Depuis plusieurs années, il ne vous aura pas échappé qu’un nouveau terme juridique a fait son apparition dans le domaine de l’IT : le RGPD. Mais de quoi s’agit-il ? Comment s’applique-t’il et à qui ? Dans cet article nous vous proposons une mise en lumière des principaux aspects de ce texte de références en matière de protection des données personnelles en Europe.
Introduction au RGPD
La définition du RGPD
Le Règlement Général sur la Protection des Données, dit RGPD, est un règlement de l’Union Européenne ayant pour but de renforcer et d’unifier la protection des données à caractère personnel au sein des pays membres de l’UE. Cet acte juridique est entré en vigueur en 2018 et est depuis lors une disposition obligatoire pour chaque organisation – que cela soit des entreprises privées ou des administrations publiques établies dans l’Union Européenne, ou qui procèdent au traitement de données à caractère personnel d’un résident de l’UE.
Les principaux objectifs du RGPD
Nous pouvons établir deux objectifs distincts au RGPD : le renfort et l’unification de la protection des données personnelles.
- Le renfort déjà, car en plus de rappeler que la protection de ses données personnelles est un droit fondamental dans l’Union Européenne, le RGPD établi un cadre légal strict pour garantir cette protection. Cela garanti aux résidents de l’UE des droits vis-à-vis de leurs données personnelles ainsi qu’un ensemble d’obligations pour les organismes acteurs du traitement de ces données.
- L’unification aussi, car l’objectif derrière l’adoption par l’Union Européenne du RGPD était l’harmonisation du cadre légal applicable à la protection des données entre les vingt-sept états membres de l’UE sans que ces derniers aient besoin de transposer la loi dans leur droit national. À ce titre, le RGPD s’applique de façon uniforme sur l’ensemble du territoire de l’Union Européenne.
Les principes fondamentaux du RGPD
Les motivations derrières le RGPD étant expliquées, entrons maintenant dans le vif du sujet… En quoi consiste cette loi ? Les règles relatives à la protection des données sont nombreuses mais nous vous proposons ici un résumé des principaux aspects qui constituent le RGPD.
Licéité, loyauté et transparence
Tout traitement des données à caractère personnel doit être licite et loyal. Qu’est-ce que cela veut dire ? Cela implique que ce traitement n’est possible que s’il satisfait l’une des conditions suivantes :
- L’individu a consenti au traitement de ses données personnelles pour un ensemble de finalités clairement établies.
Les données personnelles sont traitées tout simplement parce que la personne concernée par ces données a donné son accord. Mais ce consentement ne s’applique que pour les objectifs qui ont été clairement énoncés à la personne. - Le traitement de données est nécessaire pour l’exécution d’un service auquel l’individu a souscrit.
Quand nous attendons d’un organisme qu’il nous fournisse un service, celui-ci peut nécessiter un traitement de nos données personnelles. Bien évidement ce traitement doit être en lien avec le service rendu. - Le traitement des données est nécessaire au respect d’une obligation légale auquel l’acteur du traitement est soumis.
Il peut s’agir pour l’organisation d’accéder à une demande de données personnelles formulées par des autorités compétentes. Ces obligations légales varient d’un pays à un autre.
Il existe d’autres conditions possibles rendant le traitement licite en particulier si le traitement est nécessaire à la sauvegarde d’intérêts vitaux. Mais ce sont des cas très spécifiques, la majorité des cas de figure rendant un traitement licite rentrent dans l’une des trois conditions fixées ci-dessus.
Quel que soit le motif du traitement, la personne concernée devra avoir en permanence la possibilité d’être informée de la nature des données traitées ainsi que de la finalité du traitement qui sera effectué. Ce droit doit lui permettre d’avoir accès dans un délai raisonnable à des informations concernant ses données personnelles qui soient claires, simples à comprendre et communiquées à l’écrit. C’est le principe de loyauté et de transparence.
Limitation des finalités
Si des données personnelles sont collectées dans le but de faire l’objet d’un traitement, non seulement la personne détentrice de ces données doit avoir accès aux finalités de ce traitement mais en plus celles-ci doivent être clairement délimitées. Il n’est pas possible de collecter des données pour ensuite dire à la personne que ces données serviront pour « un ensemble d’objectifs nécessaires au bon fonctionnement du service ». Non, la liste des finalités doit être clairement établie dès le début, et si changement il doit y avoir sur ces finalités, la personne doit en être informée et consentir à ces changements.
Minimisation des données
Ce principe est simple : une organisation détentrice de données personnelles responsable du traitement ou un de ses sous-traitants ne peut posséder que les données qui lui sont nécessaires au regard de la ou des finalités qui sont les siennes.
Par exemple, si un site internet de recettes de cuisine souhaite collecter les données de ses utilisateurs pour leur proposer des recettes les plus à même de leur plaire, ils seront en droit de collecter de la part de leurs utilisateurs leurs gouts culinaires. Par contre, ils ne pourront pas, par exemple, collecter les données relatives à la couleur de leurs cheveux, cette donnée ne servant pas la finalité du traitement.
Exactitude des données
L’explication de ce principe tient dans son titre : les données traitées doivent être exactes et tenues à jour. L’organisme acteur du traitement doit pouvoir garantir leur exactitude. Cette garantie peut être mise en œuvre en permettant à la personne détentrice de ces données de les rectifier à tout moment. Cette possibilité de rectification est d’ailleurs un droit pour la personne qui est défini dans le RGPD.
Afin d’être sûr que la donnée est exacte, l’organisation détenant cette donnée peut évaluer sa fiabilité selon le moyen mis en œuvre pour la collecter : s’agit-il de la réponse à un formulaire faite par l’utilisateur en personne ou d’un traitement automatique sur ses habitudes de navigation ? La garantie sur l’exactitude de la donnée qui en ressortira ne sera pas similaire selon le cas.
Limitation de la conservation
Une organisation tierce a le droit de détenir des données personnelles. Mais cette conservation ne peut être éternelle. En effet, une durée limitée de conservation des données doit être mise en place. Cette durée doit être la plus courte possible permettant à l’organisation d’atteindre la finalité pour laquelle ces données sont traitées. Si un prolongement de la durée de conservation est nécessaire un consentement éclairé de la personne concernée doit être obtenu.
Intégrité et confidentialité
Nous en arrivons au dernier principe qui représente la base de toutes données sécurisées : celles-ci doivent être intègres et confidentielles. Il est de la responsabilité de l’organisme détenant des données personnelles de garantir que celle-ci ne puissent être diffusées sans consentement des personnes concernées ni être altérées par de tierces personnes. Le respect de ce principe relève de solutions de cybersécurité et représente un enjeu majeur pour les entreprises, tant pour le respect du cadre légal que pour leur crédibilité auprès du public.
Nous avons maintenant fait le tour des grands principes qui composent le RGPD. Le respect de ces principes sont des obligations légales qui incombent aux organisations détentrices de données personnelles. Leur non-respect expose l’organisation à des sanctions comme nous le verrons plus loin. Pour le moment nous vous proposons d’étudier différentes mesures pouvant être mise en œuvre par les organisations afin de garantir la sécurité des données personnelles qu’elles détiennent.
Les mesures de sécurité des données
La sécurité des données stockées par une organisation relève de sa responsabilité. Face aux risques de fuite et d’altération illégitime des données, il est important de mettre en place les mesures adéquates pour les protéger des menaces.
L’évaluation des risques
Quelle est la nature des données personnelles que mon organisation détient ? Quels risques sont encourus pour les personnes concernées en cas de fuite ? Et en cas d’altération ? Voilà autant de questions auxquels les détenteurs de données personnelles doivent pouvoir répondre afin de mettre en œuvre les mesures de sécurité adéquates.
Si l’activité de l’organisation peut entraîner des conséquences importantes en matière de vie privée, une étude précise des risques doit être établie, il s’agit d’une Analyse d’Impact relative à la Protection des Données (AIPD), nous y reviendrons plus loin. Si cette étude relève qu’un risque élevé pour la vie privée des personnes est encouru en cas de défaillance dans les mesures de protection des données, l’organisme doit s’engager à mettre en œuvre une série de mesure pour diminuer le risque encouru.
La mise en œuvre des mesures techniques et organisationnelles
Afin d’appliquer les mesures de sécurité des données, un ensemble de mesures doit être mis en place par les organisations responsables du traitement.
Parmi les plus techniques, nous avons une variété de technologies et pratiques conçues pour protéger les données contre les menaces et les vulnérabilités. Elles sont intrinsèquement liées à la sécurité numérique en général, tel que l’utilisation d’antivirus ou de pares-feux sur les terminaux ayant accès aux données ou même l’anonymisation et le chiffrement des données qui vous sont détaillées ci-dessous.
D’un autre côté, les mesures organisationnelles concernent les politiques et les procédures internes mises en place pour assurer une gestion adéquate des données personnelles. Cela inclut la formation régulière du personnel sur les bonnes pratiques en matière de protection des données, la réalisation d’analyses d’impact sur la vie privée (AIPD), et la mise en œuvre de politiques de confidentialité robustes. Les organisations doivent également désigner un Délégué à la Protection des Données (DPO) chargé de superviser la conformité au RGPD. Ces mesures peuvent représenter une obligation légale pour certaines organisations.
L'anonymisation et le chiffrement des données
Afin de réduire le risque pesant sur les données personnelles, le RGPD recommande aux organismes responsables du traitement d’avoir recourt à des solutions d’anonymisation des données. L’anonymisation (ou pseudonymisation dans les textes du RGPD) est une technique dissociant les données personnelles d’un individu, de son identité. Cette solution est possible si le traitement consiste à une analyse générale des données et n’est pas effectuée de façon nominative sur les données d’un individu en particulier.
Bien évidemment, cette solution permet juste de garantir un anonymat pour les personnes et non une confidentialité des données. Le RGPD indique clairement que cette mesure n’exclut pas la mise en place d’autres mesures de protection des données telles que le chiffrement qui peut garantir la confidentialité des données en cas de fuite car cette solution empêche la lecture des données par un tiers si ce dernier ne dispose pas de la clé. Mais là encore, faut-il veiller que celle-ci ne fuite pas elle aussi.
La gestion des accès et des identités
La gestion des accès vise à assurer que seules les personnes autorisées peuvent accéder aux données personnelles, minimisant ainsi les risques de violation de la confidentialité. Cela implique la mise en place de contrôles stricts pour déterminer qui peut accéder à quelles données et dans quelles conditions. Parmi ces contrôles, nous pouvons citer l’authentification à deux facteurs (2FA), qui renforce la sécurité en exigeant une deuxième preuve d’identité en plus du mot de passe. L’authentification unique (SSO) est également couramment utilisée pour simplifier l’accès tout en maintenant un haut niveau de sécurité.
La gestion des identités, quant à elle, consiste à administrer les identifiants des utilisateurs tout au long de leur cycle de vie au sein de l’organisation. Cela commence par la création d’identités lors de l’intégration des nouveaux employés, en passant par la gestion des rôles et des permissions en fonction des changements de postes, jusqu’à la désactivation des comptes lors de leur départ. Une gestion rigoureuse des identités permet de s’assurer que chaque utilisateur dispose uniquement des accès nécessaires pour accomplir ses tâches, selon le principe du moindre privilège qui impose que chaque utilisateur ne doit avoir comme privilège d’accès que le minimum nécessaire pour mener à bien sa mission.
La surveillance et l’audit
La surveillance implique le suivi actif des processus de traitement des données pour détecter toute anomalie pouvant indiquer une violation de données. Cela inclut l’utilisation de systèmes de surveillance des réseaux et des applications. Ces outils permettent de repérer rapidement les tentatives d’accès non autorisé et de réagir en temps réel pour prévenir des incidents de sécurité.
En parallèle, les audits réguliers des systèmes et des procédures de gestion des données sont nécessaires pour évaluer la conformité au RGPD. Ces audits peuvent être effectués en interne par l’organisation elle-même, ou externes, conduits par des tiers indépendants. L’objectif est de vérifier que les mesures techniques et organisationnelles mises en place sont adéquates et respectent la législation.
Les audits peuvent couvrir plusieurs aspects, tel que l’efficacité des politiques de protection des données, la gestion des accès et des identités, la sécurité des infrastructures informatiques, et la sensibilisation et la formation des employés.
Les droits des personnes concernées
Les individus concernés par les données personnelles traitées disposent d’un certain nombre de droits qui leur est garantie par le RGPD.
Le droit à l’information
L’individu dispose d’un droit de regard sur la façon dont ses données personnelles sont collectées, sur le traitement qu’ils leur seront appliqués ainsi sur la finalité de celui-ci. S’il formule explicitement auprès de l’organisation détenant ses données personnelles une demande d’accès à ces informations cette requête doit être satisfaite dans un délai raisonnable et par écrit. Par ailleurs, l’individu doit être informé de l’ensemble des droits dont il dispose vis-à-vis de l’organisme traitant ses données.
Le droit d’accès
Sur le même principe que le droit à l’information, le droit d’accès permet à l’individu dont les données personnelles sont détenues par une organisation tierce de demander de cette organisation l’accès à l’ensemble des données le concernant s’il en fait la demande. Au même titre que pour le droit à l’information cette requête doit pouvoir être simplement formulée et la satisfaction de celle-ci doit être fait dans un délai raisonnable.
Le droit de rectification
Si les données personnelles effectivement détenue par l’organisme s’avèrent être inexactes ou incomplètes, l’individu concerné peut obtenir de l’organisme la rectification des données dans le meilleur délai. Ce droit est lié à un principe fondamental du RGPD qui exige que les données traitées soient exactes. La rectification directement par la personne concernée en est un bon moyen.
Le droit à l’effacement
La suppression définitive des données personnelles par l’organisme les détenant doit être effectué si l’une des raisons suivantes l’exige :
- Les données ne sont plus nécessaires au vu de la finalité de traitement affichée par l’organisme.
Dans ce cas et selon le principe de minimisation des données, l’organisme ne doit garder que les données qui lui sont nécessaire au traitement. Les autres doivent être supprimées. - L’individu retire le consentement au traitement de ses données qui permettait initialement à l’organisme de collecter lesdites données.
Si les données ont pu être collectées parce que la personne concernée y avait consenti, les données doivent être supprimées dès lors qu’il retire son consentement. - L’individu s’oppose au traitement prévu par l’organisme sur ses données.
Le principe de transparence impose à l’organisme d’indiquer quel traitement sera effectué et dans quelle finalité. Si l’individu est en désaccord avec le traitement qui est prévu il peut s’opposer à ce que ce traitement soit effectué et demander que ses données soient supprimées. - Les données personnelles de l’individu ont fait l’objet d’un traitement illégitime.
Les données n’ont pas été collectées par un motif légitime tel que le consentement de la personne concernée ou l’exécution d’un service souscrit ? Ou alors le traitement effectué par ces données ne figure pas parmi ceux qui étaient légalement possibles de faire ? Dans ces cas les données doivent être supprimées pour que l’organisme les détenant se remette en règle. - Les données personnelles doivent être effacées pour respecter une obligation légale applicable à l’organisme.
Ces obligations légales peuvent varier selon la législation en vigueur, mais si l’organisme détenant ces données doit les supprimer pour être en conformité du point de vue de la loi, elle doit bien évidement s’exécuter.
Vous remarquerez donc que ce droit à la suppression des données personnelles bien que réel n’est pas absolu et doit respecter certains critères. Dans les faits, la plupart des organismes privées traitant des données personnelles en ont le droit grâce au consentement obtenu des utilisateurs ou parce qu’ils effectuent un service souscrit par ledit utilisateur. Ce dernier peut donc aisément exiger leur suppression s’il le souhaite.
Le droit à la limitation du traitement
Si un individu considère que le traitement qui est appliqué à ses données personnelles n’est pas licite, celui-ci peut demander que le traitement qui est appliqué à ses données soit limité, le temps que les conditions pour un traitement licite soient à nouveaux réunies.
Nous pouvons citer par exemple un individu qui conteste l’exactitude des données le concernant et qui demande une limitation de leur traitement le temps que le responsable du traitement puisse procéder à la vérification de l’exactitude des données.
Ce droit de l’individu peut être vu comme une alternative à la suppression pur et simple de ses données personnelles afin par exemple de ne pas mettre un terme à un service souscrit auprès de l’organisme détenant ses données.
Le droit à la portabilité des données
Dans certains cas, l’individu peut demander à un organisme détenant ses données personnelles que celles-ci soient automatiquement communiquées à un autre organisme dans un format structuré afin de faire l’objet d’un traitement par cet autre organisme. Ce droit ne peut toutefois pas s’appliquer si l’organisme détenant les données les détient dans le cadre d’un service souscrit par l’individu.
Les obligations des entreprises
Les droits dont disposent les personnes vis-à-vis de leurs données personnelles sont importants. Mais ce n’est pas tout ! Les organisations détenant des données personnelles sont soumises à des obligations qui leur sont propres.
La nomination d’un délégué à la protection des données (DPO)
La nomination au sein de l’organisation traitant des données à caractère personnel d’un Délégué à la protection des Données (DPO) est obligatoire si les données traitées ou leur finalité sont de nature sensible pour les personnes concernées comme des données médicales ou si l’organisation en question est une entité publique. Les missions du DPO consistent à :
- Informer son organisation sur ses obligations en matière de protection des données ;
- Veiller au bon respect des obligations auquel l’organisation est soumise ;
- Conseiller son organisme sur la meilleure gouvernance à appliquer en termes de protection des données ;
- Être un intermédiaire entre son organisation et les autorités de régulation (la CNIL dans le cas français).
Au titre de sa mission le DPO doit être associé à toutes les décisions concernant le traitement des données personnelles. Vous comprendrez donc que le DPO sert de rempart contre les dérives pouvant survenir au sein d’un organisme détenant des données sensibles. La CNIL met à disposition sur son site internet un ensemble de ressources pour permettre au DPO de mener à bien sa mission.
La tenue d’un registre des activités de traitement
Les traitements effectués sur des données personnelles doivent être consignés dans un registre structuré listant la nature des traitements effectués, les catégories d’individus dont les données personnelles ont fait l’objet du traitement ainsi que la finalité de celui-ci. Ce registre peut être mis à disposition des autorités de contrôle s’ils en font la demande.
L’objectif de la tenue d’un tel registre est de pouvoir contrôler à posteriori la conformité des traitements effectués. Les autorités de contrôle pourront aisément constater des infractions et permettre le cas échéant d’appliquer la sanction prévue.
La notification des violations de données
Si malgré toutes les mesures mises en place pour garantir la protection des données, celle-ci s’avère ou s’est avérée être compromise, l’organisation ayant été exposée à cette violation des données est tenue d’en notifier les autorités de régulation et ce dans les meilleurs délais. Cette notification doit décrire, entre-autres, la nature de la violation dont on fait l’objet les données personnelles, les conséquences de cette violation ainsi que les mesures mises en place pour atténuer l’impact négatif de cette violation. Une fois notifiées, les autorités de régulation pourront conseiller l’organisme sur la meilleure marche à suivre.
L’évaluation d’impact sur la protection des données (AIPD)
Le responsable du traitement au sein de l’organisation doit mener une évaluation d’impact sur la protection des données (AIPD). Cet audit aura pour but de spécifier la nature et la finalité du traitement sensible, d’étudier la nécessité d’un tel traitement au vu de la finalité, d’évaluer les risques pour les droits et libertés des personnes concernées ainsi que la mise en place de mesures et garanties pour faire face aux risques en question. Il peut être réalisé en collaboration avec le DPO de l’organisation si celui-ci a été désigné.
Les sanctions en cas de non-conformité
Comme vous l’avez vu les exigences du RGPD sont nombreuses et comme toute réglementation légale des sanctions sont encourues en cas de non-conformité. Ces sanctions sont prévues pour être « effectives, proportionnées et dissuasives ».
La sanction de base
La sanction de base est une amende administrative dont le montant peut s’élever jusqu’à dix millions d’euros ou, si l’organisme contrevenant est une entreprise, jusqu’à 2% de son chiffre d’affaires annuel mondial.
Cette sanction s’applique si les violations concernent des manquements aux exigences de sécurisation des données, de non mise en place d’une anonymisation des données si celle-ci est possible ou l’absence d’un délégué à la protection des données quand celui-ci est requis.
La sanction la plus lourde
Pour les infractions plus graves, le montant de la sanction est doublé par rapport à la sanction de base : vingt millions d’euros ou 4% du chiffre d’affaires annuel mondial pour les entreprises.
Les infractions pouvant mener à une telle sanction sont : le non-respect du principe de traitement licite et consenti, l’utilisation de données manifestement inexactes, la conservation de données plus longtemps que nécessaire ainsi que le non-respect des droits des personnes concernées vis-à-vis de leurs données personnelles.
Autres sanctions
D’autres sanctions peuvent être établies en cas d’infraction non cité ci-dessus. Ces sanctions sont déterminées par les différents membres de l’Union Européenne et sont applicables sur leur territoire national.
Les exemples de sanctions appliquées
Pour ces exemples nous allons nous concentrer sur le cas français et son autorité de régulation, la CNIL, qui a la compétence de déterminer si une faute a été commise ou non.
En mai 2023 une entreprise de mise en relation de patient avec des praticiens a été déclarée fautive par la CNIL en raison de plusieurs manquements. Parmi eux, nous pouvons citer l’absence de recueillement du consentement au traitement des données des utilisateurs complétant un formulaire (informations sur leur santé). Mais aussi une conservation des données plus longtemps que nécessaire au vu de la finalité du traitement, ou encore des défaillances dans le système de cryptage des données. Pour ces fautes cette entreprise s’est vu infliger par la CNIL une amende de 280 000 €.
Pour citer un autre exemple, montrons le cas d’une entreprise de ciblage publicitaire sur internet. Cette entreprise n’a pas correctement respecté le droit de plusieurs personnes dont ils détenaient les données. Parmi eux le droit d’accès aux données stockées : Quand un individu essayait d’obtenir les données que l’entreprise avait sur lui, ces données n’étaient que partielles. De plus, le consentement au traitement des données n’était parfois pas obtenu de la part des partenaires de l’entreprise. Enfin, la finalité du traitement était définie dans des termes vagues et larges, représentant aussi une infraction au RGPD. Pour ces infractions et d’autres encore, l’entreprise a été condamné à une amende de 40 millions d’euros. Il s’agit de l’une des amendes les plus importantes à avoir été donnée par la CNIL.