RGPD 2018 : l’essentiel à connaître pour préparer son entreprise

Tous nos articles sur le RGPD :

• Le point de vue de 3 experts (Google, Crayon, Infoclip)
• Qui est concerné par la nouvelle réglementation ?
• Le dossier à lire absolument pour se mettre en conformité est ici.
• Consulter l'avis d'un spécialiste :
  • L’audit RGPD vu par Alexis Quentrec, spécialiste RGPD, Nuageo
  • Une aubaine pour les responsables marketing selon Olivier Martineau, CEO, Spread
  • Un exemple de registre des traitements par Alain Garnier, CEO, Captain DPO
  • Les obligations du sous-traitant selon Fabrice Perbost, Avocat Associé, cabinet Harlay
  • L’anonymisation des données selon Jérôme Chagnoux, GDPR Champion chez Oracle
• Les avantages du RGPD selon Julie Paci, Marketing Manager, Mailjet

Qu’est-ce que le RGPD 2018 ? C’est le Règlement Général sur la Protection des Données personnelles qui entre en vigueur le 25 mai 2018 au sein de l’Union européenne. La CNIL le précise : les droits des personnes sont renforcés et les entreprises doivent remplir de nombreuses obligations concernant la protection des données et leur traitement pour se mettre en conformité au GDPR (General Data Protection Regulation).

appvizer vous donne toutes les clés pour comprendre cette nouvelle loi, l’importance de la sécurité informatique, et partage avec vous des outils de mise en conformité :

Commençons par aborder les notions les plus simples pour comprendre le RGPD et son principe général.

L’acronyme RGPD signifie Règlement Général sur la Projection des Données. On utilise aussi l’acronyme anglais GDPR qui signifie General Data Protection Regulation.

Le RGPD est un règlement européen défini par le parlement européen et le conseil de l’Union européenne. Ce règlement réforme les règles de traitements des données à caractère personnel.

Cette nouvelle loi est applicable le 25 mai 2018 pour toute entreprise traitant les données personnelles d’une personne européenne, que cette organisation exerce ou non au sein de l’Union européenne.

En synthèse, le RGPD :

• dispose que le consentement d’une personne est inconditionnel pour récolter et traiter ses données,
• détermine des actions obligatoires pour la mise en conformité de l’entreprise,
• sanctionne lourdement toute entreprise contrevenante en donnant des recours au citoyen.

Ce règlement précise et renforce les droits de chaque européen :

• la portabilité de ses données : un citoyen de l’Union européenne doit pouvoir reprendre ses données à un service pour les communiquer à un autre ;


• la transparence sur l’utilisation de ses données : le citoyen doit être informé sur l’utilisation qui est faite de ses données. Il doit pouvoir accéder à ses données et les modifier à sa guise ;


• les mineurs de moins de 16 ans sont protégés : sur internet, toute plateforme doit obtenir le consentement d’un parent avant que son enfant ne puisse s’inscrire ;


• une autorité de protection : si le citoyen rencontre une difficulté ou constate une anomalie dans le traitement de ses données, il peut contacter à une autorité unique dans son pays pour défendre ses droits ;


• les entreprises hors la loi sanctionnées : toute entreprise qui ne respecte pas les droits du citoyen s’expose à une amende de 4 % du CA mondial de son entreprise ;


• le droit à l’oubli : selon le principe du respect de la vie privée, le citoyen peut exiger le retrait pur et simple d’une page web dans les résultats d’un moteur de recherche (désindexation de la page).

Qu’elles soient récoltées et utilisées via une plateforme sécurisée en ligne, sur internet ou ailleurs, toutes les données à caractère personnel doivent bénéficier de garanties de protection établies par le règlement européen :

Source : directive 2016/680 du parlement européen et du conseil sur le RGPD parue au Journal officiel de l’Union européenne le 27 avril 2016.

Exemples de données à caractère personnel à protéger selon le RGPD :

• sexe,
• âge,
• numéro de téléphone,
• adresse email,
• salaire ou rémunération,
• photographie du visage,
• adresse postale,
• état civil,
• identifiant et mot de passe,
• numéro de carte bancaire,
• numéro de sécurité sociale,
• le port de lunettes (et le degré de corrections),
• toute caractéristique physique,
• toute caractéristique psychologique,
• etc.

Exemples d’informations sensibles récoltées par exemple pour surveiller ou gérer un lieu ouvert au public :

• opinion politique,
• activité syndicale,
• croyance religieuse (ou agnostique),
• préférences sexuelles,
• informations d’ordre médical,
• analyses biométriques,
• condamnations pénales,
• données concernant un mineur.

Toute collecte d’informations destinée à des fins de profilage de consommateurs doit aussi être protégée et rentrer dans le cadre de transparence imposée par la loi :

• données récoltées sur internet via des cookies,
• analyse du comportement de l’internaute identifié sur site web (données comportementales),
• habitudes de consommation en ligne ou hors ligne,
• pratique de retargeting publicitaire,
• métadonnées concernant un individu,
• etc.

Quelle que soit sa localisation géographique, toute entreprise est concernée par le RGPD à partir du moment où elle traite les données personnelles d’un européen. La loi ne fait pas de distinction entre une société qui exerce en Europe et une entreprise installée en dehors de la zone européenne qui récolte et traite les données d’un citoyen européen ou d’un citoyen étranger résidant en Europe.

Votre organisation est concernée si dans l’exercice de votre activité vous utilisez au moins l’un des mots suivants : prospect, client, collaborateur, collègue, patient, contribuable, citoyen, usager, utilisateur, membre, donateur.

Vous conservez des données dans un logiciel CRM, sur une plateforme en ligne, dans un fichier ?
Vous collectez, traitez et utilisez des données privées de citoyens européens ?

Le Règlement européen 2018 s’applique aux entreprises et organisations suivantes :

• les collectivités territoriales, administrations,
• les entreprises (responsables des ressources humaines, responsables du traitement des données clients),
• les associations (professionnelles, politiques, religieuses, etc.),
• les établissements hospitaliers et professionnels de la médecine,
• les hébergeurs,
• les sociétés de sauvegarde dans le Cloud,
• les services de stockage de données,
• les éditeurs de logiciels ou de systèmes informatiques installés en entreprise,
• TPE, PME, etc.

La loi précise que toutes les entreprises qui agissent à une étape ou à une autre d’un traitement de données sont responsables de sa protection.

L’autorité de contrôle en France est la CNIL. Cet organisme délivre les certifications, effectue les contrôles et sanctionne les entreprises en cas de manquement au règlement.

Voici les principaux acteurs qui doivent rendre des comptes sur simple demande de la CNIL :

• L’entreprise qui exploite des données personnelles : elle est responsable de traitement et doit adopter un code de conduite transparent, déployer des procédures conformes et apporter les preuves documentaires en cas de contrôle ;


• Le DPO ( Data Protection Officer) ou délégué à la protection des données : cet expert est mandaté par l’entreprise pour lui garantir la meilleure protection des données. Sa mission est d’accompagner l’entreprise en toute indépendance pour qu’elle soit conforme au RGPD ;


• Le sous-traitant : sa responsabilité est engagée dès que son activité a un rapport avec un traitement de données ; que son siège social soit en Europe ou ailleurs, il doit lui aussi être conforme.

Pour préparer votre entreprise à la mise en conformité au RGPD, appvizer met à votre disposition un guide détaillé. En voici les principales grandes lignes.

La directive 2016/680 du parlement européen et du conseil sur le RGPD est parue au Journal officiel de l'Union européenne le 27 avril 2016.

À travers ses articles de loi, ce texte officiel du règlement RGPD précise des notions importantes :

• L’Article 4, « Principes relatifs au traitement des données à caractère personnel », insiste notamment sur les aspects licites et loyaux du traitement, sur la pertinence des données récoltées par rapport à la finalité d’utilisation, ainsi que sur une conservation raisonnable des informations dans le temps (12 mois).


• L’Article 28, « Consultation préalable de l'autorité de contrôle », indique que le responsable du traitement des données est tenu de fournir sur demande une analyse d’impact à son autorité de contrôle. Cette autorité évalue les conditions de protection des données.


• L’Article 32, « Désignation du délégué à la protection des données », contraint toute entreprise à se doter d’un délégué à la protection des données (en plus du responsable du traitement) aguerri aux questions techniques et de droits, capable de rendre compte à l’autorité de contrôle dont il dépend.


• L’Article 37, « Transferts moyennant des garanties appropriées », souligne que le transfert de données à caractère personnel vers un pays ne faisant pas partie de l’Union européenne soumet le responsable du traitement à informer l’autorité de contrôle, et à mettre à sa disposition une documentation spécifiant les « garanties appropriées » sur la protection des données.

Ces extraits du règlement européen reflètent une partie des nouvelles obligations de l’entreprise responsable de traitement.

Voici les principales obligations à honorer et à documenter pour être conforme au RGPD :

• Tenir un registre des traitements de données comprenant : les responsables, la nature des données, les finalités, un classement des traitements, la durée de conservation, le flux et transfert des données géographiques pour établir une traçabilité des données ;


• Réaliser une analyse relative à la protection des données (DPIA, Data Protection Impact Assessment) : cette étude complète permet de recenser les risques de perte ou fuite de données, leurs causes, de lister les moyens et solutions techniques nécessaires pour la protection et la sécurité ;


• Mettre en œuvre des procédures internes : sensibiliser ses collaborateurs et instaurer des bonnes pratiques, mettre en place tous les processus obligatoires qui permettent au propriétaire des données d’exercer ses droits (rectification, portabilité, suppression, etc.) ;


• Déployer les technologies garantes de la confidentialité et de la sécurité des données : il est exigé de détailler par écrit toutes les procédures, et fortement recommandé d’intégrer un haut niveau de sécurité et de confidentialité dès la conception d’un traitement et d’une technologie liée, cette approche est appelée Privacy by Design (protection de la vie privée dès la conception) ;


• Encadrer le transfert de données hors Union européenne : vérifier ses contrats avec ses sous-traitants et fournisseurs, s’assurer qu’ils respectent les normes RGPD afin d’écarter tout risque ;


• Conserver les preuves de consentement des consommateurs ou usagers ;


• Détailler les procédures établies en cas de violations de données : vous êtes tenu d’avertir la personne concernée le plus rapidement possible et d’avertir l’autorité de contrôle dans les 72h.

Si les amendes sont élevées, il ne faut pas oublier les dommages et intérêts que chaque citoyen peut faire valoir : outre la perte financière, les répercussions sur l’image de l’entreprise peuvent détruire sa réputation, et mathématiquement réduire son activité suite à la perte de confiance de sa clientèle.

L’amende peut atteindre dans ce cas 10 millions d’euros : si l’autorité de contrôle constate que l’entreprise ne remplit pas ses obligations telles que l’analyse d’impact (DPIA), la tenue d’un registre des traitements, la mise en place de processus de sécurité (y compris pour ses sous-traitants) ou encore n’intègre pas la démarche Privacy by design, l’entreprise en question s’expose à une amende équivalente à 2 % du chiffre d’affaires annuel mondial.

L’amende peut atteindre dans ce cas 20 millions d’euros : si l’autorité de contrôle constate que l’entreprise ne remplit pas ses obligations sur le principe du consentement et ne respecte pas les droits des personnes, l’amende s’élève alors à 4 % du chiffre d’affaires annuel mondial.

Dans un article des Échos (du 18/02/2018), Isabelle Falque-Pierrotin, présidente de la Commission Nationale de l'Informatique et des Libertés, apporte les précisions suivantes sur la stratégie de la CNIL en matière de contrôle :

La CNIL va se montrer conciliante en 2018 avec les entreprises qui font preuve de bonne foi. L’important est d’engager le processus et de se donner les moyens d’honorer les exigences demandées par le règlement. Voici quelques solutions de mise en conformité au RGPD pour réaliser l’objectif en toute quiétude. Détails.

• les finalités des traitements sont alignées sur votre gouvernance des données à caractère personnel,
• des fiches de traitement préremplies selon la finalité pour gagner du temps,
• intégration de la démarche privacy by design dans la solution,
• la traçabilité des données et des demandes d’exercice de droits,
• processus de sécurité détaillés,
• gestion intégrée des événements et des risques.

• l’analyse d’impact (DPIA),
• le registre des traitements,
• l’externalisation de votre DPO (service d'avocats spécialisés),
• la conservation des preuves de consentements,
• la transmission de la preuve de consentement à la CNIL dans les 72h,
• vos documents recensant vos processus de sécurité entièrement informatisés et tracés.

Argument de confiance : Compliance Booster couvre le risque financier jusqu’à 90 millions d’euros en cas d’erreur lui incombant.

• des synthèses DPIA pour déterminer les actions prioritaires à mener,
• une vue synoptique des actions achevées et à venir,
• des procédures simplifiées pour la gestion des accès et exercice des droits concernant les données personnelles,
• les finalités des traitements sont déterminées,
• des procédures de restriction ou de destruction sont prévues en cas de demande.

La notification à la CNIL dans les 72h en cas de violation de données, peut contenir des informations de natures complémentaires comme : nom et contact du DPO, nature de la violation et personnes concernées, conséquences et risques potentiels, déclenchement des procédures adéquates.

Les avantages du RGPD pour une entreprise ou une organisation sont bénéfiques quand on envisage le règlement sous tous les aspects à long terme.
Condensé des bienfaits à venir.

Cette exigence de sécurité qui redonne le pouvoir au consommateur va inspirer la confiance :

• la confiance des consommateurs envers les entreprises responsables qui respectent les droits des personnes concernant leurs données,
• la confiance des entreprises entre elles qui s’appuient désormais sur des normes communes.

La transparence va instaurer un nouveau climat de confiance propice aux affaires.

L’entreprise qui assume ses responsabilités véhicule une image positive et s’attire la fidélité de ses clients. Les comportements d’achats et les avis exprimés sur le web et les réseaux sociaux vont orienter les choix vers les entreprises les plus transparentes et respectueuses.

Ceci va marquer la fin des Business opaques où la gestion des données personnelles n’est prise au sérieux.

Par ailleurs, les barrières commerciales entre les pays de l’Union européenne — ceci comprend également des entreprises hors Union européenne, le sujet du RGPD est très en vogue aux USA — vont tomber du fait de règles de conformité de traitement communes.

Comment faisait-on avant le RGPD ? On multipliait ses coûts de mise en conformité par 28 pays (28 lois différentes). Le RGPD va simplifier l’imbroglio informatique actuel.

La norme commune entraîne la détection et la suppression de processus et applications « doublons ». S’en suit une rationalisation des ressources et des processus opérationnels qui se traduisent par des économies budgétaires.

Toutes les actions de marketing digital vont bénéficier automatiquement de :

• données personnelles à jour, adieu les informations erronées,
• de consentements avérés, ce qui va améliorer le ciblage et l’efficacité des campagnes emails notamment,
• d’une centralisation des traitements des données, finies les différentes versions de fichiers clients