RGPD : les nuances de la nouvelle règlementation européenne décryptées par ATN Group et Leclere & Louvier

Parce que la RGPD est une règlementation complexe, reposant sur un texte long et soumis à interprétation, et qui surtout ne remplace pas la loi française Informatique et Liberté de 1978, ATN Group et le cabinet d’avocats Leclere et Louvier, organisaient le 23 janvier dernier dans le cadre du festival Transfo un petit déjeuner pour en décrypter les subtilités. En synthèse :

RGPD : tout le monde est concerné, même hors Europe, dès lors qu’il s’agit de données de citoyens européens

La RGPD est une règlementation européenne qui entre en vigueur dans toute l’UE à partir du 25 mai prochain, mais qui surtout dépasse largement les frontières européennes, puisqu’elle s’applique dès lors que les services proposés visent des citoyens européens; Les GAFA sont donc évidemment les premiers visé …

Ce qui ne change pas : les grands principes de consentement et d’information des usagers de la loi Informatique et liberté sont maintenus et renforcés.
Ce qui change : la CNIL prend un vrai rôle de contrôle, avec la possibilité d’appliquer des avertissements et des sanctions qui peuvent être sévères

Ce qui change avec la RGPD : des droits plus importants pour les citoyens, des obligations plus strictes pour les entreprises, et des sanctions plus sévères, mais avec un allègement des formalités administratives

Les impacts sur l’entreprise de la RGPD

  • allègement des formalités administratives, puisque sauf exception pour les données les plus sensibles et les données de santé, la déclaration CNIL n’est plus obligatoire
  • information du citoyen : chacun doit être informé de manière claire et explicite sur le moyen par lequel ses données sont collectées,  la nature de ces données,  la finalité des traitements qui vont être appliqués, le temps de stockage, etc
  • consentement : il doit être libre (le service doit être rendu au citoyen même s’il ne donne pas son consentement pour l’exploitation de ses données personnelles …), éclairé, et spécifique (ce consentement sur les données personnels doit donc faire l’objet d’un document contractuel distinct des CGV / CGU). Et les preuves de consentement doivent être gardées
  • protection des données : l’entreprise doit mettre en œuvre des moyens technique de protection contre la perte, la destruction, et les accès non autorisés
  • minimisation des données : seules les données nécessaires au service rendu ont le droit d’être collectées
  • limite de conservation : le données clients ne doivent pas être conservées au delà de 3 ans après la dernière transaction / 2 ans pour les prospects après les derniers contacts. cela nécessite un nettoyage obligatoire et régulier de ses données. Un archivage est autorisé en fonction des données et des motifs d’archivage, mais avec des accès très restreints (ex données de paye pour pouvoir fournir les informations à un ancien salarié pour le calcul de ses droits). Sinon, la limite légale de 5 ans s’applique.
  • liceité du traitement : l’entreprise doit être en mesure de prouver l’intérêt légitime du traitement des données personnelles

Les nouveaux droits des utilisateurs sur leurs données personnelles

  • accès
  • rectification
  • opposition : une personne a toujours le droit de se désinscrire d’une mailing-list de prospection commerciale, sauf s’il s’agit d’une adresse générique d’entreprises type contact@
  • effacement
  • portabilité

Les éditeurs de logiciel devront donc prévoir des fonctionnalités permettant à leurs clients de permettre eux-mêmes à leurs utilisateurs d’exercer l’ensemble de ces droits …

Concrètement, ce qu’il faut faire

  • prévoir un document détaillé de Politique de confidentialité, et indépendant des autres documents contractuels, permettant d’acquérir le consentement des usagers
  • tenir un registre des traitements
  • faire une déclaration auprès de la CNIL pour les données sensibles et de santé
  • en cas de profilage des usagers, ou de traitement à grande échelle, obligation de réaliser une étude d’impact pour évaluer la conformité RGPD des traitements
  • s’assurer de la conformité de ses sous-traitants et pouvoir prouver la sienne
  • désigner un DPO si on est une collectivité, si l’activité de l’entreprise est basée sur la donnée, si on traite beaucoup de données ou des données sensibles

Les sanctions

  • financières : avant limitées à 150K€, voire 300K€ en cas de récidive, les sanctions CNIL peuvent aujourd’hui aller jusqu’à 20 millions et 4% du CA global monde
  • pénales : jusqu’à 5 ans de prison et 300K€ d’amende
  • organisationnelles : la CNIL peut interrompre le traitement des données, voire les supprimer en ultime recours, avec un risque majeur d eparalysie de l’entreprise

Sanctions 

Financières, arrêt traitement des données et ultime recours effacement des données