Ce principe nécessite de rendre compte de sa conformité. Il sera ainsi demandé de prouver, aux moyens de preuves réelles, que l’on a mis en place des mesures techniques et organisationnelles appropriées respectant le RGPD – par exemple, un registre des activités, un registre des incidents, des contrats avec les sous-traitants, les analyses d’impact effectuées, la charte informatique, etc.  Si les plus grands principes ont été évoqués dans cet article, celui-ci n’a fait que vous introduire au GDPR qui regorge d’autres principes, notions et exceptions. Retrouvez plus de ressources sur le sujet dans notre section blog et l'histoire de Blockproof sur notre page qui sommes-nous.