RGPD : définition et conformité

Le règlement général de l'Union européenne sur la protection des données (RPGD) est une réglementation sur la protection des données qui est entrée en vigueur en 2018. Il crée un ensemble d'orientations et d'autorité pour protéger les données personnelles de tous les citoyens de l'UE. Le RGPD s'applique à toute organisation, et pas seulement à celles basées dans l'UE, qui gère les données des résidents de l'UE et de toute personne au sein de la zone de libre-échange de l'Espace économique européen (EEE). Découvrez comment vous conformer, et si vous avez besoin d'une solution RGPD.

Le RGPD établit trois catégories principales de parties concernées : les personnes concernées, les responsables du traitement et les sous-traitants. (Article 28A).

Une “personne concernée” est une personne dont les données sont collectées. Un “responsable du traitement” est une organisation qui détermine les conditions, les finalités et les moyens du traitement des données personnelles de la personne concernée. Et un “sous-traitant” est une organisation qui traite des données à caractère personnel pour le compte du responsable du traitement.

Selon le RGPD, les responsables du traitement et les sous-traitants peuvent être basés n'importe où dans le monde, y compris aux États-Unis. C'est un grand changement par rapport aux anciennes règles de l'UE.

Les amendes en cas de non-respect ont changé et sont également beaucoup plus élevées que les anciennes règles. Par exemple, l'autorité de contrôle de la protection des données peut imposer des amendes et des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires annuel ou 20 millions d'euros, le montant le plus élevé des deux étant retenu.

Le principal moteur du RGPD est l'objectif de l'UE de construire un marché unique numérique. Les principes suivants régissent vos exigences en matière de RGPD.

Proportionnalité du traitement

Avec la GDPR, le niveau de tout traitement de données personnelles doit être proportionnel à la finalité de leur collecte. Cela signifie qu'il faut collecter le moins de données possible et ne pas les conserver plus longtemps que nécessaire pour servir le client.

Vous devez veiller à ce que les données soient exactes et mises à jour. Et vous devez protéger leur confidentialité et leur intégrité.

Finalité légitime du traitement des données

Le RGPD définit les conditions spécifiques dans lesquelles le traitement des données personnelles est autorisé (article 6). Vous pouvez traiter des données à caractère personnel si cela est nécessaire pour :

• Fournir le produit ou le service demandé par la personne concernée.
• Respecter une obligation légale.
• Protéger les intérêts vitaux de la personne concernée ou de toute autre personne.
• Effectuer une tâche dans l'intérêt public ou sous une autorité officielle dont vous êtes investi.
• Poursuivre d'autres intérêts légitimes — sauf s'ils sont contraires aux intérêts ou aux libertés et droits fondamentaux de la personne concernée, notamment des enfants.

Au cœur de la GDPR se trouvent des exigences plus strictes en matière de protection de la vie privée et des pouvoirs d'exécution, notamment :

• Le droit à l'oubli. Lorsque vous n'avez aucune raison valable de conserver les données et que les personnes concernées souhaitent que certaines ou toutes leurs données soient effacées, vous devez le faire. (articles 17). Le respect de cette règle peut être difficile pour les fournisseurs de services de messagerie électronique et de cloud computing. Les fournisseurs répartissent souvent les données entre les zones de disponibilité, les sauvegardes et les archives.
• Les données personnelles sont plus que de simples données utilisées pour identifier une “personne physique”. Dans le cadre du RGPD, elles comprennent les métadonnées. Il s'agit notamment des adresses IP, des numéros de carte SIM, des numéros de téléphone portable, des données biométriques et même des cookies de sites web stockés. Et le RGPD est rétroactif. Il s'applique aux données collectées avant le RGPD.
• Portabilité des données (articles 20). Les personnes ont le droit de transférer leurs données d'un service à l'autre et de conserver ces données intactes, protégées et privées.
• Sur demande, les responsables du traitement doivent informer les personnes concernées si leurs données font l'objet d'un traitement (article 15).
• Une gouvernance accrue pour les données protégées. Il s'agit notamment des conditions de consentement, des enregistrements du traitement et des précisions plus précises sur la notification des violations (articles 7, 30, 33-34).
• Toute personne traitant ou stockant des données à caractère personnel relatives à des citoyens de l'UE peut avoir besoin d'un délégué à la protection des données (DPD) (articles 35-37) Le RGPD est explicite quant au rôle du DPD et à ses spécificités. En outre, les responsables du traitement des données et les sous-traitants basés en dehors de la présence de l'UE doivent installer un représentant dans un État membre de l'UE où les personnes concernées résident.
• Vous devez être en mesure de satisfaire aux exigences strictes en matière de détection et de notification des violations (dans les 72 heures après en avoir pris connaissance).

Protection des données par conception, défaut et sécurité du traitement

Les trois directives phares du RGPD sont la protection des données par conception, par défaut, et la sécurité du traitement

La protection des données par conception fait référence aux moyens et aux mesures de protection que les responsables du traitement des données doivent prendre pour respecter le RGPD. Il s'agit notamment des moyens techniques et organisationnels.

De même, la protection des données par défaut indique que vous devez collecter, traiter et stocker uniquement les données personnelles nécessaires pour fournir un service convenu. (articles 25 et 32).

La sécurité du traitement dicte l'utilisation des mesures techniques et organisationnelles appropriées pour assurer un niveau de sécurité proportionnel au risque de divulgation. Le non-respect de ces mandats peut entraîner des sanctions sévères pour la RGPD.

Les données personnelles ne sont pas seulement les données des clients

Les trois moteurs de la transparence, de la finalité légitime et de la proportionnalité s'appliquent au-delà des données sur les clients. Ils s'appliquent également aux données des employés.

De nombreuses organisations collectent et traitent les données relatives à l'utilisation d'Internet par leurs employés pour des raisons de sécurité de l'information : lutte contre les logiciels malveillants, blocage du transfert de propriété intellectuelle, protection des droits des autres travailleurs, etc. La proportionnalité est ici le guide. Vous devez mettre en balance les droits des employés à la protection des données et vos propres besoins en matière de sécurité.

Connaissez vos données

Selon les règles de la GDPR, vous devez savoir quel type de données vous collectez, traitez et stockez. Par exemple, le RGPD est explicite sur le fait d'éviter de traiter des données personnelles pour déterminer une série de traits, y compris la race, l'origine ethnique, les opinions politiques, les croyances religieuses ou philosophiques, à moins que des exclusions spécifiques ne s'appliquent (articles 9).

La seule façon de s'assurer que vous avez une raison valable de collecter les données est de comprendre pleinement les données elles-mêmes.

Le RGPD touche de nombreuses organisations dans le monde entier, quel que soit leur lieu d'implantation. Et se conformer aux nouvelles règles n'est pas une mince affaire.

Voici une brève checklist pour faire face à la RGPD :

1. Connaissez vos directives en matière de protection des données. Cela inclut les données des clients et des employés.
2. Réalisez une évaluation d'impact sur la protection des données (DPIA) (article 35). L'évaluation d'impact sur la protection des données examine tous les points de contact des données protégées d'un citoyen de l'UE. Cette évaluation est indépendante du lieu de traitement ou de stockage des données. L'évaluation d'impact sur la protection des données doit aboutir à une évaluation détaillée des risques.
3. Elle doit traiter du droit à l'effacement, de la portabilité des données, ainsi que de la détection et de la notification des violations. Cela nécessite des contrôles techniques et organisationnels, des procédures et une gouvernance d'entreprise solides.
4. Si vous avez plus de 250 employés, vous devrez peut-être avoir un DPIA, même si vous êtes basé aux États-Unis.