GDPR data protection illustration marteau juge

Dans environ un an, le 25 mai 2018 entrera en vigueur la loi européenne de protection des données personnelles, la General Data Protection Regulation ou « GDPR ». Essayons d’y voir plus clair…

Pour les entreprises de services en informatique comme la nôtre, mais aussi pour toute entreprise qui, d’une manière ou d’une autre, traite des données à caractère personnel, cette législation est une révolution culturelle autour de la protection des données. Quand, jusqu’alors, chaque état de l’Union Européenne légiférait (ou non) sur le sujet à sa manière, avec la GDPR ce sont tous les états membres qui se retrouveront sous le coup d’une même loi, qui va également s’appliquer aux traitements concernant les citoyens européens réalisés hors UE !

Texte novateur et dense, cette loi de régulation des traitements des données personnelles peut faire un peu peur quant à sa mise en application. Mais pas de panique, tentons plutôt de débroussailler le chemin !

La GDPR, c’est quoi ?

Avant de parler législation, précisons d’abord ce qu’elle concerne. Une donnée dite personnelle est une information identifiant directement ou indirectement une personne physique, telles que le nom, le numéro de téléphone, une adresse IP, des informations de localisation etc. Quant au traitement de données, il équivaut à toute opération ou ensemble d’opérations qui y sont appliqués, effectués, ou non, à l’aide de procédés automatisés.

La GDPR a deux objectifs : la protection des libertés et des droits fondamentaux des personnes physiques, en particulier, le droit à la protection des données personnelles et leur liberté de circulation.

Encadrer les traitements de données

La loi prévoit six grands principes pour encadrer les traitements appliqués aux données personnelles que les organismes (publics ou privés) peuvent être amenés à stocker :

  1. Le traitement doit être licite, loyal et transparent,
  2. La finalité de traitement doit être déterminée, explicite et légitime,
  3. Cette dernière et les données adéquates devront être pertinentes et limitées (principe de minimisation),
  4. Les données se voudront exactes et si nécessaire, tenues à jour,
  5. La durée de conservation des données sera limitée,
  6. Et enfin, et c’est nouveau, la garantie de sécurité des données doit être assurée (pseudonymisation et chiffrement).

La loi demandera également que le consentement de la personne dont on traite les données soit obtenu explicitement pour une finalité déterminée. Plus question de conserver des données personnelles « au cas où » ou de se dire « récupérons-les et on verra après ce qu’on en fait » ! Pour stocker et traiter des données personnelles, il faudra que le traitement soit déterminé en amont et exprimé clairement aux personnes concernées, qui devront donner leur accord et pourront d’ailleurs le retirer à tout moment.

 

 

Pas d’obligations sans sanctions

La future loi européenne impose ainsi de nombreuses obligations aux organismes concernant le traitement des données personnelles mais sans sanctions prévues, cela ne servirait pas à grand chose ! Et c’est sur ce point aussi qu’elle procède à une mise à niveau majeure de la précédente législation.

En France, l’autorité de contrôle pour tout ce qui concerne les données personnelles est la CNIL. Avec la GDPR, elle aura un pouvoir d’injonction (demande de mise en conformité des traitements) mais pourra également ordonner la suspension temporaire voire définitive d’un traitement jugé litigieux.

Mais la GDPR va au-delà de l’injonction et ajoute des sanctions pécuniaires à destination des entreprises qui ne respecteraient pas la loi et ne se mettraient pas en conformité.

« En synthèse, les amendes de type « 10 millions d’euros / 2% du CA mondial » sont prévues pour sanctionner l’entreprise qui ne serait pas organisée de manière conforme à la GDPR. Les amendes de type « 20 millions d’euros / 4% du CA mondial » sont destinées à sanctionner tout non respect des droits accordés aux personnes dont les données sont traitées. Ainsi que celui des règles de transfert hors UE. », explique Me Marc-Antoine Ledieu, avocat spécialisé dans les nouvelles technologies.

 

Responsabilités des entreprises

Cette nouvelle directive européenne fait reposer de nombreuses responsabilités sur les épaules des entreprises qui pratiquent le traitement de données. Elle identifie deux acteurs pour les différentier :

  • Le responsable du traitement : l’entité qui détermine les moyens et les finalités du traitement,
  • Le sous-traitant : l’entité qui agit pour le compte du responsable du traitement.

« Vous serez « data controller » (responsable de traitement) si votre entreprise décide des moyens et des finalités du traitement de données. Dans les autres cas, votre entreprise sera « data processor » (sous-traitant). Evidemment, votre entreprise peut assumer les deux rôles selon les traitements. Ce qui est sûr ? Le sous-traitant traite des données qui ne sont pas les siennes. », précise Me Ledieu.

Dès l’instant que vous collectez, stockez et traitez des données que vous ne produisez pas – statistiques de trafic web, informations clients contenues dans votre CRM…- vous êtes considéré comme sous-traitant.

De nouvelles obligations entrent ainsi en scène avec la GDPR :

  • La tenue d’un registre des traitements,
  • L’obligation de sécurisation des données,
  • L’obligation de notification à la CNIL et aux personnes concernées en cas de faille de sécurité et/ou de fuite de données,
  • Le droit à la transparence.

Data Protection Officer

Enfin, la GDPR crée un nouveau poste : le Data Protection Officer ou « Délégué à la Protection des Données » en français.

Il aura un rôle de conseil, de contrôle et sera le point de contact pour tout ce qui concerne le traitement des données. Il devra être nommé dans quatre cas :

  1. Le traitement est effectué par une autorité publique ou un organisme public,
  2. Les activités de base de l’entreprise sont des activités de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes,
  3. Les activités de bases de l’entreprise sont du traitement à grande échelle de données sensibles et de données d’infractions pénales,
  4. Le doit de l’UE ou de l’Etat membre l’exigent.

Le marteau et la souris

Avec la GDPR, l’Union Européenne fait un grand pas pour la protection des données des citoyens et réussit à imposer du changement, notamment aux GAFA, dont les traitements des données personnelles des utilisateurs sont souvent obscurs.

Cependant, les entreprises vont avoir du pain sur la planche pour se mettre en conformité d’ici mai 2018 et des audits doivent commencer dès à présent et demanderont un accompagnement au changement important. Juristes et spécialistes de l’informatique vont devoir travailler main dans la main, car comme le souligne Me Ledieu : « Vous, les gens de l’informatique, vous n’y arriverez pas seuls. Et nous, les juristes, nous n’y arriverons pas non plus sans les pro de la technique informatique. Car les contraintes techniques et juridiques induites par la GDPR sont le plus souvent indissociables. Et il va falloir arbitrer. La meilleure manière de faire à cet égard est probablement de confier le dossier à une équipe pilote mixte dans laquelle chacun va devoir faire l’effort (enfin) d’apprendre les termes « métier » de l’autre…   »

Nous vous conseillons évidemment la lecture du blog de Me Ledieu qui détaille de manière claire et illustrée les tenants et aboutissants de la GDPR !

 

Un grand merci à Laurène Hardouin, experte Data dans la #SynalTeam, pour sa synthèse de la conférence de Me Ledieu à Polytechnique le 20 mars 2017, dont s’inspire (très largement) cet article !

 

 

Image d’illustration conçue par Freepik