RGPD – Règlement Général sur la Protection des données

Afin de vous aider à comprendre ce qu’est le RGPD, et les nouvelles obligations pour votre entreprise, La Fibre Pro vous propose aujourd’hui une article sur le sujet. En temps qu’opérateur télécom, et donc en première ligne pour la gestion de votre accès internet, nous nous sommes rendus compte que beaucoup de nos clients se demandaient encore ce qu’ils devaient faire. Certains ont d’ailleurs fait appel à nous pour mener à bien une mission d’audit. Notre Audit de Conformité avec le RGPD leur a permis de vérifier s’ils respectaient la réglementation.

 

RGPD - Règlement Général sur la Protection des données (Partie 1)

 

Qu’est ce que le Règlement Général sur la Protection des Données (RGPD)

Le RGPD ou Règlement Général sur la Protection des Données (Règlement (UE) 2016/679) est un règlement par lequel le Parlement européen, le Conseil de l’Union européenne et la Commission européenne entendent renforcer et unifier la protection des données pour tous les individus au sein de l’Union européenne (UE). Il concerne également l’exportation de données personnelles en dehors de l’UE.

Le RGPD (ou GDPR en anglais) vise principalement à rendre le contrôle aux citoyens et aux résidents sur leurs données personnelles ; et aussi à simplifier l’environnement réglementaire des affaires internationales en unifiant la réglementation au sein de l’UE. Lorsque le RGPD entrera en vigueur, il remplacera la directive sur la protection des données ; officiellement la directive 95/46 / CE de 1995. Le règlement a été adopté le 27 avril 2016. Il deviendra exécutoire à partir du 25 mai 2018 après une période de transition de deux ans.

En résumé, le Règlement Général sur la Protection des Données (RGPD) élargit le champ d’application de la législation européenne sur la protection des données à toutes les entreprises étrangères qui traitent les données des résidents de l’UE. Les entreprises sont dans l’obligation de se mettre en conformité avec la nouvelle réglementation Européenne ; au risque de se voir infliger des pénalités sévères allant jusqu’à 4% du chiffre d’affaires mondial.

Le Règlement Général sur la Protection des Données (RGPD) apporte également un nouvel ensemble de «droits numériques» pour les citoyens de l’UE ; à une époque où la valeur économique des données personnelles augmente grâce à l’économie numérique.

Après ce court résumé, nous vous proposons de découvrir plus en détail ce que contient le règlement général européen sur la protection des données.

 

Portée du Règlement Général sur la Protection des Données (RGPD)

 

Champs d’application du RGPD

Le Règlement Général sur la Protection des Données s’applique si le contrôleur de données (une organisation qui recueille des données auprès des résidents de l’UE) ou le processeur (une organisation qui traite des données pour le compte du contrôleur de données ; par exemple des fournisseurs de services cloud) est basé dans l’UE. En outre, le règlement s’applique également aux organisations établies en dehors de l’Union européenne si elles recueillent ou traitent des données à caractère personnel d’individus situés dans l’UE.

Selon la Commission Européenne, « les données personnelles sont des informations relatives à un individu, qu’il s’agisse de sa vie privée, professionnelle ou publique, qu’il s’agisse d’un nom, d’une adresse, d’une photo, d’une adresse e-mail, d’une banque des détails, des publications sur des sites de réseaux sociaux, des informations médicales ou l’adresse IP d’un ordinateur. »

 

Article 48 du RGPD

Le règlement ne prétend pas s’appliquer au traitement de données à caractère personnel pour des activités de sécurité nationale ou d’application de la loi dans l’Union européenne.

Cependant, les groupes industriels préoccupés par l’éventualité d’un conflit de lois se sont demandé si l’article 48 du RGPD pourrait être invoqué. Pourquoi ? Pour empêcher un responsable du traitement soumis aux lois d’un pays tiers de se conformer à un ordre juridique des autorités judiciaires, ou les autorités de sécurité nationales à divulguer à ces autorités les données personnelles d’une personne de l’UE, indépendamment du fait que les données résident à l’intérieur ou à l’extérieur de l’UE.

L’article 48 stipule que tout jugement d’une juridiction ou toute décision d’une autorité administrative d’un pays tiers imposant au responsable du traitement ou au sous-traitant de transférer ou de divulguer des données à caractère personnel ne peut être reconnu ou exécutoire que s’il est fondé sur un accord international. La réforme comprend également une directive distincte sur la protection des données pour le secteur de la police et de la justice pénale. Elle prévoit des règles relatives à la protection des données personnelles.

 

RGDP : un ensemble unique de règles géré par une autorité de surveillance

Un ensemble unique de règles s’appliquera à tous les États membres de l’UE. Chaque État membre établira une Autorité de Surveillance indépendantes (AS) pour entendre et enquêter sur les plaintes, sanctionner les infractions administratives, etc. Les Autorités de Surveillance de chaque État membre coopéreront avec les autres AS. Elles fourniront une assistance mutuelle et en organisant des opérations conjointes.

Lorsqu’une entreprise a plusieurs établissements dans l’UE, elle aura une seule Autorité de Surveillance en tant que «autorité responsable», en fonction de l’emplacement de son «établissement principal». L’autorité principale agira en tant que «guichet unique» pour superviser toutes les activités de traitement de cette activité dans l’ensemble de l’UE (articles 46 à 55 du RPPD).

Un comité européen de la protection des données (EDPB) coordonnera les AS. L’EDPB remplacera le groupe de travail Article 29.

Enfin, il existe des exceptions pour les données traitées dans un contexte d’emploi et les données traitées à des fins de sécurité nationale qui pourraient encore être soumises à la réglementation de chaque pays (articles 2 (2) (a) et 82 du RGPD).

 

RGDP et Responsabilité(s)

Les exigences de notification restent et sont étendues par-rapport au règlement précédent. Elles doivent inclure le temps de rétention des données personnelles et les coordonnées du responsable du traitement des données (RT) et du Délégué à la Protection des données (DPD ou DPO en anglais).

La prise de décision individuelle automatisée, y compris le profilage (article 22), est contestable, de la même manière que la directive sur la protection des données (article 15). Les citoyens ont le droit d’interroger et de combattre les décisions importantes qui les affectent et qui ont été faites sur une base uniquement algorithmique. De nombreux médias ont commenté l’introduction d’un «droit à l’explication» des décisions algorithmiques, mais les juristes ont soutenu que l’existence d’un tel droit est très peu claire sans critère judiciaire et limitée au mieux.

 

RGDP DGRP Etapes et Responsabilité

 

Démontrer la conformité avec le RGPD

Afin de pouvoir  démontrer la conformité avec le RGPD, le responsable du traitement des données devrait mettre en œuvre des mesures qui respectent les principes de la protection des données par la conception et la protection des données par défaut. La protection de la vie privée dès la conception et par défaut (article 25) exige que les mesures de protection des données soient intégrées dans le développement des processus métier des produits et services. Ces mesures comprennent le pseudonymage des données à caractère personnel, par le responsable du traitement, dès que possible.

Il est de la responsabilité du responsable du traitement de mettre en œuvre des mesures efficaces. Mais aussi de démontrer la conformité des activités de traitement ; même si le traitement est effectué par un processeur de données pour le compte du responsable du traitement.

Les évaluations d’impact sur la protection des données (article 35) doivent être menées lorsque des risques spécifiques sont associés aux droits et libertés des personnes concernées. L’évaluation et l’atténuation des risques sont nécessaires et l’approbation préalable des autorités nationales de protection des données est requise pour les risques élevés. Les délégués à la protection des données sont tenus d’assurer la conformité au sein des organisations ; articles 37 à 39.

 

Nomination des délégués à la protection des données

Les délégués à la protection des données doivent être nommés:

– pour toutes les autorités publiques, à l’exception des tribunaux agissant en leur capacité judiciaire.
– si les activités de base du contrôleur ou du processeur consistent en des traitements qui, en raison de leur nature, de leur portée et / ou de leurs finalités, nécessitent un contrôle régulier et systématique des personnes concernées à grande échelle.
– si les activités de base du contrôleur ou du processeur consistent en des traitements à grande échelle de catégories particulières de données en application de l’article 9 et de données à caractère personnel relatives aux condamnations pénales et infractions visées à l’article 10.

 

La base légale pour le traitement

Les données ne peuvent être traitées que s’il existe au moins une base légale pour le faire. Les bases légales pour le traitement des données sont:

– la personne concernée a donné son consentement au traitement de ses données personnelles pour une ou plusieurs fins spécifiques.
– le traitement est nécessaire pour l’exécution d’un contrat auquel la personne concernée est partie ou pour prendre des mesures à la demande de la personne concernée avant la conclusion d’un contrat.
– il est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis.
– le traitement est aussi nécessaire pour protéger les intérêts vitaux de la personne concernée ou d’une autre personne physique.
– il est nécessaire à l’accomplissement d’une mission effectuée dans l’intérêt général ou dans l’exercice de l’autorité publique dévolue au responsable du traitement.
– le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, sauf si ces intérêts sont remplacés par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui requièrent la protection des données à caractère personnel, notamment lorsque les données le sujet est un enfant.

 

RGPD et Consentement

Lorsque le consentement est utilisé comme base légale pour le traitement, le consentement doit être explicite pour les données collectées et les fins auxquelles elles sont utilisées ; article 7, défini à l’article 4 du Règlement Général sur la Protection des Données.

Le consentement pour les enfants doit être donné par le parent ou le gardien de l’enfant et vérifiable (article 8). Les responsables du traitement des données doivent être en mesure de prouver le « consentement » (opt-in) et le consentement peut être retiré.

 

RGPD et Agent de protection des données

Lorsque le traitement est effectué par une autorité publique, à l’exception des tribunaux ou des autorités judiciaires indépendantes agissant dans l’exercice de leurs fonctions, ou lorsque, dans le secteur privé, le traitement est effectué par un responsable du traitement et un suivi systématique des personnes concernées, une personne ayant une connaissance approfondie de la législation et des pratiques en matière de protection des données devrait aider le responsable du traitement ou le sous-traitant à surveiller la conformité interne à cette réglementation.

Le DPD est similaire mais pas comme un responsable de la conformité. Il doit également maîtriser la gestion des processus informatiques, la sécurité des données (y compris les cyberattaques) et d’autres problèmes de continuité des opérations liés à la détention et au traitement des données personnelles. L’ensemble de compétences requises s’étend au-delà de la compréhension de la conformité légale aux lois et règlements sur la protection des données.

La nomination d’un Délégué à la Protection des données au sein d’une grande organisation sera un défi pour le conseil. Mais aussi pour l’individu concerné. Il y a une myriade de questions de gouvernance et de facteurs humains que les organisations et les entreprises devront traiter. En outre, le titulaire du poste devra créer sa propre équipe de soutien. De plus, il sera également responsable de son propre développement professionnel continu car il doit être indépendant de l’organisation qui l’emploie, en tant que «mini-régulateur».

Plus de détails sur la fonction et le rôle du délégué à la protection des données ont été donnés le 13 décembre 2016 (révisé le 5 avril 2017) dans un document d’orientation.

 

Règlement Général sur la Protection des Données RGPD DGRP

 

Règlement Général sur la Protection des Données et Pseudonymisation

Le Règlement Général sur la Protection des Données fait référence à la pseudonymisation ; en tant que processus qui transforme des données personnelles. Les données résultantes ne peuvent pas être attribuées à une personne concernée sans l’utilisation d’informations supplémentaires.

 

Pseudonymisation par cryptage

Un exemple de pseudonymisation est le cryptage. Il rend les données originales inintelligibles et le processus ne peut pas être inversé sans accès à la clé de déchiffrement correcte. Le Règlement Général sur la Protection des Données exige que ces informations supplémentaires (telles que la clé de déchiffrement) soient conservées séparément des données pseudonymisées.

 

Pseudonymisation par tokenisation

Un autre exemple de pseudonymisation est la tokenisation. C’est une approche non mathématique de la protection des données au repos qui remplace les données sensibles par des substituts non sensibles ; appelés jetons ou tokens. Ces jetons n’ont aucune signification ou valeur extrinsèque ou exploitable. La tokenisation ne modifie pas le type ou la longueur des données ; ce qui signifie qu’elles peuvent être traitées par des systèmes hérités, tels que des bases de données susceptibles d’être sensibles à la longueur et au type de données.

Les jetons nécessitent beaucoup moins de ressources de calcul pour traiter et moins d’espace de stockage dans les bases de données que les données traditionnellement cryptées. Ceci est réalisé en gardant des données spécifiques entièrement ou partiellement visibles pour le traitement et l’analyse ; tandis que les informations sensibles sont cachées.

 

Pseudonymisation pour réduire les risques

La pseudonymisation est recommandée pour réduire les risques pour les personnes concernées. Elle aide aussi les responsables du traitement et les sous-traitants à respecter leurs obligations en matière de protection des données.

Bien que le RGPD encourage l’utilisation de la pseudonymisation pour «réduire les risques pour les personnes concernées», les données pseudonymisées sont toujours considérées comme des données à caractère personnel et restent donc couvertes par le RGPD.

 

RGPD et violations de données

En vertu du RGPD, le responsable du traitement a l’obligation légale de notifier l’autorité de surveillance sans retard injustifié ; sauf si la violation est peu susceptible de porter atteinte aux droits et libertés des individus. Le maximum est de 72 heures après avoir pris connaissance de la violation de données pour faire le rapport (article 33).

Les personnes doivent être notifiées si un impact négatif est déterminé (article 34). En outre, le responsable du traitement des données devra notifier le responsable du traitement sans délai indu après avoir pris connaissance d’une violation de données à caractère personnel (article 33).

Toutefois, l’avis aux personnes concernées n’est pas requis si le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées qui rendent les données personnelles inintelligibles à toute personne non autorisée à y accéder ; telles que le cryptage (article 34).

 

RGPD et Sanctions

Dans le cadre du Règlement Général sur la Protection des Données, les sanctions suivantes peuvent être imposées :

  • un avertissement écrit en cas de non-respect premier et non-intentionnel.
  • des audits périodiques réguliers de la protection des données.
  • une amende pouvant aller jusqu’à 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires mondial annuel de l’exercice précédent dans le cas d’une entreprise, si elle est supérieure, en cas de violation des dispositions suivantes (article 83, paragraphe 4) :
    • les obligations du responsable du traitement et du sous-traitant en vertu des articles 8, 11, 25 à 39 et 42 et 43.
    • obligations de l’organisme de certification en vertu des articles 42 et 43.
    • les obligations de l’organe de surveillance conformément à l’article 41, paragraphe 4.
  • une amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4% du chiffre d’affaires mondial annuel de l’exercice précédent dans le cas d’une entreprise, si elle est supérieure, en cas de violation des dispositions suivantes (Article 83, paragraphe 5 & 6) :
    • les principes de base du traitement, y compris les conditions du consentement, conformément aux articles 5, 6, 7 et 9.
    • les droits des personnes concernées en vertu des articles 12 à 22.
    • les transferts de données à caractère personnel à un destinataire dans un pays tiers ou une organisation internationale en vertu des articles 44 à 49.
    • toute obligation découlant de la législation des États membres adoptée en vertu du chapitre IX.
    • le non-respect d’une ordonnance ou une limitation temporaire ou définitive du traitement ou de la suspension des flux de données par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, ou la non-communication en violation de l’article 58, paragraphe 1.

 

RGPD et Droit d’accès

Le droit d’accès (article 15) est un droit de la personne concernée. Cela donne aux citoyens le droit d’accéder à leurs données personnelles. Mais aussi l’information sur le traitement de ces données personnelles. Le responsable du traitement doit fournir, sur demande, un aperçu des catégories de données traitées ; article 15, paragraphe 1, point b. Ainsi qu’une copie des données effectives ; article 15, paragraphe 3.

En outre, le responsable du traitement des données doit informer la personne concernée des détails concernant le traitement. Par exemple: quelles sont les finalités du traitement (article 15, paragraphe 1, point a)), avec qui les données sont partagées (article 15, paragraphe 1, point c)) et comment les données ont été acquises (article 15, paragraphe 1, point g).

 

RGPD et Droit d’effacement

Un droit à l’oubli a été remplacé par un droit d’effacement. Il est plus limité dans la version du RGPD adoptée par le Parlement européen en mars 2014.

L’article 17 dispose que la personne concernée a le droit de demander l’effacement des données à caractère personnel les concernant. Et ce pour plusieurs raisons. Y compris le non-respect de l’article 6.1 qui comprend un cas où les intérêts légitimes du le contrôleur est outrepassé par les intérêts ou les libertés et droits fondamentaux de la personne concernée qui requièrent la protection des données à caractère personnel.

 

RGPD et Portabilité des données

Une personne doit être en mesure de transférer ses données personnelles d’un système de traitement électronique vers un autre ; et sans en être empêché par le responsable du traitement. Les données qui ont été suffisamment anonymisées sont exclues. Mais les données qui ont seulement été anonymisées, mais qui restent possibles pour établir un lien avec la personne en question, ne le sont pas ; par exemple en fournissant l’identificateur pertinent

Les données qui ont été «fournies» par la personne concernée et les données qui ont été «observées» ; par exemple son comportement, sont couvertes. En outre, les données doivent être fournies par le contrôleur dans un format électronique standard structuré et couramment utilisé. Le droit à la portabilité des données est prévu par l’article 20 du RGPD. Les experts juridiques voient dans la version finale de cette mesure un « nouveau droit » créé qui « dépasse la portée de la portabilité des données entre deux contrôleurs comme stipulé dans l’article 20 ».

 

RGPD et Protection des données par conception et par défaut

La protection des données par conception et par défaut (article 25) exige que la protection des données soit intégrée dans le développement des processus métier pour les produits et services. Cela nécessite que les paramètres de confidentialité soient définis par défaut à un niveau élevé. Il faut aussi que les mesures techniques et procédurales soient prises en charge par le contrôleur ; afin de s’assurer que le traitement ; tout au long du cycle de vie du traitement, est conforme à la réglementation. Les contrôleurs doivent également mettre en place des mécanismes ; pour s’assurer que les données personnelles ne sont traitées que lorsque cela est nécessaire pour chaque objectif spécifique.

Un rapport de l’ENISA (Agence de l’Union Européenne pour la sécurité des réseaux et de l’information) explique ce qu’il faut faire pour assurer la protection de la vie privée et des données par défaut. Il spécifie que les opérations de cryptage et de décryptage doivent être effectuées localement ; et non par un service distant. Les clés et les données doivent rester au pouvoir du propriétaire des données si une confidentialité doit être atteinte.

Le rapport spécifie que le stockage de données externalisé sur les clouds distants est pratique et relativement sûr ; tant que seul le propriétaire des données, et non le service cloud, détient les clés de décryptage.

 

RGPD et Enregistrements des activités de traitement

Les enregistrements des activités de traitement doivent être conservés. Y compris les finalités du traitement, les catégories concernées et les délais envisagés. Ces dossiers doivent être mis à la disposition de l’autorité de surveillance sur demande (article 30).

 

Discussion et controverses

La proposition de nouvelle réglementation a donné lieu à de nombreuses discussions et controverses. Des milliers d’amendements ont été proposés. L’ensemble unique de règles et la suppression des exigences administratives étaient censés économiser de l’argent. Mais selon une étue, les professionnels de l’informatique estiment que la conformité au RGPD nécessitera des investissements supplémentaires ; étude réalisée en mai 2017 par Dimensional Research et TrustArc. Plus de 80% des personnes interrogées s’attendent à ce que les dépenses liées au RGPD soient d’au moins 100 000 dollars.

Ces préoccupations ont été reprises dans un rapport commandé par le cabinet d’avocats Baker & McKenzie ; selon lequel «environ 70% des personnes interrogées pensent que les organisations devront investir un budget supplémentaire pour respecter les exigences de consentement, de cartographie et de transfert de données transfrontalières.

L’exigence d’avoir un délégué à la protection des données (DPD) est une nouveauté pour de nombreux pays de l’UE. Elle est critiquée par certains pour sa charge administrative.

 

Discussions et exigences

Le RGPD a été développé en mettant l’accent sur les réseaux sociaux et les fournisseurs de cloud ; mais n’a pas considéré les exigences pour traiter les données des employés de manière suffisante. La portabilité des données n’est pas considérée comme un aspect clé de la protection des données. C’est plutôt une exigence fonctionnelle pour les réseaux sociaux et les fournisseurs de cloud.

Bien que la portabilité des données crée de la transparence pour évaluer les problèmes de confidentialité des contrôleurs. Bien que la minimisation des données soit une exigence, la pseudonymisation étant l’un des moyens possibles. Le règlement ne fournit aucune indication sur la manière de constituer un système efficace de désidentification des données ; avec une zone grise sur ce qui serait considéré comme une pseudonymisation inadéquate soumise à la section 5 mesures d’exécution.

La protection contre les décisions automatisées de l’article 22, avancée par l’article 15 de la directive sur la protection des données, a été invoquée pour protéger contre un nombre croissant de décisions algorithmiques en ligne et hors ligne ; y compris potentiellement un droit à une explication. La question de savoir si ces anciennes dispositions offrent une protection significative fait l’objet d’un débat permanent.

Autre exigence concernant les problèmes de langue et de personnel pour les autorités nationales de protection des données (DPA). Les citoyens de l’UE n’ont plus un seul DPA à contacter pour leurs préoccupations. Ils doivent traiter avec le DPA choisi par l’entreprise concernée.

Les données personnelles ne peuvent pas non plus être transférées vers des pays en dehors de l’Union européenne ; sauf si elles garantissent le même niveau de protection des données.

 

Le plus grand défi pourrait être la mise en œuvre du RGPD

La mise en œuvre du RGPD de l’UE nécessitera des changements complets. Notamment pour les pratiques commerciales des entreprises qui n’ont pas mis en œuvre un niveau de confidentialité comparable avant l’entrée en vigueur du règlement. On pense par exemple aux  entreprises non européennes manipulant des données personnelles européennes.

Il y a déjà un manque d’experts en protection de la vie privée et de connaissances à ce jour. De plus, de nouvelles exigences pourraient aggraver la situation. Par conséquent, l’éducation à la législation sur la protection des données et la vie privée, sera un facteur critique pour le succès du RGPD. En particulier en respectant les nouvelles règles au fur et à mesure qu’elles se présentent.

La Commission Européenne et les DPA doivent fournir des ressources et des pouvoirs suffisants pour faire appliquer la mise en œuvre. Un niveau unique de protection des données doit être accepté par tous les DPA européens ; étant donné qu’une interprétation différente de la réglementation pourrait conduire à différents niveaux de confidentialité. La politique commerciale internationale de l’Europe n’est pas encore conforme au RGPD.

 

Chronologie de mise en place du RGPD

25 janvier 2012 : publication de la proposition pour le RGPD

21 octobre 2013 : la commission des libertés civiles, de la justice et des affaires intérieures (LIBE) du Parlement européen a eu son vote d’orientation.

15 décembre 2015 : les négociations entre le Parlement Européen, le Conseil et la Commission (trilogue) ont abouti à une proposition conjointe.

17 décembre 2015 : la commission LIBE du Parlement européen a voté positivement sur l’issue des négociations entre les trois parties.

8 avril 2016 : Adoption par le Conseil de l’Union Européenne. Le seul État membre qui a voté contre était l’Autriche ; arguant que le niveau de protection des données était, à certains égards, inférieur à celui de la directive de 1995.

14 avril 2016 : adoption par le Parlement Européen.

4 mai 2016 : le règlement est entré en vigueur vingt jours après sa publication au Journal officiel de l’Union Européenne. Ses dispositions seront directement applicables dans tous les États membres deux ans après cette date.

25 mai 2018 : mise en application du RGPD.

La Fibre Pro est un fournisseur d'accès internet spécialisé dans la fourniture de forfaits fibre optique pour les entreprises. En plus de ses offres internet pro, La Fibre Pro propose également des services de déploiement de réseaux wifi, de téléphonie fixe, de VPN ou encore d'hébergement. La Fibre Pro est une marque déposée de la société Muona, opérateur télécom déclaré auprès de l'ARCEP.