Assurer la conformité des données sensibles au RGPD

Aperçu du RGPD

Le règlement général sur la protection des données

Le règlement général sur la protection des données (RGPD) est considéré comme l’ensemble de règlements sur la protection des données le plus important au monde. Il unifie les lois sur la confidentialité des données dans les pays membres de l’UE et signale la position ferme de l’Europe sur la confidentialité des données. Le RGPD a été adopté à la fois par le Parlement européen et le Conseil européen en avril 2016 et est devenu exécutoire à partir de mai 2018.

Le règlement a une grande portée, couvrant chaque aspect de l’utilisation des données, y compris la collecte, le stockage, la récupération, la modification et la destruction. Il crée également une responsabilité personnelle pour les « responsables du traitement » et les « sous-traitants » et établit des droits clairs pour les consommateurs afin qu’ils puissent agir en cas d’utilisation abusive des informations.

Suite au Brexit, les règles ne s’appliquent plus aux données collectées sur les consommateurs basés au Royaume-Uni. Les données personnelles collectées sur les résidents du Royaume-Uni sont désormais soumises à la loi sur la protection des données de 2018. Cependant, dans la pratique, les mêmes principes, droits et obligations fondamentaux en matière de protection des données du RGPD existent toujours. 

Entreprises impactées

Le RGPD s’applique aux traitements effectués par des organisations opérant au sein de l’UE. Il s’applique également aux organisations situées en dehors de l’UE qui collectent des données auprès des résidents de l’UE, leur font de la publicité ou les servent, ainsi qu’aux entreprises qui traitent des données dans l’UE. 

Pour que le RGPD soit applicable, il n’est pas nécessaire que les entreprises aient des clients européens ou qu’elles ciblent activement des clients européens. L’intention d’offrir des biens et des services (comme la livraison dans le monde entier, même sans mentionner explicitement l’UE), nécessite la conformité avec le RGPD – même sans aucune activité économique.

La juridiction du RGPD ne s’applique pas aux entreprises dont le contrôleur de données:

• Fait partie d’un organisme gouvernemental ou d’un organisme chargé de l’application de la loi qui collecte des données à des fins de prévention de la criminalité, d’enquête ou de poursuites judiciaires. 
• Traite des données liées à la défense, à la sécurité et/ou à la sécurité publique
• Traite des données liées à l’intérêt national (social, santé, budget, sécurité nationale, etc.)

Types de données couvertes

Le RGPD définit les données personnelles comme suit : 

 » Une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques à l’identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale de cette personne physique. « 

Bien qu’une liste complète ne soit pas fournie, selon la définition ci-dessus, les données personnelles sont toutes les informations qui se rapportent à un individu qui peut être directement ou indirectement identifié. Cela inclut : le nom, l’adresse électronique, les données financières, les informations de localisation, l’origine ethnique, le sexe, les données biométriques, les croyances religieuses, les cookies, les opinions politiques – et toute autre donnée personnellement identifiable.

Exigences de conformité

Les directives détaillées pour assurer la conformité au RGPD sont structurées autour des 7 principes suivants : 

1. Légalité, équité et transparence : Les personnes dont les données sont collectées et traitées (« personnes concernées ») doivent être informées à l’avance. À cette fin, les organisations doivent mettre à disposition une politique de confidentialité claire et concise et obtenir un contenu explicite de la part des consommateurs.
2. Limitation de la finalité : Les entreprises doivent traiter les données uniquement aux fins légitimes spécifiées à la personne concernée lors de la collecte.
3. Minimisation des données : Seules les données absolument nécessaires aux fins spécifiées doivent être collectées – et toutes ces données doivent être protégées au mieux des capacités de l’entreprise.
4. Exactitude : Les données personnelles figurant dans les fichiers doivent être exactes et à jour.
5. Limitation du stockage : Les données d’identification personnelle ne peuvent être stockées que le temps nécessaire à la réalisation de l’objectif spécifié.
6. Intégrité et confidentialité : Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple, en utilisant le cryptage).
7. Responsabilité : Il incombe au responsable du traitement des données d’être en mesure de démontrer la conformité au RGPD de l’ensemble de ces principes.

Par ailleurs, le RGPD stipule, entre autres, que les entreprises doivent : 

• Désignez un délégué à la protection des données (DPD) qui supervisera la conformité. Le DPD doit être signalé à l’autorité de contrôle de la protection des données responsable. Cette personne sera chargée de gérer les droits des personnes concernées en temps utile. 
• Réglementer la responsabilité entre le contrôleur des données et le sous-traitant. Pour cette relation d’affaires, un accord de traitement des données (« DPA ») est nécessaire. Un DPA définit des règles sur la manière dont le Processeur peut utiliser les données personnelles pour atteindre l’objectif de l’accord commercial.
• Des mesures doivent également être prises pour minimiser le risque de violation des données, qui est défini comme la perte, la destruction ou l’accès non autorisé à des données personnelles. En cas de violation des données, des processus doivent être mis en place pour gérer la violation dans un délai de 72 heures. Il peut s’agir d’alerter à la fois l’autorité de contrôle et les personnes concernées. 
• Analyser les risques et impacts possibles sur les droits des citoyens pour l’utilisation prévue des données personnelles. Les entreprises doivent procéder à une évaluation des risques si elles comptent utiliser les données personnelles de façon innovante, en changeant de fournisseur de cloud ou en créant de nouveaux services. Ce processus s’appelle une analyse d’impact sur la protection des données (« DPIA ») et est défini à l’article 35 du RGPD.

En vertu du RGPD, les « personnes concernées » ont les droits suivants en matière de protection de la vie privée :

• le droit d’être informé et de savoir quelles données sont conservées dans le dossier
• le droit d’accès à ces données
• le droit de rectification, ou de correction des erreurs dans leurs données
• le droit à l’effacement ou à la suppression
• le droit de restreindre le traitement
• le droit à la portabilité des données
• le droit de s’opposer à l’utilisation de leurs données
• droits relatifs à la prise de décision automatisée et au profilage

Mise en œuvre et sanctions

À l’article 83 du RGPD, l’UE décrit les infractions et les amendes administratives qui font partie du RGPD. Chaque pays dispose de ses propres autorités de collecte de données indépendantes qui utilisent les critères pour déterminer l’amende associée à une infraction. 

Le RGPD divise les infractions en deux niveaux, chacun ayant ses propres limites d’amende : 

• Les infractions de niveau 1 sont passibles d’une amende pouvant aller jusqu’à 10 millions d’euros (10,5 millions de dollars) ou 2 % du chiffre d’affaires de l’entreprise pour l’année précédente, le montant le plus élevé étant retenu. 
• Les infractions de niveau 2 sont plus graves et donnent lieu à des amendes plus élevées, pouvant aller jusqu’à 20 millions d’euros (21 millions de dollars) ou 4 % du chiffre d’affaires de l’année précédente, le montant le plus élevé étant retenu.