Les entreprises doivent mettre en œuvre les mesures nécessaires pour assurer la sécurité des données personnelles qu’elles conservent afin de satisfaire aux exigences du RGPD. Les mesures de sécurité retenues doivent être proportionnées au risque encouru par les données personnelles considérées. La base juridique du traitement des données personnelles est légale.
Les données personnelles font l’objet d’un traitement lorsque des données à caractère personnel sont collectées, traitées ou communiquées à des fins autres que celles pour lesquelles elles ont été collectées. Ainsi, le traitement des données personnelles doit être nécessaire et proportionné au but recherché.
L’information du responsable du traitement doit être assez précise pour permettre à la personne concernée de savoir en quoi consiste le traitement de ses données personnelles. Le droit à l’information porte sur les finalités du traitement des données personnelles, les catégories de données personnelles concernées, la durée de conservation des données ainsi que sur les droits de la personne concernée. La personne concernée a le droit d’accéder à ses données personnelles et d’en obtenir une copie, d’exercer son droit d’opposition au traitement, éventuellement son droit à la limitation du traitement ainsi que son droit à la portabilité de ses données.
1. Qu’est-ce que les RGPD ?
La réglementation générale sur la protection des données (RGPD) a été promulguée le 27 avril 2016 et remplace la directive « Vie privée et communications électroniques » transposée en droit français par la loi « Informatique et libertés » du 6 janvier 1978. Elle s’applique dans les 28 pays de l’Union européenne à toutes les entreprises qui traitent des données personnelles de citoyens européens.
Cette réglementation harmonise les règles de protection des données personnelles et impose des obligations aux entreprises qui collectent, stockent et traitent des données personnelles.
Les données personnelles
La RGPD définit les données personnelles comme « toute information portant sur une personne physique identifiée ou identifiable ». Cette notion inclut donc également les pseudonymes et les données de localisation, lorsqu’il est techniquement possible de l’identifier.
Lorsque la personne concernée est un citoyen européen, le traitement de ses données personnelles est soumis à la réglementation européenne. Le traitement de ses données personnelles par une entreprise située hors de l’Union européenne est soumis à la réglementation européenne, mais seulement si l’entreprise a un établissement en Europe.
Les droits des personnes concernées :
Le RGPD prévoit des droits pour les individus dont les données personnelles sont collectées, stockées ou traitées par un responsable de traitement. Ces droits sont identiques dans l’ensemble des pays européens.
Le droit d’accès : les individus ont le droit de demander à un responsable de traitement de leur fournir une copie de leurs données personnelles. Ils ont également le droit d’obtenir des informations sur la façon dont leurs données personnelles sont utilisées et expliquées sur la base juridique pour laquelle elles sont collectées, stockées ou traitées.
Le droit de rectification : les individus ont le droit de demander à un responsable de traitement de rectifier, de compléter ou de mettre à jour leurs données personnelles.
Le droit d’effacement : les individus ont le droit à ce que leurs données personnelles soient effacées lorsqu’elles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
Le droit de limitation du traitement : les individus ont le droit à ce que leurs données personnelles ne soient pas traitées pour autant qu’ils contestent l’exactitude de leurs données personnelles et demandent que celles-ci ne soient pas utilisées jusqu’à ce qu’une décision finale sur l’exactitude des données ait été établie.
Le droit à la portabilité : les individus ont le droit à demander à un responsable de traitement de fournir les données personnelles qu’ils ont fournies à ce responsable, dans un format structuré, couramment utilisé et lisible par machine et d’entransmettre une copie à tout autre responsable de traitement.
Le droit d’opposition : les individus ont le droit de s’opposer à tout moment, pour des raisons tenant à leur situation particulière, au traitement de leurs données personnelles, sous réserve que cette opposition ne compromette pas la licéité du traitement basé sur l’un des motifs énoncés à l’article 6 alinéa 1 de la loi n° 78-17 du 6 janvier 1978.
Le droit de définir le sort des données après la mort : les individus ont le droit de définir le sort des données à caractère personnel communiquées par eux après leur disparition.
La loi porte sur les traitements automatisés de données à caractère personnel, qu’ils soient effectués par des personnes physiques ou des personnes morales, dans le cadre de leur activité professionnelle ou bien dans celui de leurs activités commerciales.
Les données à caractère personnel sont les informations permettant d’identifier directement ou indirectement une personne physique.
Leur traitement comprend toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à ces données, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la restriction, l’effacement ou la destruction.
La loi ne s’applique pas aux traitements de données à caractère personnel opérés par les autorités publiques dans l’exercice de leurs fonctions.
Le traitement automatisé de données à caractère personnel portant sur des personnes physiques répondant aux conditions définies par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE (règlement général sur la protection des données) est assimilé à un traitement de données à caractère personnel.
Le responsable de traitement est une personne physique ou morale, l’autorité publique, un service ou un organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel.
Le sous-traitant est une personne physique ou morale, l’autorité publique, un service ou un organisme qui exécute les instructions du responsable de traitement en ce qui concerne le traitement des données à caractère personnel et agit sous son autorité.
Le responsable de traitement choisit un sous-traitant après avoir vérifié qu’il fournit des mesures techniques et organisationnelles adéquates pour protéger la confidentialité, l’intégrité et la disponibilité des données à caractère personnel et pour empêcher qu’elles ne soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Le responsable de traitement fixe les critères et les modalités d’exercice par le sous-traitant des activités de traitement de données à caractère personnel.
Les données à caractère personnel doivent être protégées contre les risques liés à la perte des données, au traitement illicite ou inadéquat, à l’accès non autorisé et à la divulgation non autorisée.
Les données à caractère personnel ne doivent pas être traitées pour d’autres finalités que celles précisées au moment de leur collecte.
Un traitement de données à caractère personnel est licite si le responsable de traitement démontre qu’il répond aux conditions ci-après :
En cas de violation de données à caractère personnel, le responsable de traitement en avise sans délai l’autorité nationale compétente.
En cas de violation de données à caractère personnel, le responsable de traitement prend immédiatement les mesures adéquates afin d’en limiter les effets sur les personnes concernées. Le responsable de traitement doit prendre toutes les mesures raisonnables pour identifier ou prévenir les violations des données à caractère personnel qu’il est susceptible d’encourir.
Un responsable de traitement doit protéger les droits et libertés de la personne concernée, et notamment le droit à la vie privée et à la protection des données à caractère personnel, sur l’ensemble du territoire de l’Union.
Les dispositions du traité sur le fonctionnement de l’Union européenne ne peuvent pas être interprétées comme portant une atteinte disproportionnée à la liberté d’entreprendre ou à l’innovation. Cette directive s’applique aux organismes publics et aux organismes privés qui se livrent à un traitement de données à caractère personnel pour des fins autres que celles auxquelles les données à caractère personnel ont été recueillies.
1. Quelles sont les différences avec la loi Informatique et Libertés ?
La loi Informatique et Libertés n’a pas été modifiée, les dispositions d’application restent inchangées. La directive est applicable aux traitements de données à caractère personnel effectués dans le cadre de la mise en œuvre de l’activité d’un responsable de traitement ou dans le cadre des activités d’un responsable de traitement qui sont exercées pour son compte par une autre personne. Le champ d’application de la directive concerne donc les organismes privés.
Les personnes concernées par l’application de cette directive sont les personnes physiques, les personnes morales et les personnes morales de droit public qui se livrent à un traitement de données à caractère personnel pour des fins autres que celles auxquelles les données à caractère personnel ont été recueillies.
La directive s’applique aux organes de l’État qui traitent des données à caractère personnel dans le cadre de leurs activités.
Quelles sont les nouvelles obligations auxquelles sont soumis les responsables de traitement ?
2. Les obligations des entreprises et des particuliers
qui exercent une activité de traitement de données à caractère personnel sont les suivantes :
– informer les personnes concernées des finalités du traitement ;
– recueillir leur consentement ;
– respecter la finalité pour laquelle les données à caractère personnel ont été recueillies ;
– informer les personnes concernées de toute utilisation de leurs données à caractère personnel pour d’autres finalités que celles pour lesquelles elles avaient été recueillies ;
– assurer une sécurité appropriée des données à caractère personnel ;
– notifier l’accès aux données à caractère personnel ou toute autre utilisation de celles-ci à une autre personne, à moins que les données à caractère personnel ne soient recueillies pour un usage exclusif ;
– mettre en place les mesures techniques et organisationnelles appropriées afin de prévenir la perte des données à caractère personnel, leur traitement illicite ou non autorisé, l’accès non autorisé et l’altération des données à caractère personnel ;
– conserver les données à caractère personnel pendant une durée n’excédant pas celle nécessaire à l’accomplissement des finalités pour lesquelles elles ont été collectées ;
– informer les personnes concernées de leur droit de retirer leur consentement et de leur droit d’introduire une réclamation auprès de la CNIL ou du médiateur.
Le médiateur peut être saisi directement par la personne concernée ;
– informer les personnes concernées de leurs droits d’opposition, d’accès, de rectification et de suppression des données à caractère personnel collectées ;
– informer les personnes concernées de leurs droits à la limitation du traitement et du droit à l’oubli.
La CNIL rappelle que ces exigences sont applicables tant au paiement en ligne qu’à toute autre technique de paiement qui serait mise en œuvre.
La CNIL rappelle également qu’en cas de sous-traitance de traitement de données à caractère personnel, il est de la responsabilité du prestataire de sous-traitance de s’assurer que les exigences légales sont respectées.
Dans le cadre du règlement (UE) n°679/2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel, et notamment à l’article 25, la CNIL rappelle également aux professionnels du secteur du paiement qu’ils doivent informer leurs clients de ces obligations légales lorsqu’ils leur fournissent des services de paiement en ligne.
La CNIL rappelle enfin que les entreprises qui ne respectent pas ces obligations sont passibles d’une sanction pouvant aller jusqu’à 20 millions d’euros ou 4 % de leur chiffre d’affaires annuel mondial.
3. La période de transition des données personnelles
vers le Règlement Général sur la Protection des Données (RGPD) aura lieu le 25 mai 2018.
Les entreprises qui doivent encore se mettre en conformité avec la loi informatique et libertés avant cette date, doivent mettre en place dès maintenant les mesures nécessaires pour s’adapter au RGPD.
Afin de les aider dans cette transition, la CNIL a mis en place une enquête auprès des professionnels du secteur du paiement afin de connaître les freins à la mise en conformité des entreprises.
Cette enquête, qui a été menée du 22 novembre au 2 décembre 2017 auprès de 170 entreprises, a permis à la CNIL d’avoir une image plus précise de la situation des entreprises en France.
Les principaux freins identifiés ont été les suivants :
- Le manque de temps consacré à cette tâche (38 %) ;
- Les moyens financiers manquants (31 %) ;
- Le coût pour améliorer la sécurisation des données (31 %) ;
- Le manque de compétences sur la protection des données (22 %) ;
- L’absence de directives claires et précises (20 %) ;
- Le manque de formation des salariés et de l’encadrement (19 %).
Ces résultats témoignent d’un manque de moyens financiers et humains pour mettre en place les mesures techniques et organisationnelles afin que leur entreprise soit conforme aux obligations légales.
Cette enquête a aussi permis à la CNIL de prendre la mesure de l’importance de la formation des salariés et de l’encadrement pour les entreprises.
Les entreprises doivent en effet déployer une politique de formation afin que leurs salariés aient les connaissances sur la protection des données (droit à l’oubli, droite d’accès, consentement, etc.), qu’ils soient sensibilisés aux risques et aux obligations ainsi qu’à la mise en conformité. Cette formation peut être également acquise grâce à des personnes extérieures comme des consultants ou des organismes de certification.
Au-delà de la formation, il convient de donner des responsabilités au directeur de la protection des données afin que celui-ci puisse coordonner les mesures du point de vue organisationnel et juridique (en lien avec le conseil d’administration et le comité de direction).
Conclusion
En tout état de cause, avant de déployer des actions de communication auprès de ses clients, l’entreprise doit prendre en compte la mise en conformité des mesures techniques et organisationnelles nécessaires à la protection de leurs données personnelles.
L’objectif est d’apporter aux clients de l’entreprise la preuve que celle-ci est sérieuse et digne de confiance. Elle doit montrer qu’elle maîtrise les risques liés à la collecte, à l’usage ou à la transmission des données personnelles.
En fonction de la taille de l’entreprise et du nombre de clients, cette mise en conformité peut être faite dans un délai supérieur à 6 mois, mais elle peut être faite dans un délai de 3 mois. Cependant, cette évaluation de la mise en conformité doit être faite avant l’implantation d’actions de communication auprès des clients.
La mise en conformité peut être l’occasion de remettre en cause certaines pratiques et modes de fonctionnement.
Il convient de corriger un certain nombre de dysfonctionnements, notamment :
– le fait que les responsables de traitement ne disposent pas d’une vision complète sur l’ensemble des traitements et des processus informatiques ;
– la non-conformité de certaines pratiques à la loi ;
– l’absence de traçabilité des traitements et des processus informatiques ;
– l’absence d’une vision globale de la gestion des données personnelles ;
– l’absence d’un audit des systèmes d’information en vue de leur mise en conformité.
S’il est primordial que tous les acteurs concernés par une démarche de mise en conformité aient une vision commune de la finalité et du sens de la mise en conformité, il est tout aussi important de mettre en place des procédures de contrôle de la mise en conformité.
Le contrôle est d’autant plus important que le niveau d’exigence est élevé. En effet, pour pouvoir mettre en conformité une entreprise, il faut prendre en compte la diversité des traitements et processus informatiques. Il faut déterminer les traitements à mettre en conformité et les processus informatiques à modifier ou à créer. C’est la raison pour laquelle, dans l’optique de mettre en conformité une entreprise, le contrôle est primordial.
Or, lorsque l’on veut mettre en conformité tous les traitements et processus informatiques d’une entreprise, il est difficile de savoir comment procéder. Dans certains cas, il est nécessaire d’évaluer les risques liés à la non-conformité des traitements et processus informatiques et à l’absence de documents de procédure.
En savoir plus sur les RGPD sur le site de la CNIL