Le RGDP, Règlement européen sur la Protection des Données Personnelles, concerne toutes les entreprises, y compris les petites. Ne pas le respecter peut coûter cher. Digital Wallonia fait le point sur la question en collaboration avec le CRIDS.
Le Règlement européen sur la protection des données personnelles (RGDP ou GDPR en anglais) concerne aussi les petites entreprises . Ne pas le respecter peut coûter cher, très cher…
RGPD ? Commençons depuis le début
Le Règlement Général sur la Protection des Données (RGPD) tend à instaurer un cadre légal applicable au traitement de données relatives à des individus. Ce nouveau texte européen vient mettre à jour l’ancien régime applicable à ce type de données particulières.
En Belgique, l'Autorité de protection des données (organe de contrôle dans cette matière) pourra bientôt infliger des amendes administratives pouvant atteindre plusieurs millions d’euros en cas de non-respect de la législation. Il vaut donc mieux être en conformité pour le 25 mai 2018.
Mon entreprise est-elle concernée ? Plus que probablement
Beaucoup d'entrepreneurs pensent que le GDPR ne s’appliquera qu’à certaines grandes entreprises qui disposent de quantités énormes de données personnelles. C’est une idée fausse !
Le GDPR s’appliquera à quasi toutes les entreprises ... puisque dans les faits, toutes disposent d'informations se rapportant à des personnes physiques identifiées ou identifiables : listing clients, données comptables, … en version électronique ou sur support papier.
Le constat est donc simple : si une entreprise traite (stocke, utilise, transmet, …) des données relatives à des personnes identifiées ou identifiables, elle doit respecter le GDPR, qu'elle soit localisée ou non en Europe. Seul compte le fait de cibler des citoyens européens.
Il n’existe pas d’exception pour les PME ou les TPE. Néanmoins, le niveau d’exigence ne sera pas le même en fonction du type de données traitées et le volume de celles-ci. Ainsi, une petite entreprise ne sera pas soumise au même niveau d’exigence qu’une multinationale telle que Facebook. Il n’y a que quelques formalités auxquelles les PME et les TPE échappent.
Comment respecter le GDPR en pratique ?
Etat des lieux et filtrage des données stockées
« Mon entreprise devra respecter le GDPR. Comment fait-on pour s’y préparer et se mettre en ordre pour mai 2018 ? »
La première étape est d’effectuer un état des lieux de tous les types de données que l'entreprise conserve, suivi de l'identification des données à caractère personnel. Comme dit précédemment, il suffit qu’une information puisse être rattachée à une personne identifiable pour être qualifiée de donnée personnelle. Une adresse IP est par exemple considérée comme une donnée à caractère personnel.
Parmi celles-ci, on en distinguera certaines appelées communément « données sensibles ». Un mauvais usage de ces données serait particulièrement dommageable pour la personne, comme, par exemple, des informations relatives à la santé, l’appartenance religieuse ou syndicale, ou encore l’orientation sexuelle. Ces données sont soumises à des règles particulières plus strictes afin d’éviter tout risque de détournement.
Une fois cet inventaire dressé, l'entreprise doit, pour chaque type de données, par exemple une date de naissance, consulter ses clients pour vérifier qu'elle peut conserver ces données.
- Dans quel but l'entreprise dispose-t-elle d'une donnée ? Est-ce (encore) nécessaire de la garder ? S’il n’y a aucune raison précise de la garder, il faut la supprimer ou éventuellement l’anonymiser.
- Quel fondement juridique permet à l'entreprise de traiter cette donnée ? S'il n'y a pas de fondement juridique valable, l'entreprise ne peut pas la garder. Voici les quatre principaux fondements repris dans le GDPR :La personne a donné son autorisation pour que vous utilisiez ses données dans un but précis et uniquement dans ce but (pas d’autorisation générale). La personne doit avoir marqué son accord sur ce que l'entreprise va faire avec ses données.L'entreprise a une obligation légale de conserver ce type de données (par exemple des obligations fiscales).Ces données sont nécessaires pour exécuter un contrat conclu avec la personne (par exemple une adresse de livraison).L'entreprise a un intérêt légitime à utiliser ces données et cela n’est pas (trop) préjudiciable pour la personne (par rapport à sa vie privée par exemple). Cette mise en balance des intérêts doit se faire avec beaucoup de précaution.
- La donnée est-elle exacte et encore d’actualité ? Si ce n’est pas le cas, il faut l’effacer ou essayer de la mettre à jour.
Pour les données que l'entreprise peut garder, il est conseillé de répertorier la réponse aux deux premières questions. Ainsi, elle sait à chaque fois pourquoi elle possède telle ou telle donnée, quel usage en est fait, sur quel fondement juridique, … Cela servira également plus tard à l'entreprise pour se conformer à certaines obligations édictées par le RGPD.
Les principales obligations à respecter
Cet effort de cartographie effectué, il faut encore respecter une série d’obligations qui permettront une gestion responsable des données personnelles. L’idée maitresse de cette nouvelle réglementation est en effet de responsabiliser les entreprises tout en leur imposant moins de formalités inutiles qu’auparavant. On passe en effet à un système de contrôle a posteriori où il faut pouvoir justifier la manière dont sont gérées les données personnelles traitées par l'entreprise et prouver le cas échéant qu'elle a fait consciencieusement ce qui est imposé.
C’est ce qu’on appelle en anglais le principe d’accountability. Pour devenir "accountable" au sens du GDPR, voici les principales obligations à remplir.
- La première étape est de vérifier si l'entreprise doit désigner un délégué à la protection des données. Si toutes les entreprises n’ont pas l’obligation d’en nommer formellement un, il est préférable dans tous les cas qu'une personne spécifique soit chargée de s’occuper de ces questions, par exemple le juriste d’entreprise. Le cas échéant il est possible de faire appel à un conseiller extérieur (consultant, avocat). Il aura principalement pour tâche d’assurer de manière parfaitement indépendante le respect de la législation et la sensibilisation de l’ensemble du personnel de l’entreprise à ces nouvelles règles. De la comptabilité au business en passant par les ressources humaines, tous les services doivent être impliqués.
- Il faut ensuite établir un registre de traitements. Si l'entreprise a suivi les conseils donnés précédemment, il est possible de repartir de l’inventaire des données déjà effectué. Ce registre, qui se présente généralement sous la forme d’un tableau, reprendra pour chaque type de données personnelles une série d’informations sur la manière dont les données sont traitées et comment elles sont gérées chacune spécifiquement. Une nouvelle fois, ce registre n’est pas obligatoire pour toutes les PME. Mais en pratique, cet exercice de cartographie est nécessaire pour respecter les autres obligations qui incombent à une entreprise.
- Sur base de ce registre, il convient d'évaluer les risques et dangers pour les personnes (clients, usagers, …) dont les données sont traitées en cas de vol, d’altération, de suppression, … Afin de limiter ces risques, il faudra mettre en place les mesures de protection nécessaires. Cela passera notamment par une bonne sécurité informatique (mots de passe solides, antivirus, …) et la mise en place d’une politique de bonne gestion de l’information dans l’entreprise. En cas d’incident majeur (vol de données par exemple), il est obligatoire d’en informer la Commission de Protection de la Vie Privée et, dans certains cas, les personnes concernées par les données.
- Ensuite, une réévaluation de la fiabilité et du sérieux des sous-traitants est nécessaire. Par sous-traitant, il faut comprendre les personnes extérieures à l'entreprise qui traitent des données personnelles pour son compte (hébergeur, consultant IT, …). Il faut vérifier que ces sous-traitants offrent des garanties techniques et organisationnelles suffisantes quant au respect des grands principes de bonne gestion (accountability) énumérés précédemment. Ceci doit notamment apparaître dans les contrats conclus avec ces derniers.
- Enfin, il faut envisager les questions liées à l’usage du cloud pour héberger des données personnelles. En principe, il est interdit de mettre les données personnelles dans un cloud dont les serveurs ne sont pas clairement localisés en Europe. Si l'entreprise souhaite stocker ses données hors d’Europe, il est nécessaire de passer par des partenaires qui peuvent fournir des garanties appropriées équivalentes à celles imposées en Europe par le RGPD.
Droit des personnes concernées
Si les entreprises ont une série d’obligations, les personnes à propos desquelles l'entreprise stocke des données ont des droits auxquels elle doit pouvoir répondre dans des délais raisonnables.
En résumé, il existe deux grandes catégories de droits :
- le droit à la transparence,
- le droit de contrôle sur ses données.
Les entreprises ont l’obligation d’informer les personnes au sujet des données qu'elles possèdent à leur sujet et de ce qu’elles en font précisément.
En plus de cette transparence, ces personnes peuvent demander, dans certains cas, que leurs données soient effacées, que l’entreprise leur fournisse une copie de ses données et que certaines données erronées soient corrigées.
Ne pas respecter le RGPD peut coûter très cher
Si l'entreprise n’êtes pas décidée à faire le nécessaire afin de se conformer à ce nouveau cadre juridique pour mai 2018, elle s'expose à des sanctions importantes. Comme indiqué en introduction, l’une des grandes nouveautés sont les moyens de persuasion mis en place.
Si lors d’un contrôle d'une entreprise, suite à des plaintes de certaines personnes par exemple, la Commission de Protection de la Vie Privée constate des manquements, elle peut infliger des amendes allant jusqu'à 20.000.000 d'euros.
Par la suite, il est probable que plusieurs personnes concernées portent plainte contre l'entreprise et exigent des dommages et intérêts. Enfin, la réputation de l'entreprise et la confiance de ses partenaires seront gravement dégradées.
Conclusion
En conclusion, le RGPD s’appliquera à quasi toutes les entreprises dès mai 2018. Pour éviter de figurer parmi les premières entreprises qui seraient sanctionnées pour l'exemple, il convient donc de se mettre en conformité. Les démarches à entreprendre sont certes contraignantes et parfois techniques, mais les risques sont trop grands pour être ignorés.
Dans cette perspective, il est conseillé de consulter le site de l'Autorité de protection des données où le RGPD est présenté et expliqué de manière détaillée. Si une entreprise de dispose pas des ressources internes pour lancer le processus de régularisation, il est conseillé de faire appel à des prestataires extérieurs spécialisés.