Afin d’avoir une législation commune sur tout le territoire européen, les Etats Membres ont validé le règlement sur la protection des données. Ce dernier est entré en vigueur le 24 mai 2016. Les entreprises ont jusqu’à mai 2018, date à laquelle le règlement s’appliquera et que les contrôles débuteront, pour mettre en place les mesures nécessaires pour être à la norme.
Dans cet article, je vous propose dans un premier temps de jeter un premier regard sur ce qu’est ce nouveau règlement pour ensuite nous intéresser sur les apports et les impacts que ce dernier a sur les entreprises et sur les citoyens, mais également sur les processus de traitement des données.
1. Une Directive de Protection des Données 2.0
A l’ère du tout digital, le Règlement Général sur la Protection des Données (RGPD) cherche à renforcer la confiance des citoyens et des entreprises dans le marché unique du numérique, en s’appuyant sur 2 piliers :
- Permettre aux citoyens européens d’avoir un meilleur contrôle sur l’utilisation de leurs données
- Simplifier le processus règlementaire pour les entreprises
Cette nouvelle législation vise à apporter une harmonisation aux niveaux des règles de protection des données sur le sol européen. Elle viendra remplacer la Directive 95/46/CE sur la protection des données datant de 1995 ; alors qu’Internet n’était encore qu’à ses débuts. Elle s’appliquera à tous les pays membres de l’Union Européenne et convertira le patchwork actuel des législations nationales en un socle commun.
Le règlement contient l’ensemble des obligations et des dispositions qu’une entreprise devra appliquer pour la récolte, l’utilisation et le traitement de données à caractère personnel. Il s’applique dès lors qu’un citoyen européen est ciblé par un traitement de données. En d’autres termes, une entreprise qui n’est pas établie en Europe mais qui lance une opération de récolte visant des citoyens européens devra se soumettre à ce règlement.
En cas de non-respect des règles, le RGPD prévoit une mise en œuvre plus stricte des sanctions avec des amendes allant jusqu’à 4% du chiffre d’affaire mondial total de l’entreprise. En parallèle de ces amendes, les autorités de protection nationales peuvent également :
- Prononcer un avertissement
- Mettre en demeure l’entreprise
- Limiter temporairement ou définitivement un traitement
- Suspendre les flux de données
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes
- Ordonner la rectification, la limitation ou l’effacement des données
2. Les impacts de ce règlement sur la collecte et les traitements de données personnelles
Ce règlement est en quelque sorte une mise à jour de la directive de 1995, et vient s’adapter aux évolutions numériques que notre société connait depuis 20 ans. De ce fait, il implique une révision des processus de traitement des données à caractère personnel.
Côté citoyen, le règlement prévoit de renforcer les droits des citoyens quant aux traitements de leur données et augmente le nombre de leurs droits, à savoir :
- Le droit à l’oubli
- Le droit à la portabilité des données (possibilité de transférer ses données vers un autre prestataires de services)
- Le droit à la limitation du traitement
- Le droit à l’effacement des données
- Le droit d’être informé en cas de piratage des données
Par ailleurs, ils devront donner leur accord de façon explicite afin que les entreprises puissent collecter et traiter leurs données.
Enfin, le RGPD prévoit une restriction spécifique des mineurs : entre 13 et 16 ans selon les états, le consentement des parents est requis pour procéder au traitement des données.
Côté entreprise, le règlement européen cherche à simplifier le processus post-traitement et à alléger les formalités administratives. De plus, il repose sur une logique de conformité alors que la directive se basait sur une logique de déclarations et d’autorisations. Cette nouvelle logique passe par le principe d’accountability : une entreprise aura l’obligation de prendre des mesures efficaces et appropriées afin de se conformer au RGPD et d’être capable de prouver, sur demande de l’autorité de contrôle, de la bonne mise en place de ces mesures.
Ces mesures sont :
- L’adoption de règles internes
- La tenue d’un registre des activités de traitement qui attestera du respect des principes posés par le règlement
- La réalisation d’une étude d’impact : EIVP
- L’adoption de l’approche « Privacy by design »
- La mise en place d’audit de sécurité
- La désignation d’un délégué à la protection des données.
Intéressons-nous maintenant à ce qui se cache derrière ces mesures…
3. Les mesures du règlement : définitions et impacts
A. Les EIVP : Etudes d’Impact sur la Vie Privée
Pour les traitements susceptibles de présenter un risque élevé pour les droits et les libertés des personnes physiques (comme le profiling, les traitements à grande échelle à caractère sensible, ou bien encore les traitements impliquant la surveillance systématique d’une zone accessible au public), les entreprises auront l’obligation de réaliser une Etude d’Impact sur la Vie Privée (EIVP), ou rapport PIA (Privacy Impact Assesment).
La démarche pour réaliser une EIVP passe par 4 étapes :
- Etude du contexte : définir les traitements, leur contexte et leurs enjeux
- Etude des mesures : identifier les mesures existantes ou prévues (d’une part pour respecter les exigences légales, d’autre part pour traiter les risques sur la vie privée)
- Etude des risques : réaliser une matrice des risques (liée à la sécurité des données et à la vie privée des personnes concernées)
- Validation : valider le process prévu pour réaliser le traitement ou bien si l’étude montre des failles refaire une itération des étapes précédentes
B. Mise en place d’Audit de sécurité et obligation de notification
Par ailleurs, le RGPD prévoit la mise en place de tests de sécurité (stress data) obligatoires pour les entreprises deux fois par an pour se protéger pénalement des fraudes. L’objectif est de prouver que l’entreprise est en mesure de se protéger contre des attaques provenant de l’extérieur ou de l’intérieur même de l’entreprise.
En cas de faille de sécurité impliquant une violation de données alors l’entreprise a maintenant l’obligation d’en référer à l’autorité de contrôle compétente dans un délai de 72h.
Enfin, ces stress data doivent obligatoirement être effectués par des organismes externes.
C. Le Délégué à la Protection des Données
Les organismes publics, les entreprises traitant des données sensibles à grande échelle ainsi que les entreprises dont les principales activités impliquent le traitement de grands volumes de données, auront l’obligation de désigner un Délégué à la Protection des Données (DPD)
Ses missions :
- Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés
- Contrôler le respect du règlement européen et du droit national en matière de protection des données
- Conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution
- Coopérer avec l’autorité de contrôle et être le point de contact avec cette dernière
4. Mise en contexte sur les modes de collectes
Dans cette partie, il sera question de l’impact direct que l’application de ce règlement aura dans le processus de collectes et de traitements de données.
Pour commencer, nous allons nous intéresser aux obligations appliquées sur un mode de collecte. Partons d’un exemple concret : une entreprise souhaite récolter des données auprès de citoyens européens. Elle met en place un formulaire, voici les obligations qu’elle doit désormais suivre :
- Spécifier l’identité du responsable de traitement
- Déterminer le destinataire des données
- Définir la finalité du traitement
- Spécifier le caractère obligatoire ou facultatif des données collectées
- Préciser les conséquences en cas d’absence de réponses
- Spécifier si les données seront transférées vers un pays hors UE
Afin d’appliquer ces obligations sur leurs modes de collectes, les entreprises doivent changer leurs processus afin de les rendre simple et efficace dans leur fonctionnement : cela passe par leur industrialisation. En effet, il est nécessaire aujourd’hui de développer en interne des outils et des systèmes permettant l’automatisation du processus post-collecte. Ce qui évite par la même occasion une perte de temps et d’énergie.
Enfin, il est important de noter qu’une distinction est faite entre le B2C et le B2B dans le monde digital sur les collectes et traitements de données. En effet, dans le B2B il est prévu que les entreprises puissent se déroger du principe de consentement préalable.
Conclusion
Il devenait primordial de disposer de règles communes au sein de l’Europe pour encadrer le traitement des données. Les données étant le point névralgique du développement d’une entreprise il fallait être capable de mettre en place un cadre juridique commun.
Nous l’avons vu, le RGPD et ces nouvelles lois concernant la sécurité de l’information et la protection des données a un impact majeur sur le processus des traitements de données. Il sera intéressant d’observer comment les entreprises vont aborder ce virage pour se mettre aux normes.
C’est aussi pour elles une opportunité pour revoir leurs pratiques actuelles en matière de cybersécurité. Pas seulement pour se conformer à la réglementation, mais également pour dégager un avantage concurrentiel en renforçant leur niveau de sécurité.
Les entreprises doivent se mettre en conformité, le compte à rebours a commencé !
Historique de la réglementation Européenne sur la protection des données :
1995 : l’UE adopte la Directive sur la protections des données (Directive 95/46/CE)
2002 : L’exigence de notification des violations de données est introduite
2012 : L’UE annonce une réforme de la réglementation relative aux données
2013 : Le Parlement européen soutient la réforme
2014 : La Cour de justice européenne entérine le « Droit à l’oubli »
2016 : Le parlement européen adopte le RGPD
2018 : Date limite de promulgation du RGPD par les Etats membres de l’UE