RGPD et sanctions : ne passez pas à côté de votre mise en conformité !

RGPD et sanctions : deux termes qui font frémir les entreprises depuis le 25 mai 2018, date d’entrée en vigueur du règlement général sur la protection des données. De portée européenne, il vise à encadrer la sécurité des données personnelles, leur confidentialité et leur traçabilité dans un environnement de plus en plus numérique. Les entrepreneurs voient leurs obligations s’accroître, inscrites très concrètement dans une loi, sous peine de sanctions administratives et pénales. Mais quelles sont-elles exactement ? Et surtout, comment les éviter ? Décryptage et solutions à suivre...

Vous connaissiez déjà la loi française relative à l’informatique, aux fichiers et aux libertés, connue sous le nom de « loi Informatique et Libertés » (loi n° 78-17 du 6 janvier 1978), réglementant la liberté de collecte, de traitement et d’utilisation des données personnelles, et définissant des obligations en termes de droit d’accès, de droit de portabilité et de droit à l’oubli.

Le RGPD est en quelque sorte une prolongation de cette loi, mise à l’échelle européenne :

La loi Informatique et Libertés a d’ailleurs été mise à jour le 1^er juin 2019 pour transposer les nouvelles régulations européennes au droit français. Cette nouvelle version est en vigueur depuis le 16 juillet 2019.

• renforcer les droits des consommateurs et des utilisateurs,
• responsabiliser les entreprises (responsables de traitements) et les sous-traitants manipulant les données personnelles (fichiers prospects, clients, employés, etc.), 
• harmoniser les régulations nationales au sein de l’Europe,
• consolider la coopération entre les différentes autorités de protection des données.

Le Comité européen de protection des données (CEPD, European Data Protection Board, en anglais) a pour mission de garantir l’application cohérente du RGPD à des fins de :

• prévention et détection des infractions pénales,
• enquêtes, poursuites et exécution de sanctions pénales.

Il est composé des chefs des autorités RGPD de chaque État membre, des représentants des autorités de la Norvège, de l’Islande et du Liechtenstein (sans droit de vote), ainsi que des représentants de la Commission européenne. Ils sont présidés pour les 5 premières années par Mme Andréa Jelinek, cheffe de l’autorité autrichienne.

Chaque État Membre a donc son autorité compétente, avec les mêmes missions et pouvoirs pour une application homogène du RGPD en Europe, notamment pour les litiges transfrontaliers. En France, c’est toujours la CNIL, autorité administrative publique et indépendante.

• Renseignement des salariés, des particuliers et des entreprises quant à la protection des données personnelles,
• Mise à disposition de documentation,
• Actions de sensibilisation.

• Accompagnement des parlementaires,
• Émission d’avis et de recommandations sur des projets de loi ou de décrets.

• Réalisation de contrôles sur place, sur pièces, sur audition ou en ligne, 
• Selon un programme préétabli, mais aussi sur signalement ou réclamation,
• Veille particulière sur les établissements déjà mis en demeure et les systèmes de vidéosurveillance/vidéoprotection.

En cas de manquement constaté lors du contrôle d’une entreprise, la CNIL peut, via sa formation restreinte dédiée aux sanctions :

• dénoncer l’infraction au Procureur de la République,
• imposer une sanction financière administrative,
• décider de rendre publiques les sanctions prononcées. 

La CNIL a constitué un comité composé d’experts du public et du privé chargé d’anticiper les nouvelles tendances technologiques et leur impact potentiel sur les libertés (enjeux émergents).

Toutes les entreprises :

• privées ou publiques,
• collectant ou traitant des données personnelles,
• quels que soient leur secteur d’activité et leur taille, 
• situées en Union européenne ou dont l’activité concerne des résidents européens.

Elles doivent protéger « les personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence ».

L’entreprise, en tant que responsable de traitements des données, doit pouvoir fournir toutes les preuves du respect de la protection des données, telles que le registre de traitement, l’analyse d’impact (en cas de gestion de données très sensibles, parfois à la demande des autorités de contrôle) et les preuves de consentements.

Prévu à l’article 30 du RGPD, ce document de recensement et d’analyse centralise vos traitements de données dans différents départements : recrutement, gestion de la paie, formation, gestion des badges et des accès, statistiques de ventes, gestion des clients et des prospects, etc.
Y sont mentionnés :

• les parties prenantes dans le traitement des données (responsable de traitement de données, DPO le cas échéant, sous-traitants, co-responsables),
• les outils informatiques et les services qui interagissent à chaque étape de traitement informatique,
• les catégories de données traitées (âges, catégories socioprofessionnelles, emails, etc.),
• les moyens de collecte (GPS, cookies, formulaires, etc.),
• la finalité de la collecte de ces données (fidélisation, prospection, etc.), 
• leur utilisation, par qui ?, leur communication, à qui ?, qui d’autres a accès aux données (hébergeurs, prestataires intermédiaires ?),
• la durée de conservation,
• les moyens de sécurité mis en place pour leur conservation.

☞ Nommer un DPO (délégué à la protection des données, aussi appelé DPO, Data Protection Officer en anglais) est obligatoire pour les organismes publics et pour ceux qui traitent des données, notamment des données sensibles, nécessitant un suivi régulier à grande échelle. Il accompagne l’organisation en pilotant la gouvernance des données personnelles, placées sous la responsabilité de l’entreprise.
Il peut être externe à l’entreprise (comme un avocat) ou interne (cette mission peut être accomplie par le Correspondant Informatique et Libertés déjà en place par exemple).

☞ Vous devez avoir le consentement des personnes dont vous recueillez les données. Idéalement, tenez aussi un registre des consentements documentant les conditions de recueil et les preuves.

• Éliminez de vos formulaires de collecte et de vos bases de données toutes les informations inutiles ;
• Définissez des règles automatiques d’effacement ou d’archivage au bout d’une certaine durée dans vos applications et logiciels ;
• Vérifiez que les droits d’accès aux données sont limités à certaines personnes, référencées dans le registre.

Vous pouvez vous aider en répondant à ces questions :

• Les données sont-elles nécessaires à votre activité ? 
• Sont-elles sensibles (origine raciale ou ethnique, opinions politiques, convictions religieuses, appartenance syndicale, données génétiques, biométriques, sanitaires, sexuelles) ?
• La gestion des droits d’accès est-elle conforme ?
• Avez-vous des données anciennes qui ne devraient plus être en votre possession ?
  → Données personnelles de personnes inactives depuis 3 ans ou plus (anciens salariés, anciens clients),
  → Consentement des visiteurs de votre site web pour le traitement des cookies non renouvelé depuis 13 mois ou plus, etc.

Les personnes concernées sont :

• informées de qui collecte leurs données, qui y a accès, à qui elles sont communiquées, pour quelles raisons et pour combien de temps elles sont conservées,
• libres de s’y opposer, facilement, grâce à des modalités clairement énoncées (via un espace personnel, par email, etc.),
• satisfaites dans leurs demandes de modification ou de suppression au bout d’un mois maximum.

L’entreprise est tenue de garantir l’intégrité de votre patrimoine de données en réduisant les risques de pertes et de piratage. Pour cela, vous devez :

• vous assurer que l’accès à vos locaux est sécurisé,
• veiller à ce que les comptes d’utilisateurs externes et internes soient protégés d’une complexité suffisante,
• mettre à jour vos logiciels et antivirus,
• changer souvent de mots de passe,
• chiffrer les données sensibles,
• mettre en place une procédure de sauvegarde et de récupération des données.

Plusieurs suites peuvent être données suivant le résultat du contrôle de la CNIL.
Si le contrôle : 

• est satisfaisant, le président de la CNIL envoie un courrier à l’entreprise pour clôturer le dossier ;
• relève des manquements légers (exemple : durée de conservation des données un peu dépassée), le président de la CNIL envoie un courrier à l’entreprise pour clôturer le dossier avec des recommandations ;
• relève des violations plus importantes, le président de la CNIL peut mettre en demeure l’organisme de se mettre en conformité dans un délai imparti, et/ou transmettre le dossier à la formation restreinte de la CNIL qui prononce les sanctions prévues aux articles du RGPD ;
• constate l’absence de réponse ou de mesures correctives suite à une mise en demeure, la formation restreinte de la CNIL chargée des sanctions peut se saisir du dossier, rendre publiques ses décisions, et prévenir le Parquet dans les cas les plus graves.

La formation restreinte de la CNIL peut décider de sanctions administratives, dans l’ordre croissant :

• le rappel à l’ordre,
• l’injonction de mise en conformité, éventuellement avec pénalités de retard en fonction d’un délai (sous astreinte),
• la limitation temporaire ou définitive du traitement de données,
• la suspension des flux de données,
• l’ordre de satisfaire aux demandes des ayants droit, avec pénalités de retard en fonction du délai,
• une amende administrative.

En fonction de la durée, de la gravité et de la nature de l’infraction, l’amende administrative peut représenter :

• jusqu’à 2 % du chiffre d’affaires annuel mondial de l’entreprise en N-1 ou 10 millions d’euros* (pour l’absence de tenue d’un registre des traitements par exemple),
• jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise en N-1 ou 20 millions d’euros* (pour défaut de consentement des personnes concernées, refus de coopération avec la CNIL, etc.).

* Entre le calcul du pourcentage et la somme, c’est le montant le plus élevé qui est retenu.

À compter de la date de notification de la décision de la CNIL, l’entreprise dispose d’un délai de deux mois pour déposer un recours devant le Conseil d’État.

Les États Membres peuvent décider d’appliquer une sanction pénale en plus de la sanction administrative, pour punir les violations non prises en compte dans l’article 83 du RGPD.

Le non-respect du bon traitement des données personnelles, même par négligence, est passible de sanctions pénales de 5 ans d’emprisonnement et de 300 000 € d’amende (articles 226 16 à 226 24 du Code Pénal).

Les personnes dont les droits ont été violés peuvent aussi porter plainte et demander réparation, via des dommages et intérêts. Cette sanction, en cas de recours en justice, s’ajoute aux sanctions administratives et pénales, le cas échéant.

Nous en avons parlé plus haut, voici un petit éclairage...

Ils traitent des transferts de données à caractère personnel vers des pays tiers ou à des organisations internationales.

Un responsable de données n’a pas besoin de demander l’autorisation à la CNIL et ne peut pas être sanctionné en cas de transfert de données personnelles vers un pays tiers ou une organisation internationale, si les conditions de sécurité qui y sont appliquées sont satisfaisantes en regard du RGPD.
La CNIL publie d’ailleurs dans le Journal officiel de l’Union Européenne et sur son site une liste de ces pays tiers et organisations internationales validés ou blacklistés.

Si le destinataire n’est pas vérifié, le responsable du traitement ou le sous-traitant ne peut pas transférer des données à caractère personnel vers un pays tiers ou à une organisation internationale, sauf s’il a prévu des garanties contractuelles et que les individus concernés disposent de « droits opposables et de voies de droit effectives ».

Cet article vise les conditions générales pour imposer des amendes administratives.

Pour décider de l’application d’une amende administrative et en déterminer le montant, plusieurs critères rentrent en compte :

• la nature, la gravité et la durée de la violation,
• le caractère délibéré ou la négligence,
• les mesures correctives mises en place,
• le degré de responsabilité,
• les violations antérieures,
• le degré de coopération avec l’autorité de contrôle,
• le type de données concernées,
• la manière dont l’autorité compétente a appris la violation,
• les circonstances aggravantes (avantages financiers obtenus ou les pertes évitées, directement ou indirectement).

Si le responsable de traitement, ou le sous-traitant, viole plusieurs règles du RGPD, « le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave ».

Parmi les affaires les plus notables, on peut citer : 

• Bouygues Telecom : 250 000 euros pour insuffisance de protection des données des clients B&You, les contrats et factures de clients étant accessibles par simple modification d’une adresse URL sur le site web (plus de 2 millions de clients impactés pendant 2 ans) ;
• Facebook et sa filiale WhatsApp sont sous la menace d’une plainte de l’Internet Society (ISOC) : malgré une condamnation par la CNIL en 2017 (150 000 euros), l’entreprise continue de collecter des informations sensibles ;
• Google : 50 000 000 euros pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité, suite à des plaintes collectives des associations None Of Your Business et La Quadrature du Net.

Sur le plan juridique, un éditeur de logiciels est un sous-traitant pour le RGPD. Il traite des données personnelles pour le compte d’un client qui est, lui, désigné sous le terme de responsable du traitement.

L’éditeur propose parfois des fonctionnalités supplémentaires, via des applications tierces, pour lesquelles il convient de vérifier le respect du règlement européen. Par exemple, les technologies OCR (reconnaissance optique de caractères) proviennent parfois de solutions américaines ou russes, non soumises au RGPD. Les éditeurs français les intégrant dans leurs solutions doivent proposer un avenant de mise en conformité RGPD.

⚠️ Les éditeurs hors zone RGPD, notamment américains, proposent parfois des « Data Processing Addendum », avenants de mise en conformité GDPR, qui ne garantissent au final aucune conformité.

Dès la conception d’un site internet, ou d’un CRM, le principe de privacy by design doit désormais être appliqué, pour répondre au besoin de protection de la vie privée à partir de la création de l’outil.

Une direction des systèmes d’information (DSI) irréprochable, un DPO désigné, des avocats consultés, toutes ces parties prenantes peuvent s’avérer incontournables de par leurs expertises en droit et en informatique.
Mais pour assurer une mise en conformité complète, sans oubli et en toute simplicité, le support d’une plateforme logicielle peut vraiment faire la différence, et vous épargner du temps et des cheveux blancs.

Une solution RGPD peut par exemple permettre :

• la tenue d’un registre obligatoire, véritable cartographie du traitement des données personnelles des utilisateurs, 
• la gestion des audits de conformité menés régulièrement par le DPO,
• la conservation des preuves de consentement des utilisateurs ou clients,
• la catégorisation des données, comme les données sensibles et leur finalité, 
• la mise en œuvre d’une gestion des risques pour écarter toute fuite de données,
• la vérification des procédures et des technologies de chiffrement garantissant la sécurité des données,
• la mise à disposition d’outils et de modèles d’information pour les consommateurs,
• le recensement de tout transfert de données dans les pays situés en dehors de l’Union européenne,
• la vérification de la conformité et de la mise à jour des contrats avec les sous-traitants dans et hors de la zone RGPD,
• la veille des actualités sur le règlement européen,
• la gestion et la visualisation des résultats des analyses d’impact relatives à la protection des données, les AIPD, aussi appelées Data Protection Impact Assessment ou DPIA.
  La CNIL a développé un logiciel open source, PIA (pour Privacy Impact Assessment) pour guider les entreprises dans cette tâche particulière.

Nous avons sélectionné pour vous plusieurs solutions qui vous aideront dans la gouvernance de vos données.

Solution à destination du DPO, Captain DPO est collaborative et permet une gestion de projet agile et fluide.

Le Data Protection Officer, interne ou externe à une structure, pilote la conformité de son organisation ou de celle de ses clients, contrôle la protection des données et documente les mesures mises en place en cas de contrôle.
L’ensemble des parties prenantes (responsable de traitement, responsable de la sécurité des systèmes d’information, etc.) est sollicité pour garantir une mise en conformité intégrale et efficace. Les sous-traitants ont aussi accès à la plateforme pour recueillir les instructions de votre entreprise et transmettre leurs propres rapports de traitement.

Parmi les fonctionnalités proposées :

• tableau de bord interactif,
• tenue de plusieurs registres de traitement,
• cartographie des applications, 
• cartographie des risques,
• gestion des demandes de rectification,
• intégration du logiciel de la CNIL pour les analyses d’impact,
• auto-diagnostic RGPD,
• espace documentaire et versioning,
• indicateurs de suivi de performance,
• annuaire d’entreprise, etc.

Particulièrement adaptée aux PME et ETI, la volonté de Data Legal Drive est de proposer un logiciel sécurisé, intuitif et collaboratif, que vous ayez un DPO en interne, en externe, ou pas du tout.

La solution a été développée grâce à la grande expertise juridique en technologies de l’information de partenaires éditeurs et avocats. Elle a été désignée meilleure Legal Tech aux Trophées du Droit ainsi qu’aux Victoires de l’innovation juridique en 2019.

Elle aide les entreprises à accélérer leur mise en conformité d’un point de vue juridique, mais aussi organisationnel et technique. Vous centralisez vos procédures tout en ayant accès à une documentation pointue. To-do lists, alertes et états d’avancement vous offrent une ligne de conduite concrète pour remplir tous les critères légaux.

Parmi les fonctionnalités proposées :

• cartographie des traitements et des risques, 
• constitution des registres, 
• diagnostic de mise en conformité grâce à des questionnaires interactifs,
• gestion et suivi des contrats, avenants et autres documents de conformité RGPD,
• gestion des demandes des personnes concernées,
• gestion des violations des données personnelles, identifiées en interne ou déclarées par vos sous-traitants, 
• suivi de formations de sensibilisation aux questions RGPD,
• base documentaire avec modèles de clauses et de contrats, mentions légales,
• veille juridique,
• chat d’accompagnement juridique et technique avec un juriste, etc.

Compliance Booster est une solution paramétrable et évolutive, qui privilégie l’automatisation pour faciliter les tâches des DPO et des responsables de traitement.

Elle permet au DPO de mener les audits RGPD comme les analyses d’impact et de sensibiliser tous les collaborateurs et les sous-traitants via des formations, notamment sur la prévention des risques internes et externes.

Quel que soit le niveau d’avancement de votre mise en conformité, l’outil vous accompagne pendant le processus et dans le maintien des bonnes pratiques par la suite.
Pensé par des responsables de la protection des données, il est préconfiguré pour 55 000 métiers, 700 secteurs et est extensible aux 10 principales réglementations mondiales quant aux protections des données.

Parmi les fonctionnalités proposées :

• importation des travaux de conformité existants, 
• interopérabilité avec vos logiciels métiers, 
• tenue d’un registre des traitements et données,
• automatisation des tâches récurrentes,
• cartographie semi-automatique des traitements,
• audits intelligents et études d’impacts,
• analyse d’écarts de conformité avec priorisation automatique modifiable,
• documentation spécialisée exportable,
• service juridique intégré,
• couverture du risque financier en cas d’erreur imputable à la plateforme, etc.

La mise en conformité RGPD de votre entreprise n’est pas à prendre à la légère. Elle est non seulement obligatoire, mais toute négligence peut engendrer des sanctions importantes, qui toucheront à votre porte-monnaie mais aussi à l’image de marque de votre entreprise.

Personne n’est à l’abri, l’association ADEF, gérant la mise à disposition de logements pour étudiants, familles monoparentales et migrants, a été punie de 75 000 euros d’amende deux mois après la mise en place du règlement.

Quels que soient la taille de votre structure et ses moyens, entourez-vous d’experts en la matière. Une solution de mise en conformité RGPD vous accompagnera dans l’installation et le suivi des réglementations. À vous la tranquillité d’esprit !