Les entreprises vont devoir mettre en conformité leurs procédures et leur système d’information pour appliquer la nouvelle réglementation européenne, connue sous l’acronyme GDPR en anglais et RGPD en français. Celle-ci est entrée en vigueur le 24 mai 2016.
Les entreprises doivent être en conformité au plus tard le 24 mai 2018.
Je vous livre ici, une première synthèse des 99 articles qui composent cette nouvelle réglementation.
La carte mentale ci-dessus est accessible en suivant ce lien, pour les lecteurs ayant une approche linéaire, voici l’essentiel des points à retenir.
La réforme sur la protection des données à caractère personnel poursuit 3 objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants)
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Les dispositions générales
L’objectif est de protéger les données à caractère personnel de traitements automatisés en tout ou partie ou de traitements non automatisés.
Cette réglementation concerne le territoire de l’Union Européenne et tout territoire sur lequel un établissement participe à la collecte des données.
Pour éviter toute ambiguïté ou interprétation, je vous invite à prendre connaissance des 26 terminologies officielles dans le chapitre Annexe.
Les principes
La réglementation doit respecter les principes suivants :
- Le traitement des données à caractère personnel doit-être licite, loyale et transparent.
- Les données doivent être collectées pour des finalités déterminées, adéquates, pertinentes et limitées aux finalités déterminées. De plus, elles doivent être exactes ou tenue à jour, conservées le temps nécessaire et identifiables pour chaque individu concerné et surtout protégées contre un traitement non autorisé.
- En ce qui concerne la licéité du traitement, l’établissement doit obtenir le consentement de la personne concernée si elle est âgée d’au moins 16 ans ou le consentement du titulaire de la responsabilité de la personne si l’âge est inférieur à 16 ans.
- Le traitement doit obligatoirement participer à l’exécution d’un contrat, au respect d’obligation légale, aux intérêts vitaux de la personne concernée, à l’exécution d’une mission d’intérêt public et aux fins d’intérêts légitimes poursuivis par le responsable du traitement.
- Le consentement de la personne concernée impose que le responsable du traitement soit en mesure de démontrer la preuve de la personne concernée. La personne a le droit de retirer son consentement à tout moment et le responsable du traitement doit informer clairement la personne concernée si l’exécution d’un contrat nécessite le traitement de données à caractère personnel.
- Les données suivantes sont interdites dans les traitements, notamment si le consentement et la licéité ne sont pas démontrés. Le responsable du traitement et les sous-traitants ne doivent en aucun cas traiter les données concernant l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, l’orientation sexuelle, les données génétiques, biométriques et les condamnations pénales et les infractions.
Les droits de la personne concernée
Le responsable du traitement prend des mesures appropriées pour fournir en toute transparence toute les Informations visées aux articles 13 et 14 ainsi que pour procéder à toute communication au titre des articles 15 à 22 et de l’article 34.
Le responsable du traitement ne doit en aucun cas demander un paiement pour fournir les informations. Il doit fournir un accès aux informations suivantes :
- identité et coordonnées du responsable ou du représentant du traitement
- coordonnées du délégué à la protection des données
- les finalités et la base juridique du traitement
- les destinataires du traitement
- la durée de conservation
- l’existence d’une prise de décision automatisée y compris l’usage de profilage.
La personne concernée a le droit de demander la rectification et l’effacement de ses données personnelles, telles que son droit à l’oubli si il ne va pas à l’encontre, de la liberté d’expression et d’information, au respect d’une obligation légale , dans la sauvegarde des intérêts publics, à des fins archivistes et pour garantir la défense de droits en justice.
Le responsable du traitement doit informé la personne concernée de toutes modifications, tout effacement, toute limitation de traitement des données à caractère personnel. Il doit en outre garantir le droit à la portabilite des données de la personne concernée.
La personne concernée a également le droit de ne pas faire l’objet d’un traitement automatisé et le responsable du traitement doit tout mettre en œuvre pour préserver les droits et libertés de la personne concernée par un traitement automatisé.
En revanche, les droits individuels peuvent être ouverts dans les situations suivantes :
- Securité nationale
- Défense nationale
- Securité publique
- Préventions et détections d’infractions
- Intérêts publics
- Indépendance de la justice
- Respects des professions réglementées
- Mission de contrôle
- Protection des droits et libertés d’autrui
- L’exécution des demandes de droit civil
Les obligations du responsable du traitement et sous-traitant
Ils doivent mettre en œuvre des mesures pour être conforme à la réglementation au niveau organisationnel et technique.
La protection des données à caractère personnel doit être pris en compte dès la conception des traitements.
Le responsable du traitement et le sous-traitant doivent obligatoirement nommer un responsable de la protection des données et tenir un registre des activités des traitements effectués.
Ce registre doit-être composé des informations suivantes :
- le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
- les finalités du traitement
- une description des catégories de personnes concernées et des catégories de données à caractère personnel
- les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
- le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées
- dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
- dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
L’organisation doit formaliser et diffuser un Code de conduite. Ce code doit aborder et répondre aux points suivants :
- le traitement loyal et transparent des données à caractère personnel
- décrire les intérêts légitimes poursuivis par les responsables du traitement dans des contextes spécifiques
- décrire comment est effectuée la collecte des données à caractère personnel
- la méthode utilisée pour la pseudonymisation des données à caractère personnel
- quelles sont les informations communiquées au public et aux personnes concernées
- comment est régit l’exercice des droits des personnes concernées
- qu’elles sont les informations communiquées aux enfants et la protection dont bénéficient les enfants et la manière d’obtenir le consentement des titulaires de la responsabilité parentale à l’égard de l’enfant
- la gestion des mesures et des procédures visées aux articles 24 et 25 et les mesures visant à assurer la sécurité du traitement visées à l’article 32
- la procédure mise en œuvre pour émettre la notification aux autorités de contrôle des violations de données à caractère personnel et la communication de ces violations aux personnes concernées
- la procédure de transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales
- les procédures extrajudiciaires et autres procédures de règlement des litiges permettant de résoudre les litiges entre les responsables du traitement et les personnes concernées en ce qui concerne le traitement, sans préjudice des droits des personnes concernées au titre des articles 77 et 79.
- décrire le mécanisme de certification mis en œuvre éventuellement par le responsable de traitement ou du sous-traitant
- la procédure utilisée pour répondre aux autorités de contrôle
- les règles adoptées pour la securité des traitements, notamment:
- la pseudonymisation et le chiffrement des données à caractère personnel
- les moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement
- les moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique
- la procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement.
- la procédure pour notifier dans les 72 h les autorités de contrôle en cas de violation
- la procédure pour notifier dans les 72 h les personnes concernées par le cas de violation
- Mettre en place les éléments et les personnes apte à faire une analyse d’impacts au niveau corporels, matériels et moraux.
Les transferts des données
Le responsable de traitement effectue les transferts de données à caractère personnel si ils sont fondés sur une décision d’adéquation respectant l’Etat de droit, le Respect des droits de l’homme et des libertés fondamentales et l’Existence d’autorités de contrôle.
Le responsable doit s’assurer de l’existence de garanties appropriées, telles que des accords entreprises, internationaux et des accords de coopération internationale dans la protection des données à caractère personnel.
Autorités de contrôle
Elles sont implantées dans chaque pays et indépendantes. Elles sont regroupées pour coopérer ensemble au sein du groupe G29.
Voici la liste des Missions opérées par une autorité de contrôle :
- contrôle l’application du présent règlement et veille au respect de celui-ci
- favorise la sensibilisation du public et sa compréhension des risques, des règles, des garanties et des droits relatifs au traitement. Les activités destinées spécifiquement aux enfants font l’objet d’une attention particulière
- conseille, conformément au droit de l’État membre, le parlement national, le gouvernement et d’autres institutions et organismes au sujet des mesures législatives et administratives relatives à la protection des droits et libertés des personnes physiques à l’égard du traitement
- encourage la sensibilisation des responsables du traitement et des sous-traitants en ce qui concerne les obligations qui leur incombent en vertu du présent règlement
- fournit, sur demande, à toute personne concernée des informations sur l’exercice des droits que lui confère le présent règlement et, si nécessaire, coopère, à cette fin, avec les autorités de contrôle d’autres États membre
- traite les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, conformément à l’article 80; l’autorité examine également l’objet de la réclamation, dans la mesure nécessaire, et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire
- coopère avec d’autres autorités de contrôle, y compris en partageant des informations, et fournit une assistance mutuelle dans ce cadre en vue d’assurer une application cohérente du présent règlement et des mesures prises pour en assurer le respect
- effectue des enquêtes sur l’application du présent règlement, y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique
- suit les évolutions pertinentes, dans la mesure où elles ont une incidence sur la protection des données à caractère personnel, notamment dans le domaine des technologies de l’information et de la communication et des pratiques commerciales
- adopte les clauses contractuelles types visées à l’article 28, paragraphe 8, et à l’article 46, paragraphe 2, point d)
- établit et tient à jour une liste en lien avec l’obligation d’effectuer une analyse d’impact relative à la protection des données en application de l’article 35, paragraphe 4
- fournit des conseils sur les opérations de traitement visées à l’article 36, paragraphe 2
- encourage l’élaboration de codes de conduite en application de l’article 40, paragraphe 1, rend un avis et approuve les codes de conduite qui fournissent des garanties suffisantes, en application de l’article 40, paragraphe 5
- encourage la mise en place de mécanismes de certification ainsi que de labels et de marques en matière de protection des données en application de l’article 42, paragraphe 1, et approuve les critères de certification en application de l’article 42, paragraphe 5
- procède, le cas échéant, à l’examen périodique des certifications délivrées conformément à l’article 42, paragraphe 7
- rédige et publie les critères d’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43
- procède à l’agrément d’un organisme chargé du suivi des codes de conduite en application de l’article 41 et d’un organisme de certification en application de l’article 43
- autorise les clauses contractuelles et les dispositions visées à l’article 46, paragraphe 3
- approuve les règles d’entreprise contraignantes en application de l’article 47
- contribue aux activités du comité
- tient des registres internes des violations au présent règlement et des mesures prises conformément à l’article 58, paragraphe 2
- s’acquitte de toute autre mission relative à la protection des données à caractère personnel.
Les autorités de contrôle exercent les pouvoirs suivants :
- ordonner au responsable du traitement et au sous-traitant, et, le cas échéant, au représentant du responsable du traitement ou du sous-traitant, de lui communiquer toute information dont elle a besoin pour l’accomplissement de ses missions
- mener des enquêtes sous la forme d’audits sur la protection des données
- procéder à un examen des certifications délivrées en application de l’article 42, paragraphe 7
- notifier au responsable du traitement ou au sous-traitant une violation alléguée du présent règlement
- obtenir du responsable du traitement et du sous-traitant l’accès à toutes les données à caractère personnel et à toutes les informations nécessaires à l’accomplissement de ses missions
- obtenir l’accès à tous les locaux du responsable du traitement et du sous-traitant, notamment à toute installation et à tout moyen de traitement, conformément au droit de l’Union ou au droit procédural des États membres.
Coopération et cohérence des autorités de contrôle
Le G29 travaille régulièrement sur la coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées. Elles se doivent assistance mutuelle et organisent des opérations conjointes.
Voies de recours
Quelles sont les responsabilités et sanctions envisageables :
- Le droit d’introduire une réclamation auprès d’une autorité de contrôle ou à un recours juridictionnel effectif contre une autorité de contrôle, un responsable du traitement, un sous-traitant
- Le droit à réparation et responsabilité en imposant des amendes administratives pouvant s’élever jusqu’à 20 000 000 € ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent
Les dispositions particulières
Pour finaliser cette revue des articles de la nouvelle réglementation, certaines activités peuvent exercer un droit de réserve sur le respect in extenso du traitement des données à caractère personnel notamment:
- le traitement au regard de la liberté d’expression et d’information
- le traitement et l’accès du public aux documents officiels
- les garanties et dérogations applicables aux traitements à des fins archivistiques d’intérêt public, de recherche scientifique, de recherche historique ou à des statistiques
- les obligations de secret pour respecter la Securité et La Défense nationale et la Securité publique
- les règles existantes des églises et associations religieuses en matière de protection des données.
Nous voici arrivés au bout de cette synthèse. Comme vous avez pu en prendre conscience à la lecture de cet article, le travail pour être conforme reste à faire.
Les nombreuses tâches et les impacts que cela entraînent pour votre organisation sont nombreuses, la date d’échéance est de plus en plus proche chaque jour !
Et vous ? êtes-vous déjà conforme avec cette nouvelle réglementation ? Rendez-vous au 25 mai 2018 😉
Annexe
Les Terminologies officielles
Voici à ce jour, les termes officiels qu’il convient de s’approprier pour bien comprendre le fond et le sens de cette nouvelle réglementation.
- «données à caractère personnel», toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée») ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale
- «traitement», toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction
- «limitation du traitement», le marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur
- «profilage», toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique
- «pseudonymisation», le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable
- «fichier», tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique
- «responsable du traitement», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l’Union ou le droit d’un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l’Union ou par le droit d’un État membre
- «sous-traitant», la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement
- «destinataire», la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement
- «tiers», une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel
- «consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement
- «violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données
- «données génétiques», les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question
- «données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques
- «données concernant la santé», les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne
- «établissement principal», en ce qui concerne un responsable du traitement établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement de données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union et que ce dernier établissement a le pouvoir de faire appliquer ces décisions, auquel cas l’établissement ayant pris de telles décisions est considéré comme l’établissement principal.
- en ce qui concerne un sous-traitant établi dans plusieurs États membres, le lieu de son administration centrale dans l’Union ou, si ce sous-traitant ne dispose pas d’une administration centrale dans l’Union, l’établissement du sous-traitant dans l’Union où se déroule l’essentiel des activités de traitement effectuées dans le cadre des activités d’un établissement du sous-traitant, dans la mesure où le sous-traitant est soumis à des obligations spécifiques en vertu du présent règlement
- «représentant», une personne physique ou morale établie dans l’Union, désignée par le responsable du traitement ou le sous-traitant par écrit, en vertu de l’article 27, qui les représente en ce qui concerne leurs obligations respectives en vertu du présent règlement
- «entreprise», une personne physique ou morale exerçant une activité économique, quelle que soit sa forme juridique, y compris les sociétés de personnes ou les associations qui exercent régulièrement une activité économique
- «groupe d’entreprises», une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle
- «règles d’entreprise contraignantes, les règles internes relatives à la protection des données à caractère personnel qu’applique un responsable du traitement ou un sous-traitant établi sur le territoire d’un État membre pour des transferts ou pour un ensemble de transferts de données à caractère personnel à un responsable du traitement ou à un sous-traitant établi dans un ou plusieurs pays tiers au sein d’un groupe d’entreprises, ou d’un groupe d’entreprises engagées dans une activité économique conjointe
- «autorité de contrôle», une autorité publique indépendante qui est instituée par un État membre en vertu de l’article 51
- «autorité de contrôle concernée», une autorité de contrôle qui est concernée par le traitement de données à caractère personnel parce que:
- le responsable du traitement ou le sous-traitant est établi sur le territoire de l’État membre dont cette autorité de contrôle relève
- des personnes concernées résidant dans l’État membre de cette autorité de contrôle sont sensiblement affectées par le traitement ou sont susceptibles de l’être ou
- une réclamation a été introduite auprès de cette autorité de contrôle
- «traitement transfrontalier»,
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres, ou
- un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres
- «objection pertinente et motivée», une objection à un projet de décision quant à savoir s’il y a ou non violation du présent règlement ou si l’action envisagée en ce qui concerne le responsable du traitement ou le sous-traitant respecte le présent règlement, qui démontre clairement l’importance des risques que présente le projet de décision pour les libertés et droits fondamentaux des personnes concernées et, le cas échéant, le libre flux des données à caractère personnel au sein de l’Union
- «service de la société de l’information», un service au sens de l’article 1er, paragraphe 1, point b) , de la directive (UE) 2015/1535 du Parlement européen et du Conseil
- «organisation internationale», une organisation internationale et les organismes de droit public international qui en relèvent, ou tout autre organisme qui est créé par un accord entre deux pays ou plus, ou en vertu d’un tel accord.
- source medium