Loi RGPD, qu'est ce que c'est ? Comment être aux normes ?

Qu'est ce que le RGPD ? Qui concerne-t-il ? Pourquoi a-t-il été créé ? Et comment le respecter dans notre pratique professionnelle quotidienne? Nous répondons à ces questions dans cet article destiné à la loi RGPD. Le Règlement Général sur la Protection des Données ou RGPD, a été promulgué le 25 mai 2018 et fait depuis beaucoup parler de lui, surtout auprès des professionnels qui craignent de ne pas respecter les normes imposées. Certains sont parfois victimes d'arnaques de la part d'autres professionnels demandant des sommes pharaoniques pour mettre aux normes RGPD les solutions proposées par les autres. Bonne lecture !

Le RGPD qu'est ce que c'est ?

Le Règlement Général sur la Protection des Données, a été promulgué en 2018 pour imposer des règles harmonieuses pour les états membres. Il est la continuité de la Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et libertés. Le RGPD est une initiative initialement à l'Européenne mais aucune autre "loi" n'existe à l'international, unifiant la gestion et la protection des données qui peuvent passer d'un état à l'autre et donc d'une législation à l'autre.

• Les grands principes du RGPD sont les suivants :

• La licéité : la transparence, et la conformité à la loi.

• La limitation des finalités du traitement

• La minimisation des données demandées et conservées

• L'exactitude des données, elles doivent être tenues à jour et de leur utilisation

• La limitation de la conservation dans le temps

• L'intégrité et la confidentialité des données

• La responsabilité de la collecte, de la gestion et de l'utilisation des données.

Qui est concerné par les mesures RGPD ?

Toutes les personnes, entreprises, associations, sites, structures, publiques ou privées, quel que soit son domaine d'activité ou quelle que soit sa taille qui collecte des données ou traite des données sur ses visiteurs, prospects ou utilisateurs, est concerné. Par exemple leur nom et prénom, leur adresse, leur e-mail ou encore leur numéro de téléphone, cela peut aller plus loin et concernées des données à caractère personnel, possiblement préjudiciables à vos utilisateurs, comme l'orientation sexuelle, les antécédents de santé ou judiciaire etc. Attention, la couleur des yeux est une données à caractère personnelle. Il ne s'agit donc pas que de données que vous considérerez vous, comme préjudiciables. Certaines données sont cependant "à risque". Si vous avez une Newsletter à votre blog, vous êtes concerné. Si vous avez une boutique en ligne, vous êtes concerné. Si vous réalisez une étude de marché qui collecte des adresses e-mail, vous êtes concerné.

Mettre son activité aux normes RGPD

Respecter le règlement général de la protection des données

La première chose à faire quand on veut pouvoir respecter un règlement, c'est de le lire. Vous avez la possibilité de lire la Loi de 78 et l'ordonnance de 2018 Etant donné qu'il est un peu rasoir, la CNIL a créé un MOOC (ou Massive Open Online Course) qui est un atelier de cours en ligne destiné à l'apprentissage de ce qu'est le RGPD

Nous allons aussi reprendre les points essentiels dans cet article.

- Fournir les informations aux utilisateurs concernant le traitement des données

- Organiser un droit d'accès à ces informations, mais aussi de rectification et d'effacement

- Tenir compte du droit à la limitation du traitement

- Organiser la portabilité des données

Informer l'utilisateur des données récoltées et de leur utilisation

Les utilisateurs faisant l'objet d'une collecte et d'un traitement de leurs données doivent en être informé clairement et doivent consentir de façon éclairée à cette collecte et à ce traitement.

Vous devrez non seulement l'informer des données collectées, mais également leur temps de conservation, de l'objectif pour lesquels elles ont été collectées, du traitement dont elles vont faire l'objet. Vous devez également informer les utilisateurs de la possibilité de demander la consultation, la modification, ou la suppression des données en question, et ce à tout moment. Il s'agit de leur droit d'accès, de rectification ou de rétractation.

Si vous avez un site web par exemple, et que vous avez une Newsletter, les utilisateurs doivent avoir clairement accepter de figurer parmi la liste des personnes à qui la Newsletter sera envoyé, et aussi pouvoir avoir accès simplement à votre politique de confidentialité des données, et demander à pouvoir non seulement se désabonner de votre Newsletter mais aussi demander la suppression de ses données. L'utilisation de cookies fait également partie de la collecte de données.

Établir un registre de la gestion de vos données

Établissez un fichier protégé et confidentiel dans lequel vous conserverez tout ce qui est lié à vos données. Notamment par exemple, l'objectif et la finalité du recueil, les traitements dont les données font l'objet, de catégoriser les différentes données, de limiter la durée de leur conservation ou encore désigner qui à accès à ces différentes données.

Vous devrez garantir la sécurisation de ce registre et des données qu'il contient. Pour vous aidez à différencier les données à caractère personnel des données à risque, par exemple, La CNIL a réalisé cette fiche destinée à mettre en lumière les points de vigilances sur lesquels s'attarder en RGPD.

Pour vous aidez, la CNIL a réalisé ce Modèle de registre

Désigner un DPO - Délégué à la Protection des Données

Le DPO (Data Protection Officer) Ou Délégué à la Protection des Données est obligatoire si vous vous situez dans l'un des cas suivants :

• Le traitement est effectué par une autorité publique (sauf les juridictions) ;

• Les activités de base du traitement consistent en des opérations qui exigent un suivi régulier et systématique à grande échelle des données personnelles ;

• Les activités de base du traitement consistent en un traitement à grande échelle de catégories particulières de données (celles de l'article 9 du RGPD).
  

Autrement dit si votre structure est minuscule, que vous ne collectez pas de données à risque, et que vous les conservez peu de temps, il y a des chances pour que vous n'ayez pas à désigner un DPO. Cela ne veut pas dire qu'il ne faudra pas en assurer vous même les missions principales. Le DPO peut être un salarié ou un tiers, et il doit :

- Informer la société qui collecte les données de ses obligations

- Contrôler le respect du RGPD dans la collecte et le traitement des données

- Conseiller sur l'analyse d'impact qui est éventuellement à réaliser

- Coopérer et faire office de lien de contact avec l'autorité de contrôle RGPD

Réaliser une ou plusieurs analyses d'impact

Si les données que vous collectez sont des données à caractère personnel, à risque, et/ou susceptibles d'engendrer des préjudices à l'utilisateur de qui elles ont été collecté, il est obligatoire pour vous de réaliser une analyse d'impact liée au risque de la collecte et du traitement de ces données pour l'utilisateur qui vous les délivre.

Vous devez évaluer non seulement l'origine et la nature du risque potentiel, mais aussi ses particularités et sa gravité en raison de ce traitement que vous souhaitez réaliser.

La loi européenne prévoit que le contenu de l'analyse d'impact doit contenir au minimum et de façon obligatoire et systématique :

• une description systématique du traitement et de ses finalités, ainsi que la précision de l'intérêt légitime poursuivi ;

• l'évaluation de la nécessité et de la proportionnalité du traitement par rapport aux finalités poursuivies ;

• une évaluation des risques pour les droits et libertés (des personnes physiques concernées) ;

• les mesure envisagées à cet égard, afin de protéger les données à caractère personnel.

Si votre analyse d'impact révèle que le risque est élevé, vous devez absolument vous référez à une autorité de contrôle avant de collecter vos données.

Pour vous aider, la CNIL met à disposition ce logiciel prêt à l'emploi destiné aux personnes peu familiarisée avec les analyses d'impact.

Faire le tri dans les données collectées

Vous devez systématiquement tenir votre base de données à jour et faire le tri parmi les données que vous avez réellement besoin de conserver (et donc de protéger) et celles dont vous pouvez vous débarrasser. Le RGPD encourage à minimiser les données collectées à celles dont vous avez réellement besoin pour traiter le dossier et gérer le suivi de votre utilisateur. Ainsi, n'hésitez pas à effacer toutes les données qui ne sont plus utiles et les utilisateurs inactifs. Vous devez bien entendu tenir à jour votre base de données en rectifiant ou en effaçant toutes les données qui vous auront été demandé d'être rectifiées par vos utilisateurs.

Sécurisez les données collectées et utilisées

La sécurité des données est une priorité dans le RGPD. Voici les points essentiels à respecter :

• Choisir ses mots de passe avec soin, et si possible, les changer régulièrement (tous les trois mois)

• Téléchargez des logiciels officiels et vérifiés, et effectuer les mises à jour

• Sécuriser l'accès Wifi de vos appareils

• Utiliser de manière prudente l'ensemble de ses appareils électroniques : smartphone, tablette, ordinateur...

• Bien connaître ses utilisateurs, ses collaborateurs, ses prestataires

• Utiliser sa messagerie de manière prudente

• Effectuer des sauvegardes régulièrement sur un stockage autre

• Ne pas utiliser les mêmes appareils pour l'usage personnel et professionnel

• Effectuer les payements en ligne avec prudence

• Faire attention de manière générale à son identité numérique et à ses information personnelles et professionnelles.

Il est conseillé d'effectuer une étude de risque de l'effacement, de l'extraction ou de modification de ces données. Vous pourrez alors réfléchir à la possibilité, par exemple, de crypter les données par chiffrement. Si le risque est élevé et que vos données sont à risques, vous devrez prendre des mesures spécifiques. Vous devrez alors non seulement identifier les risques, les analyser pour les comprendre. Vous devrez également les estimer en termes de gravité, et déterminer les mesures que vous prenez et prendrez à l'avenir pour y faire face et éviter que les risques ne vous éclatent à la figure.

Documentez la conformité

En cas de contrôle et afin de prouver votre conformité au RGPD, vous devrez avoir composé un fichier composé de plusieurs documents, régulièrement mis à jour, et sécurisé, ces derniers prouvant vous que vous respectez la loi.

Parmi ces documents devront se trouver :

• Votre registre des traitements et des données

• La ou les analyses d'impact relatives au traitement de ces données

• Si vous transférez des données en dehors de l'UE, l'encadrement des transferts

• Les mentions d'informations destinées aux utilisateurs

• Les modèles de recueil de consentements des utilisateurs à la collecte et au traitement de leurs données

• Les procédures d'accès et de mise en place des droits des utilisateurs

• Si vous sous-traitez les contrats avec vos sous-traitants

• La preuve que les utilisateurs ont donné leur consentement

Pour vous aider à retenir cet article, je vous ai réalisé deux infographies que vous pouvez enregistrer sur Pinterest ou encore dans votre Smartphone, reprenant les grands principes et les étapes à réaliser pour se conformer au RGPD

Les nouveautés du RGPD en 2022 :

En 2022, l'UE introduit de nouveaux règlements qui renforceront le RGPD, notamment :

• Le renforcement des règles autour de l'utilisation des cookies, du marketing direct et d'autres technologies sensibles à la vie privée.

• La loi sur la gouvernance des données qui introduira de nouvelles règles autour du partage des données et de la gouvernance des données, y compris le droit à la portabilité des données et le droit à l'effacement des données.

• Le règlement sur l'intelligence artificielle qui définira des règles spécifiques pour l'utilisation de l'intelligence artificielle (IA) dans l'UE, y compris des exigences de transparence et de responsabilité pour les systèmes d'IA.

• La loi sur les services numériques qui introduira de nouvelles règles pour les fournisseurs de services numériques, notamment des règles de responsabilité plus strictes pour les plateformes en ligne et de nouvelles exigences de transparence pour la publicité en ligne

• La législation portant sur les marchés numériques qui va encadrer l'activité des plateformes de ventes en ligne sur le marché européen, en définissant de nouvelles obligations au profit de l'innovation de la qualité et du partage équitable pour les entreprises du secteur.

Ces règlements renforcent les règles actuelles du RGPD, en mettant davantage l'accent sur la transparence, la responsabilité et la gestion des données. Il est important pour les entreprises de mettre en place une stratégie solide de protection des données et de la vie privée afin de garantir la conformité à ces règlements. Il convient également de noter que les connaissances sur ce sujet sont susceptibles d'évoluer, alors n'hésitez pas à consulter le site officiel de l'UE pour obtenir les dernières informations en date.

Nous arrivons à la fin de cet article consacré au RGPD, merci pour votre lecture.

Retrouvez ci-dessous les liens utiles dont nous avons parlé dans cet article :

• La loi de 1978 relative à l'informatique, aux fichiers et libertés

• L'Ordonnance de 2018 en continuité de cette loi

• Le MOOC de la CNIL pour aller plus loin dans sa compréhension du RGPD

• Le modèle de registre mis à disposition par la CNIL

• Le logiciel d'API mis à disposition par la CNIL