BLOG / Droit des affaires et des sociétés

Quels sont les axes clés de la mise en conformité au RGPD ?

Quels sont les axes principaux pour la mise en conformité au RGDP ? Découvrez les nouvelles règles, les sanctions et les grands principes de la dataprotection à connaître dans le cadre de la mise en oeuvre du règlement générale pour la protection des données en France et en Europe.

Le nouveau contexte : la data driven economy

L’objet du Big Data n’est pas le traitement mais la data elle-même (pragmatisme + expérimentation)

Les modèles économiques fondés sur l’exploitation des data se développent. La publicité a également changé d’époque, elle est personnalisée, contextuelle, comportementale et s’appuie sur des catégories de données.

Les stratégies se complexifient et créent de nouvelles filières (tracking comportemental, adexchange, RTB,...). Il existe dorénavant de vastes marchés publicitaires de la donnée, liés à l’économie cognitive, à la numérisation croissante des individus et au développement des techniques de collecte et de tracking.

La nouvelle règle : conformité permanente et sanctions lourdes

Les textes fondateurs dans la loi française

  • LOI INFORMATIQUE ET LIBERTÉS DU 6 JANVIER 1978 : Système de déclarations/autorisations préalables pour assurer l’information et obtenir le consentement, création de la CNIL

  • DIRECTIVE DU 24 OCTOBRE 1995 : Adoption d’une législation européenne très largement calquée sur la loi française

  • DIRECTIVE DU 12 JUILLET 2002 : Assurer la protection de la vie privée dans l’utilisation des services de communications électroniques

  • LCEN DU 21 JUIN 2004 : Prospection par voie électronique (et notamment obligations d’identification de l’émetteur et de désinscription à la demande du récepteur)

La nouvelle réglementation européenne

  • RGPD DU 24 AVRIL 2016, EN VIGUEUR LE 25 MAI 2018 : Remplace la Directive de 1995, et se substitue largement à la loi de 1978

  • PROJET DE RÈGLEMENT  E-PRIVACY À HORIZON 2018 : Doit actualiser la Directive de 2002 et vise à harmoniser les réglementations sur l’exploitation des données de communications électroniques

Les sanctions du RGPD et du futur règlement e-privacy

Les sanctions prévues par le RGPD pourront représenter lusqu’à 4 % du chiffre d'affaires annuel mondial ou 20 millions €

Quelques exemples de sanctions en France et en Europe

18 juillet 2017 : condamnation de Hertz par la CNIL : 40.000 €
Suite à une violation de données personnelles en raison d’une erreur commise par un prestataire, la CNIL a estimé que la société avait manqué à son obligation de sécurité des données

16 mai 2017 : condamnation de Facebook par la CNIL : 150.000 €
Notamment pour avoir procédé « à la combinaison massive des données personnelles des internautes à des fins de ciblage publicitaire ».

11 septembre 2017 : Condamnation de Facebook par le régulateur espagnol  : 1,2 million €

  • Exploitation de données personnelles des inscrits et non inscrits au réseau social, à des fins de ciblage publicitaire, sans avoir obtenu leur consentement éclairé

  • L’AEPD estime que les conditions d’utilisation du réseau social sont « génériques et manquent de clarté » et qu’un utilisateur de Facebook « avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées ».

  • L’AEPD reproche à Facebook de conserver longuement ces données, même « quand un utilisateur du réseau social a supprimé son compte et demandé que ses données soient supprimées » (17 mois en l’espèce).

Quels sont les 12 grands principes de la dataprotection ?

Le principe de loyauté

Tout traitement de donnée personnelle doit être légal et transparent aux yeux de la personne concernée. Elle doit recevoir une information poussée sur les données collectées, chaque finalités poursuivie, et les droits dont elle dispose sur ses données, et elle doit consentir expressément aux Traitements de ses données.

Le principe de proportionalité

Une donnée personnelle ne peut être traitée, et même collectée, que pour réaliser une finalité précise, expresse, et légale. La donnée doit être pertinente pour la finalité envisagée : toute donnée non pertinente ou superflue sera considérée comme manquant au principe de proportionnalité.

Le principe de minimisation

Seules les données nécessaires pour parvenir à une finalité définie doivent être collectées et traitées. L’élimination des données non pertinentes est une obligation, qui doit se traduire structurellement dans les outils de traitement désormais.

Le principe de réactivité

Les données doivent être exactes, précises et actuelles, donc tenues à jour (d’où les droits d’accès et de rectification des personnes concernées). La réactivité est également exigée du responsable de traitement interrogé par la CNIL et devant justifier de la conformité de ses traitements.

Le principe de sécurité

La confidentialité exigée autour des données personnelles se traduit en dispositifs et procédures de sécurité que tout responsable de traitement doit mettre en place et exiger de ses sous-traitants. Elle devient désormais structurelle (cf. Privacy by Design), et fait l’objet d’une analyse d’impact préalable, et des mesures techniques nécessaires ab initio et pendant toute la durée des traitements.

Une durée de conservation limitée

Les données personnelles ne peuvent pas être conservées indéfiniment. La durée de conservation est corrélée à la finalité, ou fait l’objet de textes spécifiques. Lorsqu’elles ne sont plus utiles, elles doivent être supprimées (outre le cas où la personne concernée demande leur effacement).

Le droit à l’information

Les données personnelles sont une émanation de la personnalité (et pas seulement des valeurs monétisables). Les personnes concernées disposent de droits spécifiques (d’accès, de rectification, d’effacement, de portabilité) qui doivent être opposables aux responsables de traitement à tout moment.

Le principe de territorialité

La protection des données personnelles est optimale en Europe Les données personnelles des européens ne peuvent pas quitter le territoire européen sans précautions complémentaires (consentement des personnes et création d’un « hub » juridique et technique assurant le même niveau de protection hors d’Europe).

Le principe de corresponsabilité

Le responsable du traitement doit s’assurer des conséquences de tout dispositif qu’il implémente sur un site web par exemple (il est responsable de l’installation d’un script Google Analytics et doit donc informer les personnes, bien qu’il ne soit pas Google), et de la conformité de ses fournisseurs (CRM cloud) et sous-traitants (hébergeurs, prestataires, etc.) aux mêmes exigences.

Privacy by design

La démarche de Privacy by Design permet de concevoir des services et des traitements qui, forts de l’analyse d’impact préalable, assurent structurellement le confinement des données les plus risquées, pendant tout le cycle de vie du traitement et du produit. Elle débute dès la conception intellectuelle des traitements et la conception technique des produits (SFD, règles de gestion, département R&D…).

Security by default

La démarche de Security By Default permet de concevoir des traitements  et des organisations qui ne traitent que la donnée personnelle strictement nécessaire et réduit la collecte. Cette démarche soutient les principes de minimalisation et de proportionnalité, et la prolonge sur le plan technique. Les outils doivent discriminer les données selon les traitements et habilitations.

Accountability

Le responsable du traitement doit désormais être en capacité de démontrer à chaque instant qu’à tout moment, la protection des données personnelles au sein de son système d’information et de son entreprise, est optimale et conforme aux exigences légales. Le DPO et son registre jouent ici un rôle crucial dans l’entreprise.

Découvrez Data Legal Drive

Tous les besoins DPO en une seule plateforme

 
Gestion des données : la plateforme Privacy On Track
 

Une mise en œuvre accélérée en 3 phases

 
 
Mise en oeuvre RGPD
 
 


Sylvain Staub
Avocat associé du Cabinet STAUB et Associés
Président de « Data Legal Drive »

Actualité sociale 2018

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze