Lorsqu'une entreprise utilise des données et les traite lors de différentes opérations, elle doit respecter un Règlement Général sur la Protection des Données (RGPD). Cela concerne toutes les entreprises si elles travaillent dans l'Union européenne ou qu'elles s'adressent à des clients européens. Mais qu'est précisément la conformité réglementaire ? Quelle est la réglementation dans le domaine de la protection des données ?
Qu'est-ce que la conformité réglementaire ?
La conformité réglementaire concerne les données personnelles. Ces données, autrement nommées « données à caractère personnel », sont des informations qui se rapportent à une personne physique :
- Le nom ;
- le prénom ;
- Le numéro de sécurité sociale ;
- L'adresse ou adresse mail ;
- Le numéro de téléphone ;
- La photographie ;
- L'identifiant en ligne ;
- L'empreinte…
Ces informations peuvent être publiques ou confidentielles. La donnée personnelle ne peut être anonymisée, car il ne sera alors plus possible d'identifier la personne.
Le traitement des données personnelles concerne toutes les opérations qui portent sur ces données et concerne :
- Collecte ;
- Enregistrement ;
- Conservation ;
- Modification ;
- Consultation ;
- Diffusion ;
- Effacement.
Il y a un traitement des données dès que les données d'une personne sont utilisées. Ces informations sont aujourd'hui majoritairement informatisées, mais les fiches papier sont également considérées comme des données personnelles.
Les entreprises, de manière générale, sont concernées par le RGPD quand elles emploient du personnel. Elles doivent, en effet, réaliser différentes opérations qui demandent des données personnelles : paie, recrutement, contrat de travail…
Le traitement des données est alors confié au responsable. C'est le représentant légal de l'entreprise qui est désigné comme responsable (chef d'entreprise, président, gérant…). Il est à l'initiative du traitement des données personnelles et va déterminer les finalités et les moyens. Il peut avoir recours à un sous-traitant qui traitera les données pour le compte du responsable. Le responsable doit respecter de nombreuses obligations pour protéger au mieux les données personnelles.
La réglementation en matière de protection des données
Différents principes concernent le RGPD. Le traitement doit avant tout être licite. Il doit, pour cela, être fondé sur l'une des 6 bases légales qui sont fixées par le RGPD. Cela concerne le consentement de la personne, l'exécution du contrat ou le respect d'une obligation légale. Le traitement doit également être transparent. La collecte doit être réalisée en informant la personne et en précisant la finalité.
Le responsable du traitement doit définir l'objectif qui vise la collecte des données. Il peut s'agir de la prospection, du suivi des relations clients ou des ressources humaines.
Le traitement des données doit être pertinent. La collecte des informations ne doit concerner que celles qui sont strictement nécessaires à l'objectif. Le « principe de minimisation » est ici de mise.
Ce traitement doit encore être temporaire. Il est indispensable de définir la durée de conservation dès la mise en place de la collecte. Les informations seront supprimées lorsque l'objectif sera atteint.
Enfin, le traitement doit être sécurisé. La confidentialité des données est incontournable via différentes étapes : mot de passe, HTTPS, sauvegarde…
Le traitement qui porte sur les données sensibles est normalement interdit. Ces données concernent les informations très sensibles (origine raciale ou ethnique, opinion politique, religion, orientation sexuelle, appartenance syndicale, données génétiques).
Le responsable devra en premier lieu informer les personnes dont les données sont collectées. C'est une obligation qui s'applique à la collecte directe ou indirecte. Il est nécessaire de délivrer l'information au moment de la collecte.
Pour cela, le responsable devra fournir différentes informations :
- Identité et coordonnées du responsable (le cas échéant, les coordonnées du délégué à la protection des données [DPO]) ;
- Les finalités de la collecte et du traitement ;
- La base légale qui justifie le traitement ;
- Le caractère obligatoire ou non de la fourniture des données et les conséquences en cas de non-fourniture des données ;
- Les destinataires des données (qui les reçoivent et qui y accèdent) ;
- La durée de conservation de ces données ;
- Le droit de la personne sur ces données (droit de refuser la collecte, d'accéder aux informations, rectifier ou effacer les données) ;
- Le droit d'introduire une réclamation auprès de la CNIL ;
- Les sources par lesquelles ont été obtenues les données en cas de collecte indirecte ;
- Si les données personnelles sont transférées vers un pays hors Europe, il sera nécessaire d'informer la personne.
Ces différentes informations devront être transmises de façon concise, compréhensible et transparente. Les termes doivent être simples et clairs. Pour cela, la CNIL met à la disposition du responsable différents exemples de mentions d'information qui s'adaptent à chaque cas : vente en ligne, prospection commerciale, vidéosurveillance…
Il est indispensable de recueillir le consentement des personnes concernées. Ce consentement correspond à la manifestation de la volonté de la personne concernée. Cette opération est obligatoire sauf dans le cas où le traitement est justifié par l'exécution d'un contrat. Ce consentement reste néanmoins incontournable pour les données considérées comme sensibles, la réutilisation des données à d'autres fins, l'utilisation de cookies non essentiels et l'utilisation des données à des fins commerciales par voie digitale.
Pour que le consentement soit valable, il doit répondre à 4 conditions :
- Le consentement doit être libre ;
- Le consentement doit être éclairé ;
- Le consentement doit être spécifique ;
- Le consentement doit être univoque.
Le droit d'accès aux données collectées doit être accordé aux personnes concernées. Elles doivent avoir un droit d'accès, de rectification, d'effacement, mais aussi de portabilité et d'opposition.
Il est aussi indispensable de tenir un registre des traitements. Ce registre est utile pour recenser les différents traitements des données et ainsi avoir une vue d'ensemble des utilisations. Cependant, ce registre ne concerne pas toutes les entreprises. Si l'entreprise emploie moins de 250 salariés, le registre est obligatoire si l'entreprise procède à un traitement non occasionnel, à un traitement pouvant comporter un risque pour les droits et libertés de la personne, un traitement portant sur les données sensibles. Ce registre doit contenir différentes informations :
- L'identité du responsable de traitement ;
- La catégorie des personnes concernées ;
- La catégorie des données traitées ;
- La finalité du traitement ;
- Les destinataires des données ;
- La durée de conservation des données ;
- La description des mesures de sécurité.
Assurer la sécurité des données personnelles est essentiel, nécessitant la mise en place de nombreuses mesures techniques. La première étape consiste à recenser les traitements de données, qu'ils concernent des supports matériels, logiciels, canaux de communication, documents papier ou encore les locaux où ces supports sont entreposés. Une évaluation des risques associés à chaque traitement doit également être effectuée, afin d'identifier les menaces potentielles : accès non autorisés, modifications indésirables ou perte de données. Le responsable de traitement doit alors répertorier les sources de risques.
La sensibilisation des utilisateurs joue également un rôle clé. Il incombe au responsable de les informer sur les enjeux de la sécurité et de la protection de la vie privée, tout en documentant et actualisant régulièrement les procédures d'exploitation.
L'authentification des utilisateurs est une autre mesure essentielle. Chaque utilisateur doit disposer d'un identifiant personnel et être authentifié à chaque connexion. Par ailleurs, les accès doivent être limités aux seules données nécessaires à leurs fonctions, grâce à une gestion rigoureuse des habilitations.
Pour réagir efficacement en cas de violation de données, un système de journalisation est indispensable. Celui-ci permet de tracer les opérations et de détecter rapidement les incidents.
La sécurisation des postes de travail et des équipements mobiles constitue également une priorité. Des mécanismes tels que le verrouillage automatique, l'installation de pare-feu, l'utilisation d'antivirus à jour et l'effacement des données avant réaffectation des équipements doivent être mis en place. De plus, il est crucial d'anticiper les risques liés au travail en dehors de l'entreprise.
La sauvegarde et l'archivage des données sont tout aussi essentiels. Des sauvegardes régulières, idéalement stockées sur des sites externes, garantissent la protection des informations en cas d'incident.
Enfin, une bonne gestion de la sous-traitance est primordiale pour préserver la sécurité des données. Cela implique un encadrement strict des prestations réalisées par des tiers.
Pour optimiser les données personnelles au sein de son entreprise, désigner un délégué à la protection des données (DPO ou data protection officer) peut ainsi être indispensable pour les entreprises qui utilisent les données personnelles à grande échelle. Ce professionnel aura plusieurs missions :
- Informer le responsable et les employés, et les conseiller sur les obligations ;
- Contrôler le respect du RGPD.
- Donner des recommandations et conseils relatifs à un sujet précis,
- Coopérer avec la CNIL.
Le DPO peut être désigné par le responsable de traitement ou un prestataire externe. Ce DPO doit disposer d'une connaissance approfondie du droit et des différentes pratiques dans le domaine de la protection des données. Il peut ainsi posséder un Master Intelligence Juridique et pourra avoir une vision stratégique du droit et des enjeux liés à celui-ci. La CNIL a aussi mis en place une procédure de certification des compétences d'un DPO.
RGPD et les exigences de conformité en Europe
Le RGPD est un règlement européen valable dans toute l'Union européenne. Il concerne les manières dont une entreprise doit se comporter avec les données personnelles. Différentes pratiques sont à employer pour respecter le RGPD en Europe. Nous avons déjà vu que le consentement des personnes est incontournable pour utiliser les données personnelles. Les consentements doivent par ailleurs être archivés et conservés en toute sécurité.
Des informations claires doivent être données tant par les entreprises que par les clients.
Ces spécificités concernent les pays de l'Union européenne, mais aussi les pays de l'Espace Économique Européen, incluant la Norvège, le Liechtenstein et l'Islande.
Autres réglementations internationales
Lorsque l'entreprise travaille avec des clients basés en dehors de l'UE, elle devra adapter sa politique de protection des données personnelles.
Si l'entreprise est immatriculée en Europe et exerce en dehors du territoire, le RGPD s'applique.
Dans le cas où l'entreprise est immatriculée en dehors de l'Europe, mais que son activité concerne des personnes résidant en Europe, le RGPD s'applique si les activités concernent une offre de bien ou de service.
Le principe de transférer des données en dehors de l'Europe est généralement impossible. Il existe néanmoins des exceptions. Cela concerne les pays ayant reçu une décision d'adéquation de la part de la Commission européenne : Andorre, Argentine, Canada, Îles Féroé, Guernesey, Israël, île de Man, Japon, Jersey, Nouvelle-Zélande, Suisse, Uruguay, Corée du Sud et Royaume-Uni.
Pour ce qui concerne les États-Unis, le pays ne présente pas pour la Commission Européenne suffisamment de protection des données personnelles. Le combat a donc été long pour pouvoir transférer des données entre les USA et l'Europe. Néanmoins, le pays a modifié ses garanties via un Executive Order dernièrement. Les limites dans l'accès des données européennes sont mises en place par les services américains. En cas de préjudice, il est également aujourd'hui possible de faire un recours auprès du Civil Liberties Protection Officer. La Commission européenne a validé une condition : le prestataire doit se trouver dans la zone du site du Département du Commerce des États-Unis. Dans le cas contraire, il faudra avoir recours aux clauses contractuelles types (CCT).
L'intelligence juridique pour gérer la cybersécurité
Aujourd'hui, l'intelligence artificielle joue un rôle majeur pour gérer au mieux la cybersécurité et donc la protection des données personnelles. La cybersécurité juridique comprend plusieurs éléments :
- La conformité réglementaire et normative,
- La protection des données confidentielles,
- La gestion des risques,
- Les technologies avancées de protection.
L'intelligence juridique est aussi une aide majeure pour protéger les données personnelles et respecter le RGPD. Elle se concentre sur l'analyse et la compréhension des aspects juridiques qui jouent alors un rôle important. Elle permet aux entreprises d'anticiper les changements et de prévoir des stratégies adaptées. Un audit de conformité pourra être mis en place par les juristes.
C'est donc un outil particulièrement efficace pour anticiper les changements qui peuvent nuire à la protection des données. Il sera ainsi possible de répondre de façon optimale au règlement RGPD.