RGPD (ou « GDPR » en anglais pour General Data Protection Regulation) est le nouveau règlement européen qui remplace la loi « Informatique et libertés » et fixe une nouvelle manière de traiter les données personnelles pour tous les acteurs du numérique.
Il renforce et unifie la protection des données pour les individus au sein de l'Union européenne. Il impose de nouvelles contraintes et règles, fixe des vraies sanctions et détermine finalement un cadre réglementaire ordonné et harmonisé pour tous les pays membres de l’UE.
En tant que citoyen utilisateur ou comme professionnel, nous générons des données en très grand nombre. De la moindre connexion au paiement en ligne en passant par l’échange de courriel, nous laissons des traces, intentionnellement ou non :
Sur l’immense majorité des sites visités, vous trouvez encore un bandeau à propos des cookies (ce fameux bandeau que les utilisateurs ne voient même pas) ou autres tracker ; ce bandeau qui précise qu’en navigant sur le site, vous acceptez la collecte de vos informations.
Un exemple de ces mentions parmi d’autres :
« Les cookies assurent le bon fonctionnement de notre système de mesure d'audience. Certaines données sont donc communiquées à des tiers. En utilisant ce site, vous acceptez l'utilisation de ces cookies. »
Manipuler ces données ne doit pas être pris à la légère ; il ne s’agit pas d'entrer dans la paranoïa à tout prix, mais à cause des problèmes d’usurpation d’identité, de doxxing, ou de perte de données que rencontrent même certaines grosses sociétés, la sécurité et la maîtrise de ces données est une nécessité.
La maîtrise des flux d'informations personnelles laissées sur les sites est une activité à risque qui peut se répercuter dans la vie courante (comme la revente de données personnelles au risque d’être spammé sur votre téléphone).
La CNIL comme les autorités européennes l'ont bien compris, et c'est dans ce cadre qu'est né le RGPD. Le but est de réguler et de sécuriser les flux d'informations personnelles laissées sur les sites et normaliser les usages en responsabilisant les éditeurs de site.
Aussi, des mesures doivent être prises tant au niveau de vos infrastructures que pour les traitements et la récupération des données personnelles des utilisateurs de votre/vos site(s) afin d'adhérer à la logique de conformité du RGPD.
Les entreprises, les prestataires, les associations et sous-traitants sont concernés par le RGPD.
Si vous faites appel à une agence web pour sous-traiter tout ou partie de votre activité, elle vous doit conseil et aide ainsi que sécuriser les données que vous lui confiez.
Le RGPD entraîne un changement dans la responsabilité face aux données, car le sous-traitant est à présent co-responsable du traitement des données.
Le traitement des données à caractère personnel :
Cela concerne la collecte, l’enregistrement, la structuration, la modification, l’extraction, la mise à disposition et transmission de données utilisateurs (données se rapportant à une personne physique identifiée ou identifiable).
Ces données peuvent être des données sensibles que détient l’entreprise, telles que :
Les données peuvent donc être physiques (documents papiers) comme immatérielles (base de données, tableurs…).
Le RGPD offre un cadre harmonisé aux 28 états membres européens.
Il s’applique à tout traitement de données d’utilisateurs européens situé sur le territoire de l'Union européenne, mais également à toute entreprise hors UE qui fournirait des biens et services accessibles à un utilisateur européen.
Peu importe donc que le traitement ait lieu ou non dans l'Union Européenne ; même pour des traitements réalisés à l’autre bout du Monde ;
Une application extra-territoriale : le règlement s'appliquera aux entreprises établies en dehors de l'UE qui traitent les données relatives aux activités des organisations de l'UE.
Définitivement adopté par le Parlement européen le 4 avril 2016, publié le 4 mai 2016 dans le Journal officiel de l'Union européenne, il entre en application le 25 mai 2018.
Toute entreprise devra au plus tard à partir de cette date garantir et prouver, en cas de contrôle, qu'elle a protégé de manière appropriée les données sensibles qu'elle détient (voir la liste non-exhaustive).
Si vous avez une activité Web comme un site e-commerce ou même un site vitrine ou d’informations, vous devez respecter les points suivants pour vos utilisateurs :
Les entreprises et organismes doivent donner aux citoyens davantage de contrôle sur leurs données privées. Le traitement des données est valide si l’utilisateur du site accepte le traitement de ses données. Pour cela, l’entreprise DOIT recueillir le consentement de ses utilisateurs en ligne, consentement qui doit être donné dans un cadre spécifique très clair qui ne laisse pas de place à l’ambiguïté sur le traitement de ces données.
Exemple : Les CGU/CGV ne doivent pas être cochées par défaut et ne doivent pas entraîner la validation d’un formulaire d’inscription (une action spécifique et volontaire à cette validation est nécessaire).
Enfin, toute personne peut retirer son consentement à tout moment et peut entamer une réclamation auprès de la CNIL.
Dans les faits, toutes ces mentions doivent être présentes sur votre site.
Mais il ne s'agit pas seulement de gonfler vos mentions légales : un formulaire de contact doit être disponible afin que toute personne puisse demander l'accès à ses données, puisse fournir son accord ou bien le retirer, et des éléments de sécurité doivent être mis en place si votre site brasse des données utilisateurs sensibles (certificat SSL par exemple dès qu'il y a un moyen de paiement et/ou collecte de données sensibles)
La mise en conformité via la sécurisation des données est plus que jamais de rigueur.
Voyons maintenant les obligations en tant que professionnels.
C’est le principe de la responsabilité conjointe : les prestataires et sous-traitants, comme les agences Web, deviennent co-responsables, avec le représentant légal, des obligations à respecter en matière de sécurité
En outre, un délégué à la protection des données (DPD, ou DPO pour Data Protection Officer en anglais) est un référent nécessaire à désigner en cas :
Exemple : pour la gestion de votre personnel ou la gestion de vos clients).
Un modèle de registre est disponible auprès de la CNIL.
La notification doit comprendre les informations suivantes :
Cas spécifiques : sachez également que selon l'activité, la sensibilité et le nombre de données, la CNIL demande la mise en place de mesures techniques plus poussées de sécurisation.
Les responsables de traitement pourront utiliser le PIA, un outil open source fourni par la CNIL, pour déterminer le risque encouru par les données (de Négligeable à Maximal) et faire ses déclarations sur les fonctionnalités concernées.
Outre la mise en place des procédés de sécurisation des données en interne et l’obligation, tout sous-traitant intervenant sur les données de son client doit :
Grande nouveauté de la réglementation, les autorités de protection se sont données les moyens de sanctionner efficacement les manquements au règlement européen, avec des contrôles et sanctions qui ont été très largement renforcés :
Dans le cas d‘une entreprise, il y a 2 principaux cas de sanctions :
1/ Sanction jusqu’à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent (ou 10 millions d’euros) en cas :
2/ Sanction jusqu’à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent (ou 20 millions d’euros) en cas de :
Avec la possibilité de suspendre, rectifier, limiter ou effacer des données ou flux de données.
Ainsi, être RGPD compliant ou en conformité «by design» est une nécessité pour tous les professionnels du Web actuellement.
Dans un second article, nous aborderons les méthodes et dispositions à prendre en vue de respecter la réglementation RGPD.
Sources :
Aides :
Vulnérabilité et dérobage des données personnelles :