RGPD : le nouveau règlement européen sur la protection des données

La nouveauté tient pour l’essentiel au fait que le régulateur européen a prévu des montants de sanction considérables en cas de non-respect :

  1. 20 millions d’euros pour les PME
  2. jusqu’à plusieurs milliards d’euros de sanctions pour les grands groupes (4% du CA global du groupe).

D’un point de vue strictement juridique, le règlement européen est identique à quasiment 80% à la règlementation ancienne (la directive 95/46 CE qui était en vigueur avant).

En toute transparence, j’ai eu l’honneur de conseiller les services du Premier Ministre en qualité d’expert national pendant l’élaboration du texte et ce dont je peux activement témoigner est l’ampleur de cette réforme.

I. Quand est-ce que le RGPD s’applique ?

La règlementation s’applique à toute organisation qui traite des données personnelles (des données clients, prospects, usagers, employés, etc.).

Le RGPD s'applique dès lors qu'une organisation traite sur informatique des données qui permettent d'identifier des personnes, directement ou indirectement.

Son champ est donc extrêmement large. En cela, la notion de données personnelles est trompeuse : ce dont il est question ici est de protéger toute données des personnes - et pas leurs données “intimes”. Voici quelques exemples :

D’un point de vue juridique, c’est l’article 4 qui définit cette notion :

1) «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale;

Ce point est très important au risque de passer à côté de traitements.

En d’autres termes, si une organisation process un nom, un prénom, un email, une photo, un numéro de sécurité sociale, une adresse IP… sur informatique, le RGPD s’applique, et il faut mettre ce traitement en conformité.

II. Attention aux zones à risque

Si tous les traitements de données personnelles doivent être mis en conformité, le RGPD distingue certains traitements comme étant plus sensible que d’autres. Ces derniers vont alors donner lieu à une application renforcée de la loi – essentiellement en raison des risques pour les personnes.

Voici quelques exemples :

  1. des traitements de données de personnes en masse (+100.000 personnes – prospects, clients, usagers, employés…)
  2. des données de santé
  3. la segmentation comportementale (certains CRM) - ou des situations ou l’on automatise des prises de décision (ex : attribution de crédits automatiques)
  4. la surveillance de personnes (ex : vidéosurveillance) en particulier en masse
  5. le transfert de données hors de l’Union européenne
  6. les données dites “sensibles” (article 9) : données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique ;
  7. les données relatives à des infractions ou des condamnations ou des mesures de sûreté

Dans de tels cas, des règles renforcées seront à mettre en oeuvre (sécurité renforcée, contrôle d’accès renforcé, minimisation des données traitées…).

III. Le nouveau mécanisme de sanctions

C’est indiscutablement le point le plus important de la nouvelle réforme, car à la différence de la règlementation ancienne, le règlement introduit de vraies sanctions.

A. « Effectives, proportionnées et dissuasives »

En général, la première question que l’on se pose est de savoir si de telles sanctions seront vraiment prononcées. La réponse est oui, j’explique cela en détail ici (un indice : la CNIL n’y est pour rien) :

D’un point de vue juridique il faut observer l’article 83 du RGPD qui détermine la grille de calcul des sanctions qui est très précise :

Article 83 - Conditions générales pour imposer des amendes administratives

1.   Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article pour des violations du présent règlement (…) soient, dans chaque cas, effectives, proportionnées et dissuasives.

3 critères doivent donc être pris en compte juridiquement pour déterminer le montant de la sanction en cas d’infraction.

Le RGPD impose que les sanctions prononcées soient systématiquement dissuasives

En formation nous réalisons un exercice pratique qui est de prendre un cas ancien de condamnation de Google par la CNIL et on simule une condamnation sur le fondement du RGPD. Les résultats sont systématiquement les mêmes et l’on aboutit à des condamnations aux alentours de 300 millions d’euros en appliquant l’ensemble des critères prévus par le règlement.

En effet pour un grand groupe, des sanctions de 100.000€, comme celles qui ont été prononcées par la CNIL avant le RGPD, ne serait pas du tout dissuasive…

B. Quels sont les risques réels ?

Il faut dire que – paradoxalement le « risque CNIL » ne vient pas de la CNIL. Si l’’autorité mène des contrôles réguliers et que l’n note clairement une augmentation du niveau de sanctions, elle n’a pas eu jusqu’à présent une politique de sanctions très agressive. Le vrai risque vient du fait que les montants élevés d’infraction prévus par le RGPD vont offrir des moyens de pression à un nombre important d’acteurs qui vont détourner la protection des données personnelles dans le cas de conflits classiques, tels que :

  • des salariés en conflit avec l’organisation ;
  • des syndicats ;
  • des représentants du personnel ;
  • des associations de consommateurs ;
  • ou des associations de « protection de la vie privée »

Avec des sanctions de l’ordre du milliard d’euros, ces acteurs vont rapidement être en mesure de se payer les meilleurs juristes ou avocats pour faire plier les plus gros acteurs. Dans le process de conformité, il est donc essentiel de se concentrer sur les traitements qui sont susceptibles de générer des conflits judiciaires (RH, consommation…).

IV. Comment se mettre en conformité ?

Évidemment la meilleure protection résulte dans le fait d’être conforme au RGPD. On peut dire schématiquement qu’il existe deux types d’obligations à mettre en place : les obligations communes à toutes les organisations et celles qui doivent être respectées pour chaque traitement de données personnelles mis en oeuvre.

A. Les obligations communes à toutes organisations

La première étape est clairement la mise en oeuvre du registre des traitements de données personnelles. Avant l’entrée en vigueur du règlement, on procédait à une déclaration à la CNIL. Cette déclaration n’existe plus, et elle est remplacée par un registre interne sur lequel doivent figurer l’ensemble des traitements de données personnelles. Pour la tenue du registre, il existe des logiciels qui simplifient considérablement les choses. Attentions toutefois, le registre des traitements n’est pas le seul à devoir être mis en place, il en existe deux autres (registre sous-traitant, et registre des incidents de sécurité) que j’explique en détail ici :

Une fois ces registres mis en place, il faut recenser l’ensemble des traitements mis en place au sein de l’organisation puis entrer dans leur mise en conformité. Il peut être utile d’avoir un DPO pour vous aider dans la mise en place du RGPD mais c’est plus une option qu’une obligation (sauf pour le secteur public).

B. Les obligations propres à chaque traitement

L’obligation majeure qui nécessite en pratique le plus de travail est de documenter l’état de sa conformité. C’est-à-dire qu’il doit détailler le fait que toutes les obligations imposées par le règlement sont bien respectées. Cette obligation résulte de deux articles, l’article 5 et l’article 24 :

Article 5

Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité).

Article 24

1.   Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement. Ces mesures sont réexaminées et actualisées si nécessaire.

Cette obligation est lourde en pratique puisqu’on doit dans un premier temps recenser l’ensemble des traitements de données personnelles et ensuite documenter le fait que chaque obligation est bien respectée. J’ai déjà procédé à une étude assez détaillée des actions qui doivent être mises en oeuvre pour chaque traitement qui vous donnera une idée du processus de conformité.

Pour le faire de manière sérieuse, il est indispensable de faire une formation car le méandre des obligations est trop complexe et il faut au moins deux jours pour appréhender les actions et les outils à mettre en oeuvre.

Je rappellerai donc ici simplement – et de manière synthétique – quelques-unes des actions que le responsable du traitement doit mettre en oeuvre afin d’illustrer le travail qui doit être effectué.

1. Minimiser les données personnelles collectées

Le principe imposé par le RGPD est que l’on doit collecter le minimum de données personnelles, celles-ci devant être systématiquement (article 5) :

« adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)»

L’exemple classique est la newsletter ; avant l’entrée en vigueur du RGPD, il était légal de collecter tout type de données, tant que cela n’était pas “excessif”. Au 25 mai 2018, il n’est plus possible de collecter que les données qui sont strictement nécessaires à cette fin. En l’occurence : l’email (indispensable), peut-être le prénom (à condition d’en justifier), et c’est tout.

Et, il est nécessaire de mener cette analyse pour toutes les données collectées (paye, données RH, …).

2. Mettre en place vos mentions légales RGPD

Dans les obligations importantes qui existaient depuis la règlementation ancienne est la transparence vis-à-vis de l’utilisateur. Celle-ci se traduit par l’affichage de mentions légales lors de la collecte des données – de sorte que l’utilisateur sache qui est le responsable du traitement et ce que l’on va faire de ses données.

Dans les éléments à indiquer à l’utilisateur se trouvent notamment (art. 13) :

  • l’identité et les coordonnées du responsable du traitement ;
  • le cas échéant, du représentant du responsable du traitement – le cas échéant, les coordonnées du délégué à la protection des données ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ;
  • la base juridique du traitement ;
  • les destinataires – ou les catégories de destinataires des données à caractère personnel ;
  • la durée de conservation des données à caractère personnel ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle
  • etc.

L’idée derrière ces mentions légales est de s’assurer que l’utilisateur ait vraiment consenti au traitement de ses données, voici une petite histoire qui illustre le problème :

3. Avoir une base légale (consentement, contrat…)

On discute beaucoup de la nécessité d’obtenir le consentement des personnes, mais la réalité juridique est que le consentement n’est qu’une seul des 6 bases légales prévues par le règlement ; on mentionnera les trois premières ici, tirées de l’article 6 pour l’exemple :

Article 6

1.Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a)la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;

b)le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci ;

c)  le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis(…)

Le consentement n’est donc pas nécessaire dans toutes les situations pour procéder au traitement de données personnelles (l’exemple type est que les impôts auraient du mal à collecter des données autrement…). On est par exemple naturellement en droit de traiter de ces données dans les cas ou la loi ou le règlement l’imposent, tels qu’en matière de droit du travail (collecte d’éléments d’information par l’employeur permettant le calcul de la retraite), de médecine du travail, de facturation (obligation de conserver des factures pendant un certain délai de prescription), etc.

Mais, en tout état de cause, il faut une base légale, et celle-ci doit être tracée et vérifiée pour chaque traitement.

4. Éviter de traiter des données sensibles (art. 9)

Autre obligation importante tient au fait de ne pas traiter des données sensibles hors les cas spécifiques prévus par la loi. La première question est déjà de déterminer si vous opérez un traitement de données sensible au sens RGPD. En effet il est important de ne pas confondre « données sensibles » pour l’entreprise et « données sensibles » au sens RGDP, ces dernières étant les données à caractère personnel qui révèlent :

  • l’origine raciale ou ethnique ;
  • les opinions politiques ;
  • les convictions religieuses ou philosophiques ;
  • l’appartenance syndicale ;
  • le traitement des données génétiques ;
  • des données biométriques aux fins d’identifier une personne physique de manière unique ;
  • des données concernant la santé ;
  • des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

Par principe, la collecte, le traitement, ou la conservation de ces données est interdit, sauf exception mentionnée à l’article 9 du règlement. Voici quelques exemples d’exceptions :

  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée (ex : souvent le cas lorsqu’il est nécessaire de procéder à une greffe d’organe)
  • lorsque le traitement est nécessaire par exemple en matière de droit du travail, de la sécurité sociale et de la protection sociale (l’exemple classique est la médecine du travail)

Le traitement de ces données va augmenter substantiellement les risques – autant que les mesures de protection à mettre en place, leur incidence en termes de complexité et de risques est donc tout à fait significative.

Un DPO n’est pas nécessaire dans la majorité des cas

Contrairement à une idée fausse – il n’est pas nécessaire de nommer un DPO. En réalité le règlement ne prévoit que la nomination dans trois cas particuliers :

a) le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle; b) les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou c) les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10.

Autrement dit vous devez nommer un DPO si :

  • vous êtes un organisme public ;
  • vous mettez en place des moyens de suivi régulier à grande échelle ;
  • vous traitez des données sensibles à grande échelle

Par contre il est essentiel d’avoir un pilote fonctionnel qui sera en mesure de mener à bien un projet de mise en conformité de l’organisation, sans quoi les actions de conformité ne seront jamais vraiment menées – ce qui est un risque réel.

Comment se mettre en conformité et limiter ses risques en pratique ?

Le RGPD n’est pas extrêmement complexe à gérer en termes de processus, toutefois il est nécessaire de suivre une formation de deux jours sur la conformité RGPD afin de comprendre les notions essentielles et savoir les mettre en oeuvre. Ensuite il est nécessaire de s’équiper d’un logiciel de gestion de la conformité RGPD afin de créer son registre des traitements et maintenir sa conformité dans le temps.

Thiébaut Devergranne
Thiébaut Devergranne
Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

Ils nous ont fait confiance

logo Deloitte
logo starbucks
logo orange bank
logo vinci
logo nokia
logo sanofi
logo sncf
Automatisez votre conformité RGPD
Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
VOS CGV (gratuites)