Message d'erreur
Warning: Use of undefined constant NODE_PUBLISHED - assumed 'NODE_PUBLISHED' (this will throw an Error in a future version of PHP) in Drupal\lob_sys\Controller\LobSysController::_lob_sys_blog() (line 928 of modules/custom/lob_sys/src/Controller/LobSysController.php).Drupal\lob_sys\Controller\LobSysController::_lob_sys_blog('11985', '1480') (Line: 108)
lob_preprocess_node(Array, 'node', Array) (Line: 287)
Drupal\Core\Theme\ThemeManager->render('node', Array) (Line: 422)
Drupal\Core\Render\Renderer->doRender(Array, ) (Line: 201)
Drupal\Core\Render\Renderer->render(Array, ) (Line: 241)
Drupal\Core\Render\MainContent\HtmlRenderer->Drupal\Core\Render\MainContent\{closure}() (Line: 564)
Drupal\Core\Render\Renderer->executeInRenderContext(Object, Object) (Line: 242)
Drupal\Core\Render\MainContent\HtmlRenderer->prepare(Array, Object, Object) (Line: 132)
Drupal\Core\Render\MainContent\HtmlRenderer->renderResponse(Array, Object, Object) (Line: 90)
Drupal\Core\EventSubscriber\MainContentViewSubscriber->onViewRenderArray(Object, 'kernel.view', Object)
call_user_func(Array, Object, 'kernel.view', Object) (Line: 142)
Drupal\Component\EventDispatcher\ContainerAwareEventDispatcher->dispatch(Object, 'kernel.view') (Line: 163)
Symfony\Component\HttpKernel\HttpKernel->handleRaw(Object, 1) (Line: 80)
Symfony\Component\HttpKernel\HttpKernel->handle(Object, 1, 1) (Line: 58)
Drupal\Core\StackMiddleware\Session->handle(Object, 1, 1) (Line: 48)
Drupal\Core\StackMiddleware\KernelPreHandle->handle(Object, 1, 1) (Line: 191)
Drupal\page_cache\StackMiddleware\PageCache->fetch(Object, 1, 1) (Line: 128)
Drupal\page_cache\StackMiddleware\PageCache->lookup(Object, 1, 1) (Line: 82)
Drupal\page_cache\StackMiddleware\PageCache->handle(Object, 1, 1) (Line: 48)
Drupal\Core\StackMiddleware\ReverseProxyMiddleware->handle(Object, 1, 1) (Line: 51)
Drupal\Core\StackMiddleware\NegotiationMiddleware->handle(Object, 1, 1) (Line: 23)
Stack\StackedHttpKernel->handle(Object, 1, 1) (Line: 708)
Drupal\Core\DrupalKernel->handle(Object) (Line: 19)
La conformité au RGPD est-elle une opportunité ?
Le règlement européen sur la protection des données personnelles (RGPD) : que faut-il savoir ?
Les notions essentielles à retenir
Qu’est-ce que le RGPD ?
Entré en vigueur le 25 mai 2018, le Règlement général sur la protection des données (RGPD) a pour objectif de conférer aux individus un meilleur contrôle de leurs données personnelles détenues par des tiers. Le RGPD s'applique automatiquement à tous les États membres de l’Union européenne et à toute organisation internationale qui traite avec des résidents européens.
Qu’est-ce qu’une donnée personnelle ?
L'UE a sensiblement élargi la définition de donnée à caractère personnel et de personne concernée dans le cadre du RGPD. Afin de refléter les types de données que les organisations recueillent désormais sur les personnes, une donnée à caractère personnel représente toute donnée permettant d’identifier une personne physique de manière directe ou indirecte. Ainsi, un nom apparaissant dans un fichier, une adresse IP, un numéro de téléphone ou encore une photographie sont désormais considérés comme des données personnelles. D'autres données, telles que les renseignements économiques, culturels ou biométriques, sont également des renseignements personnels identifiables.
Qui est concerné par le RGPD ?
Le RGPD est l’affaire de toute entreprise qui recueille ou traite des informations personnelles sur des citoyens des États membres de l'Union européenne, et ce même si elle ne dispose pas de succursale commerciale dans l'UE.
D’autre part, les collectivités territoriales, elles aussi, doivent veiller à la bonne application du RGPD. Dues à la dématérialisation de leurs services, les collectivités sont de plus en plus amenées à collecter des données personnelles dites « sensibles » (origine ethnique, opinions politiques, données médicales, etc.). Afin de veiller à la transparence des traitements et au respect des droits des personnes, des obligations et une vigilance accrue de l’ensemble des acteurs se doivent d’être appliquées.
Les objectifs/enjeux de la réforme
L'un des objectifs du RGPD est de protéger les droits et libertés fondamentaux des personnes physiques. Ainsi, il vise à renforcer la protection de la vie privée des personnes physiques et détendre les droits des résidents de l’Union européenne en matière de données. Ainsi, cela permet aux résidents de l’UE une meilleure compréhension de l’utilisation de leurs données personnelles et renforce les exigences de base et les responsabilités en matière de protection des données personnelles de tous les acteurs.
Fournir une application normalisée des règles de protection des données dans l'Espace économique européen (EEE)
Le RGPD aspire également à moderniser les règles établies dans la directive sur la protection des données de 1995 et à les rendre conformes à la société numérique moderne. Un autre objectif du RGPD est donc de simplifier l'environnement réglementaire du commerce international en unifiant et en harmonisant les réglementations relatives à la protection des données au sein de l'Union européenne. Cela permet de faciliter l’économie de la data dans l’Espace Economique Européen et de ne pas entraver la libre circulation des données à caractère personnel dans l’UE.
Renforcement du contrôle et application des sanctions
Le RGPD donne également aux autorités réglementaires des pouvoirs accrus afin de prendre des mesures à l'encontre des organisations qui enfreignent les nouvelles réglementations en vigueur.
Alors que la CNIL a permis aux entreprises de se mettre en conformité pendant 1 an, elle se veut dorénavant plus ferme et compte accentuer ses contrôles et ses actions afin d’accélérer le processus de mise en conformité des entreprises.
Quelles sanctions par la CNIL en cas de non-respect du RGPD ?
Si une entreprise ne respecte pas le RGPD, elle encourt des sanctions sévères. Des seuils de tolérance ont été établis. En effet, l’intervention de l'autorité de contrôle est progressive en fonction de la gravité du manquement de l'entreprise à l'une des obligations découlant du RGPD. Les sanctions pécuniaires sont administrées par le régulateur de la protection des données dans chaque pays de l'UE. Cette autorité déterminera si une infraction a été commise et la sévérité de la sanction.
Étude préalable : Mise en demeure
Dans un premier temps, une mise en demeure de l'entreprise fautive est adressée, par le Président de la CNIL, avec rappel de l'obligation de mettre le traitement des données sensibles en conformité avec le RGPD. Le délai fixé pour répondre à une mise en demeure est établi entre 10 jours et 6 mois et ne peut être renouvelé qu’une seule fois.
Sanction pécuniaire
Le RGPD déclare explicitement que certaines violations sont plus sérieuses que d'autres. À cet effet, les infractions les moins graves pourraient donner lieu à une amende pouvant aller jusqu'à 10 millions d'euros, soit 2% du chiffre d'affaires annuel mondial de l'entreprise de l'exercice précédent, le montant le plus élevé étant retenu. Les infractions les plus graves vont à l'encontre des principes mêmes du droit à la vie privée et du droit à l'oubli, qui se trouvent être au cœur du RGPD. Ce type d'infraction peut donner lieu à une amende pouvant aller jusqu'à 20 millions d'euros, soit 4 % du chiffre d'affaires annuel mondial de l'entreprise de l'exercice précédent, le montant le plus élevé étant toujours retenu.
Des sociétés de toutes tailles peuvent être assujetties aux sanctions en matière de RGPD. Par exemple, la compagnie aérienne britannique British Airways a été condamnée à une lourde amende de 183,4 millions de livres sterling suite à un piratage pour non-respect de l’article 32 du RGPD relatif à la « Sécurité du traitement ». Cependant, d’autres compagnies moins conséquentes sont aussi touchées par les sanctions dues à un non-respect du RGPD. Sergic, société française spécialisée dans la promotion et dans la gestion immobilière a été condamnée à une amende de 400 000 € puisqu’elle n’aurait pas suffisamment protégé les données des utilisateurs de son site internet.
Il ne faut également pas omettre qu’une société française ayant une activité européenne peut se faire sanctionner par une autorité de contrôle européenne pour un manquement dans un autre pays.
Sanction judiciaire
D’autre part, des sanctions pénales sont prévues en droit français en cas de manquement aux règles de protection de données. Ainsi, les sanctions pénales peuvent aller jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende.
Les impacts business en cas de non-conformité
En cas de non-conformité au RGPD, les répercussions d’une sanction publique peuvent nuire à la réputation d’une entreprise ainsi qu’à sa crédibilité et par conséquent la confiance de ses clients en pâtira.
Les relations avec les partenaires peuvent également être entachées. En effet, chaque acteur a désormais une responsabilité et ces derniers ne prendront pas le risque de contracter avec une entreprise qui n’est pas en conformité. Cela ne fera qu’augmenter leurs craintes quant à l’utilisation des données personnelles.
D’autre part, une entreprise non conforme au RGPD risque également une action collective de la part des consommateurs (article 80 du RGPD). Cette action de groupe permet aux consommateurs estimant qu’un professionnel a porté atteinte à leurs droits de se regrouper et d’engager une procédure judiciaire.
De même, les concurrents d’une entreprise peuvent agir à son encontre sur le fondement de la concurrence déloyale si la non-conformité au RGPD lui offre un avantage concurrentiel. Une entreprise a notamment été récemment jugée pour acte de concurrence déloyale due au manquement à l’obligation obligeant les éditeurs de publier sur leur site internet des mentions légales.
Le RGPD stipule également que tous les marchés publics comportant des traitements de données à caractère personnel doivent comporter des clauses relatives à ce sujet. À contrario, l’obtention d’un marché public leur sera impossible.
II- Les principaux changements liés au RGPD
Les acteurs majeurs du changement
- Les partenaires commerciaux : personne physique, groupe, collectivité ou entité avec lesquels une entreprise s’associe et collabore en vue de développer une activité commerciale.
- Le responsable de traitement : la personne physique ou morale (entreprise) qui seule ou conjointement avec d’autres détermine les finalités et les moyens du traitement.
- Le délégué à la protection des données : garant du respect de la réglementation en matière de protection des données, sans se substituer aux fonctions exercées par les autorités de contrôle.
- Les sous-traitants : la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. Cela concerne tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme. Par exemple, un prestataire informatique ou une agence de communication.
- La Commission nationale de l’informatique et des libertés (CNIL) n’est autre que l’autorité de contrôle en matière de données personnelles. Ses missions s’accentuent autour de deux piliers : celui de contrôler l’application de la loi au sein des organismes et celui de sanctionner en cas de non-respect de la loi.
Les grands principes relatifs à la protection des données personnelles
Licéité, loyauté et transparence
Le traitement des données à caractère personnel doit être fait de manière licite, loyale et transparente à l'égard de la personne concernée.
Limitation de la conservation
L'entreprise doit supprimer les données personnelles lorsqu'elle n'en a plus l'utilité. Dans la plupart des cas, les délais ne sont pas fixés, mais dépendront de la situation de l’entreprise et des raisons pour lesquelles elle collecte ces données.
Minimisation des données
L'entreprise doit s'assurer que les données personnelles traitées sont adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard de la finalité du traitement.
Accountability
La nouvelle législation exige une documentation complète de toutes les politiques qui régissent la collecte et le traitement des données. Chaque étape de la gestion des données d’une entreprise doit être rigoureusement formulée et justifiée. En vertu du RGPD, une entreprise doit être en mesure de démontrer les documents qui prouvent la conformité avec le RGPD lorsque les autorités le demandent.
Privacy by Design – by default
Le principe de Privacy By Design est une approche exigeant l'inclusion de la protection des données dès le début de la conception. Cela assure donc de prendre en compte les questions de confidentialité et de protection des données à l'étape de la conception de tout système, service, produit ou processus, puis tout au long du cycle de vie. Ce principe oblige l’entreprise à ce qu’elle ne traite que les données nécessaires à la réalisation de son objectif spécifique.
Le principe « par défaut » assure aux utilisateurs que leurs données ne soient pas utilisées dans un but autre que celui pour lequel ils les ont rendues accessibles. D’autre part, cela inclut que seules les personnes autorisées peuvent avoir accès à la donnée.
Ce qui change pour les personnes concernées
Une protection et une sécurisation renforcées
Le RGPD vise à offrir deux avantages principaux aux personnes concernées.
Premièrement, leurs données sont globalement plus sécurisées. Toutes les entreprises qui traitent des données personnelles doivent s'assurer qu'elles ont mis en place des mesures de sécurité adéquates, tant techniques qu’organisationnelles, pour protéger les données qu'elles détiennent et garantir un niveau de sécurité adapté au risque.
Dans un second temps, l’information qui doit être fournie aux personnes concernées est renforcée. En effet, les personnes concernées ont désormais le droit de savoir si les données à caractère personnel les concernant font ou non l'objet d'un traitement, où et pour quelles finalités. En outre, le responsable du traitement se doit de fournir gratuitement une copie des données à caractère personnel sous forme électronique, si elle est demandée.
Un guichet unique : le « one stop shop »
Le mécanisme du guichet unique signifie qu'en règle générale, les organisations qui exercent des activités transfrontalières de traitement de données à caractère personnel n'auront à traiter qu'avec une seule autorité de contrôle, à savoir celle de leur pays.
Reconnaissance du droit à l’oubli
Le droit à l'oubli permet à la personne concernée de demander au responsable du traitement d'effacer ses données personnelles, de cesser la diffusion de celles-ci et éventuellement d'en interrompre le traitement par de tierces personnes. Les modalités de suppression incluent les données qui ne sont plus pertinentes au regard des finalités initiales du traitement, ou tout simplement une déclaration de retrait du consentement de la personne concernée.
Protection des mineurs
Pour les mineurs de moins de 16 ans, le RGPD exige dorénavant des services en ligne qu’ils obtiennent le consentement des parents avant toute inscription.
III - Comment se préparer au RGPD ?
Les actions à mettre en place pour être en conformité
Le RGPD a un impact à la fois sur le fonctionnement interne des entreprises et collectivités territoriales et sur son business. À cet effet, se conformer au RGPD consiste à comprendre la manière dont les données circulent à l’intérieur et à l’extérieur de son organisation. La documenter, en réalisant un audit des traitements, des flux de données, des outils et process, vous aide à établir votre conformité au RGPD. La première étape devrait donc être celle de la cartographie.
Dans un second temps, il est nécessaire d’analyser les résultats de cette cartographie grâce à un rapport d’audit. Ce dernier devrait détailler les facteurs qui pourraient occasionner un manque de conformité au GDPR, en faire émerger des solutions et les décliner en une proposition de planning de mise en conformité.
Enfin, documenter l’ensemble des choix opérés est la dernière étape. Pour ce faire, il est nécessaire d’adapter l’organisation interne de l’entreprise. Un délégué à la protection des données (DPO) peut être désigné. Au travers de son rôle de chef d’orchestre de la conformité, il exercera une mission d’information, de conseil, mais également de contrôle. Apprécier les risques grâce à une analyse d’impact relative à la protection des données (AIPD) peut être également envisagée.
Le RGPD : une opportunité pour l’innovation
Le RGPD n'a jamais été conçu pour restreindre les organisations, mais au contraire pour améliorer la relation entre les entreprises et les consommateurs et garantir que l'économie des données se construise en toute sécurité.
Le RGPD exige des organisations qu'elles comprennent clairement les données qu'elles recueillent et stockent. Ainsi, une mise en conformité est le moment idéal pour réévaluer la valeur des bases de données personnelles détenue par votre entreprise.
Le message est désormais clair : la collecte de données doit être utilisée au profit des clients et de votre entreprise. En effet, les organisations doivent se concentrer sur la manière de générer et de maintenir la confiance de leurs clients. Une récente étude IBM a démontré que 75 % des consommateurs dans le monde n'achèteront pas un produit d'une entreprise s'ils ne lui font pas confiance pour protéger leurs données. Une mise en conformité est donc une excellente opportunité de commencer à construire une relation plus respectueuse et authentique avec vos clients.
Cette transparence imposée par le RGPD rassure également les donneurs d’ordre et les partenaires commerciaux et cela vous offrira, in fine, un avantage concurrentiel. En effet, ces derniers contracteront seulement avec les entreprises conformes aux RGPD ou qui ont désigné un DPO dédié à l’entreprise.
D’autre part, au fur et à mesure que le paysage réglementaire évolue, un effet radical est également généré sur l'infrastructure des entreprises. En effet, il inclut des passages à des architectures informatiques plus claires et flexibles et cela passe notamment par l’utilisation d’hébergeurs en ligne.
In fine, le GDPR favorise la qualité plutôt que la quantité des données, en mettant l'accent sur des ensembles de données significatives qui permettent d'obtenir une vision et un impact plus exploitables.
Être accompagné par des professionnels compétents et donc idéalement des juristes.
Le moment est donc venu de mettre en œuvre des mesures de sécurité appropriées pour collecter, identifier et protéger les données personnelles et professionnelles sensibles au sein de votre entreprise. Cependant, réaliser une mise en conformité RGPD de qualité nécessite des connaissances techniques et juridiques.
Ainsi, si vous rencontrez des difficultés à votre mise en conformité, vous pouvez envisager d'externaliser ces changements à une tierce partie, et notamment à un avocat. Les avantages sont considérables : il peut tirer parti de son expertise juridique, mais également assumer la mission de DPO tout en se portant garant de la confidentialité et en étant assuré pour ces missions.
LOB vous accompagne à chaque étape de la mise en conformité grâce à une méthodologie en 3 étapes. Nous pouvons réaliser la conformité complète de votre entreprise pour un forfait global variant entre 8000 et 9000 euros HT, mais proposons également des tarifs adaptés aux PME à travers une offre d’assistance à 3.000 euros HT.
Cette offre d’assistance inclut tout d’abord une formation sur le RGPD dispensé par un avocat dans l’objectif de réaliser vous-même la cartographie grâce à un logiciel de cartographie et de tenue de registre en mode SAAS. À l’issue de la cartographie, nous procédons à un rapport succinct sur les principaux écarts constatés avec le RGPD. Pour finir, nous vous accompagnons et vous guidons sur le long terme afin de garantir la qualité de votre mise en conformité et vous éviter toute sanction.