Le règlement européen sur la protection des données personnelles

Le règlement européen sur la protection des données personnelles est entré en vigueur le 25 mai 2018 : ce qui change.

Le sigle RGPD signifie « Règlement général pour la protection des données personnelles ». En anglais, le sigle est GDPR pour « General Data Protection Regulation. Il désigne le nouveau texte de référence européen en matière de protection des données personnelles.

Adopté en 2016 par le Parlement européen, le RGPD a pour objectif d’accroître la protection des données personnelles des citoyens, de simplifier les démarches pour les entreprises, et d’harmoniser les règles de protection au niveau européen. Il est applicable depuis le 25 mai 2018. Il contraint les entreprises et les organisations à revoir très sérieusement la collecte, l’exploitation et la destruction de ces données.

Toutes les entreprises, organismes publics et associations des 28 États membres de l'Union européenne qui collectent des données à caractère personnel sur les résidents européens sont concernés. Les organisations issues de pays en dehors de l'UE sont aussi concernées si elles collectent et traitent des données personnelles de résidents européens.

C’est ainsi que la nouvelle réglementation doit rendre au citoyen le contrôle sur ses données personnelles : consentement clair et explicite sur l’utilisation de leurs données, droit d’accès et de modification, droit à l’oubli, droit d’être informé en cas de piratage ou de fuite des données, droit à naviguer sur internet sans laisser de trace, droit de transférer ses données d’un fournisseur à l’autre, etc.

Par données à caractère personnel, le RGPD désigne toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres : nom, numéro d’immatriculation, numéro de téléphone, photographie, date de naissance, commune de résidence, empreinte digitale.

Toutes les entreprises sont concernées, et donc celles qui relèvent de l’Économie sociale et solidaire, chaque fois qu’elle collecte, enregistre, organise, structure, conserve, adapte ou modifie, extrait, consulte, utilise, communique, diffuse des données personnelles, doivent se mettre en conformité avec le RGPD.

Sont ainsi concernés les activités de ces entreprises en lien avec les fichiers de comptabilité générale, de gestion du personnel, de l’informatique, de la téléphonie et de gestion des clients/prospects et de la vente en ligne, des fournisseurs et des sous-traitants. Les équipements informatiques sont aussi concernés parce qu’ils sont des objets connectés susceptibles de traiter à tout moment des données personnelles.

La conséquence directe est une responsabilisation augmentée des entreprises dans la gestion des données personnelles qui place la sécurité au cœur de tout traitement de données qui se traduit par :

Le passage d’une logique de formalités préalables auprès de la Commission nationale de l’informatique et des libertés (CNIL) à une logique de conformité interne des entreprises à la nouvelle réglementation. Les entreprises devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles et ceci dès le stade de la conception des traitements, des produits ou des services (« privacy by design »). C’est ainsi qu’elles devront réaliser pour chaque conception de produits ou services nécessitant la collecte de données personnelles des études d'impact sur la vie privée.

Sans que la liste qui suit ne soit limitative, voici les principales obligations qui pèsent sur les entreprise:

• Veiller à limiter la quantité de données traitées, qui devra être adaptée à la finalité des traitements mis en œuvre (principe dit de «minimisation»), et elles devront aussi être en mesure de démontrer leur conformité à tout moment ; 
• Assurer la tenue d’un registre des traitements conforme à la réglementation ;
• Nommer un délégué à la protection des données, chargé de mettre en œuvre la conformité au RGPD au sein de l’entreprise si les activités principales de ces entreprises les conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle ou si leurs activités principales les conduisent à traiter (toujours à grande échelle) des données sensibles ;
• Être en charge d’une obligation de sécurité et de notification des violations de données personnelles (notamment à l’occasion d’une faille de sécurité). Toute notification pour toute violation des données personnelles doit être effectuée dans les 72 heures ;

Les sanctions financières en cas de non-respect du RGPD peuvent atteindre 4 % du chiffre d’affaires mondial – plafonnées à 20 millions d’euros – auxquelles s’ajoutent des obligations de communiquer publiquement en cas de perte de données.

Attention, il est à noter que le désarchivage et la destruction des données détenues sur papierentrent dans les traitements à risques. Ils doivent à ce titre faire l’objet d’une gestion sécurisée et de procédures spécifiques : identifier et informer ses salariés et agents sur la gestion des données sensibles, sécuriser les mouvements de documents, détruire sans reexploitation possible, attestation de destruction à produire aux personnes exerçant leurs droits de modification et/ou d’oubli…

De la même façon, l’effacement de données des ordinateurs reconditionnés et redistribués, pour être en conformité avec le RGPD, doivent être effectuées, de telles manières que les données confidentielles du précédent propriétaire ne puissent pas être accessibles ou utilisées par des tiers. En effet, en vertu de l’article 17 du RGPD sur le droit à l’effacement, les entreprises devront être en mesure de localiser les données d’un utilisateur et de les supprimer de manière définitive et sécurisée. 

Effacer complètement les lecteurs d'ordinateur ou même formater le disque dur ne garantit pas la destruction de ces données. Heureusement, il existe des logiciels qui assurent un effacement sécurisé de données avec fourniture de certificats garantissant de la bonne exécution de l’effacement.

Pour aller plus loin

Sur le site de la CNIL :

• RGPD : se préparer en 6 étapes
• Le RGPD, c’est maintenant : les changements à retenir et les outils pour bien se préparer
• Un guide pratique de sensibilisation au RGPD pour les TPE-PME
• Le guide de la CNIL 2018 : La sécurisation des données personnelles
• Authentification par mot de passe : les mesures de sécurité élémentaires
• Comprendre les grands principes de la cryptologie et du chiffrement
• Recommandation concernant les modalités d’archivage électronique
• Les guides de la CNIL sur les analyse d’impact relative à la protection des données 

sur le site de l’ANSSI

• Étude sur les logiciels dédies à la suppression de données
• Guide des bonnes pratiques de l’informatique
• Guide d’hygiène informatique