GDPR, quel impact pour les prestataires de services digitaux ?

Le GDPR impacte la gestion des données personnelles des prestataires de services digitaux. Olivier De Doncker, Digital Wallonia Champion et Président de la fédération des entrepreneurs du web (FeWeb), souligne l’importance de ces changements de leur collecte à leur transfert.

Beaucoup d’entreprises wallonnes peinent encore à mesurer l’ampleur des changements apportés par le Règlement Général de Protection des données (GDPR). Ce nouveau cadre législatif entrera pourtant en vigueur dès le 25 mai prochain.

Les entreprises prestataires de services numériques disposent très souvent de données relatives au personnel, clients et prospects. Cette combinaison les amène à assumer à la fois le rôle de sous-traitant et de responsable du traitement des données.

Le traitement des données à caractère personnel doit avoir un fondement juridique (« fondement du traitement »).

Cette condition est remplie si l’entreprise peut répondre affirmativement à l’une des trois questions suivantes :

1. La personne concernée a-t-elle donné son consentement ? (par exemple, lorsqu'elle a rempli un formulaire en ligne).
2. Le client a-t-il signé un contrat qui permet l’usage de ses données ? (par exemple, le traitement des données à caractère personnel lors de l'achat de produits et de services).
3. Le responsable du traitement a-t-il un intérêt légitime à utiliser ces données ? (par exemple, le traitement de données à caractère personnel pour le paiement des salaires).

Si aucune de ces conditions n’est remplie, il faut obtenir le « consentement libre, spécifique, éclairé et univoque » de la personne concernée.

• Libre : le consentement ne peut être associé à l’obtention d’un avantage : usage de cases pré-cochées, participation à un concours, bénéficie d’une réduction, etc.
• Spécifique : la finalité de l’usage des données doit être claire. Concrètement, un formulaire doit comporter les coordonnées de l’entreprise, ainsi que la ou les finalités de la collecte des données et les droits des personnes concernées.
• Éclairé : il faut communiquer clairement la politique de confidentialité qui est obligatoire.
• Univoque : le consentement doit être le fruit d’un acte positif clair. Le silence ou l’absence de réaction dans le chef de la personne concernée, tout comme le fait de continuer à utiliser un service, ne peut tenir lieu de consentement.  En cas de partage des données collectées avec des tiers (partenaires, …), il faut solliciter un consentement distinct. Pour les données des enfants, le consentement des parents ou d’un tuteur est nécessaire. Au niveau européen, le statut d’enfant est accordé aux personnes âgées de moins de 16 ans. Comme la législation nationale prévaut, cet âge peut varier d’un pays européen à l’autre.

Plusieurs mesures doivent être adoptées pour procéder à l’enregistrement des données.

Le responsable du traitement et le sous-traitant doivent y indiquer et documenter toutes les opérations de traitement de données personnelles effectuées dans leur organisation.

En plus des données statistiques relatives au traitement effectué, l’organisation doit également tenir un journal de bord  de l'utilisation de ces données. Par exemple, si les données ont été transférées à un tiers pour une action spécifique ou si une violation des données a été détectée.

Un contrat doit être souscrit entre les parties prenantes afin de les identifier et de définir leurs responsabilités. Cela peut aussi prendre la forme d’une annexe au contrat ou un bon de commande existant. Dans le cas d’outils web, l’acceptation de ces conditions peut également être effectuée en ligne.

Pour qui ?

Cette mesure concerne le client, le prestataire de services numériques et ses éventuels sous-traitants (applications et outils utilisés dans le cadre de l'exécution de la mission, etc.).

Il important de souligner qu’un sous-traitant demeure responsable de ses partenaires de travail. Il est donc essentiel de collaborer exclusivement avec des partenaires en conformité avec les prescriptions du GDPR.

Par qui ?

En principe, le client détermine les instructions et les limitations des opérations de traitement des données. C’est donc à lui de proposer le contrat de sous-traitance. Dans la pratique, ce contrat doit toujours être vérifié avec le client.

Quoi ?

Le contrat doit documenter les flux et les procédures de traitement des données personnelles au sein de l’entreprise.

Voici quelques exemples :

• Le traitement d’une demande de consultation d’un consommateur.
• Le déroulement de la communication avec le responsable du traitement (le client).
• La personne en charge qui traite cette demande.
• La personne qui a accès aux bases de données pour collecter toutes les données des personnes concernées.
• Les délais du traitement des demandes (y compris pendant la période de vacances).

Il est important de souligner que les données ne peuvent pas franchir les frontières de l’Union Européenne. La FeWeb recommande aux entreprises belges et européennes de collaborer (hébergement, stockage des données, etc). Si les données sont transférées en dehors de l’UE, des mesures complémentaires doivent être adoptées et le consentement de la personne concernée doit être obtenu.

Une analyse d’impact relative à la protection des données (AIPD) doit être réalisée en cas de données comportant un risque de confidentialité élevé (données sensibles,etc).

Les situations qui nécessitent une AIPD sont définies par le G29 (l’association des commissions nationales de protection des données) pour pallier le manque de précision du RGDP à ce sujet.

Le traitement des données à grande échelle doit être confié à un Délégué à la Protection des Données (DPD). Il peut s'agir d’un collaborateur de l’entreprise ou d’un consultant externe. Il est essentiel que cette personne puisse travailler « de manière indépendante ».

En principe, les PME ne doivent pas désigner un DPD, à moins qu’elles ne répondent de manière affirmative à l’un des trois critères.

Avec ou sans DPD, il est recommandé à chaque entreprise de confier la responsabilité de la protection des données dans l’entreprise à une personne déterminée.

La responsabilité de la protection des données relève tant du sous-traitant technique que de l’usage qu’en fait l'entreprise (choix des identifiants et des mots de passe, etc.).

Qu’il s’agisse d’une synchronisation automatique entre les applications ou d’un transfert manuel moyennant l’envoi de fichiers à des tiers, des règles spécifiques doivent être appliquées.

Actuellement, il n’existe pas de certificat agréé officiellement qui indique la conformité  d’une application, d’un outil ou d’une entreprise au GDPR. Il faut donc le spécifier dans les conditions et les contrats conclus avec les partenaires. Il faut aussi effectuer un contrôle régulier de ceux-ci par le biais d’audits.

Les outils étrangers ne respectent pas les règles européennes par défaut. Les applications américaines suivent, en principe, le Privacy Shield (ou bouclier de protection des données).

Le partenaire américain doit donc offrir des garanties complémentaires, par exemple via une autorisation de l’Autorité de protection des données ou via un certificat d’homologation de la conformité. Il faudra également veiller à informer les personnes concernées si les données à caractère personnel sont transmises ou non dans des pays situés en dehors de l’UE.

Si les sous-traitants (techniques) d’une entreprise collaborent avec des sous-traitants secondaires, le responsable du traitement doit accorder son consentement à cet effet. Cela devra donc figurer dans le contrat de sous-traitance entre le responsable du traitement et le sous-traitant.

Pour éviter la contrainte de la modification du contrat à chaque changement, l’autorisation aux sous-traitants (secondaires) peut être gérée par voie électronique par le biais d’un site Web sécurisé par exemple.

La mise en conformité du GDPR dépasse le simple respect de normes réglementaires. Il impacte aussi l’organisation de l’entreprise par l’adoption de nouveaux processus. Autant s’y préparer dès maintenant.