1 – Le RGPD : de quoi s’agit-il ?
La place grandissante de l’Internet mais aussi l’émergence des nouvelles technologies, notamment des objets connectés, ont fait prendre conscience de l’utilisation exponentielle des données personnelles de tout un chacun, au mépris du respect de la vie privée. La question de la protection des données personnelles fait donc aujourd’hui partie des enjeux majeurs de société.
Le Règlement général sur la protection des données plus communément appelé « RGPD », appliquée en France depuis le 25 mai 2018, est le résultat d’une prise de conscience générale de la nécessité de réviser le cadre légal actuel sur la protection des données personnelles. L’objectif du RGPD est donc triple : adapter la législation au contexte numérique et technologique en constante évolution, responsabiliser les personnes et organisations qui traitent des données personnelles, et rassurer les citoyens sur l’utilisation qui est faite de leurs données personnelles.
2 – Mais avant toute chose, que recouvre la notion de donnée personnelle ?
Il s’agit de toute donnée permettant d’identifier directement ou indirectement un individu. Il peut s’agir du nom, prénom, date de naissance, numéro de carte d’identité, heures d’arrivée et de départ de son lieu professionnel, en encore de l’adresse IP.
3 – Qui est concerné par le RGPD ?
Le RGPD apporte de nombreux changements pour toute personne physique ou entité (entreprises, organisations, collectivités territoriales, etc.) qui serait amenée à traiter des données personnelles dans le cadre de son activité professionnelle, et ce, peu important la taille de sa structure, le secteur d’activité ou encore le lieu de stockage des données personnelles. En pratique, un très grand nombre de personnes et entités sont donc concernées.
Le RGPD a vocation à s’appliquer à tout traitement portant sur des données personnelles qu’il s’agisse de leur collecte, de leur utilisation ou encore de leur conservation (ex : prospection commerciale, fichiers clients, fichiers du personnel, etc.), peu important de disposer d’un établissement dans l’Union européenne ou non, à partir du moment où les personnes concernées par le traitement des données personnelles y résident.
4 – En bref, quelles sont vos nouvelles obligations issues du RGPD ?
Les déclarations préalables auprès de la CNIL ne seront plus obligatoires à partir du 25 mai 2018. Il vous appartiendra désormais de mettre en place en interne une documentation complète attestant que vous êtes en conformité avec la réglementation. A titre d’exemple, un registre des activités de traitement sera, sauf exceptions (ex : traitement très occasionnel de données) obligatoire, comprenant notamment une description détaillée de la nature des données traitées, des finalités des traitements réalisées, des durées de conservation, des mesures de sécurité mises en place etc. Cette mesure repose sur une logique de transparence et de responsabilisation des acteurs à cette problématique. Vous pouvez d’ailleurs à ce sujet consulter le modèle de registre qui a été fourni par la CNIL pour prendre connaissance des informations requises pour vous mettre en conformité : https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles.
Par ailleurs, les entreprises devront dans certains hypothèses (ex : traitement à grande échelle de données de santé, contrôle régulier du comportement d’un nombre significatif de personnes, etc.) désigner un délégué à la protection des données (DPD). Véritable « chef d’orchestre » des données personnelles, le DPD aura vocation à remplacer l’actuel Correspondant Informatique et Libertés (CIL), et aura pour mission, notamment de contrôler le respect du RGPD par l’entité et de coopérer avec la CNIL. La personne devra être désignée en considération de ses connaissances du droit et des pratiques en matière de données personnelles. Il peut s’agir d’une personne en interne (ex : poste technique, juridique, etc.) ou en externe (ex : avocats, consultants, etc.). Attention toutefois aux conflits d’intérêts en interne ! En effet, il convient d’éviter de nommer à ce poste un directeur financier, un responsable du département marketing ou des ressources humaines, ou même une personne sans responsabilité spécifique, mais qui serait amenée, dans le cadre de ses fonctions, à déterminer des finalités de traitement (ex : décider de la mise en place d’une newsletter au sein de son service).
L’autre grande nouveauté réside dans l’obligation d’appréhender la problématique des données personnelles dès la mise en place de vos projets et de garantir, par défaut, le plus haut niveau de protection des données. Le RGPD préconise par exemple la conduite d’une analyse d’impact lorsque les traitements sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’exemple le plus parlant est la mise en place d’une surveillance par une entreprise des activités de ses employés. Dans la mesure où il s’agit d’une surveillance systématique portant sur des données concernant des personnes vulnérables, une analyse d’impact s’avèrera alors nécessaire.
Les entreprises devront en outre mettre en place des mesures organisationnelles et techniques adéquates (ex : chiffrement des données, pseudonymisation, etc.) pour garantir un haut niveau de sécurité des données. En cas de faille de sécurité, il sera obligatoire, dès sa connaissance, d’en informer la CNIL dans les 72 heures et dans certains cas d’en informer les personnes concernées (si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés de la personne physique afin qu’elle puisse prendre les précautions qui s’imposent).
5 – Quid du sous-traitant ?
Si vous êtes sous-traitant (ex : hébergeur, intégrateur de logiciels, agence d’emailing, etc.), votre rôle est désormais profondément remanié. Vous devez désormais assister et conseiller de façon permanente vos clients pour la mise en conformité de leurs traitements et respecter un certain nombre d’obligations spécifiques (ex : tenir un registre des traitements pour chacun de vos clients, obtenir une autorisation écrite si vous souhaitez sous-traiter vous-même, etc.).
En tant que sous-traitant, si vous êtes amenés à recruter un sous-traitant pour exécuter une de vos missions, il sera soumis aux mêmes obligations que celles prévues dans votre contrat avec votre client responsable de traitement. Il devra donc présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponse aux exigences du RGPD et garantisse la protection des droits des personnes concernées.
Si vous avez déjà conclu des contrats avec des sous-traitants, il faut dès à présent se préparer à la mise en conformité au RGPD, en intégrant par avenant l’ensemble des obligations prévues par le RGPD, en précisant que ces clauses seront applicables seulement à compter du 25 mai 2018.
6 – Et les sanctions dans tout cela ?
Sur les sanctions applicables, le droit français prévoyait déjà des sanctions pénales en cas d’infractions portant sur des données personnelles, rarement appliquées en l’espèce, ou par des amendes relativement faibles (ex : OUICAR n’a écopé que d’un avertissement alors que les données personnelles des utilisateurs de son site sont restées librement accessibles pendant près de trois ans ; HERTZ a été condamné à 40.000 euros pour manquement à son obligation de sécurité des données personnelles de ses clients).
Les amendes administratives détaillées dans le RGPD sont beaucoup plus dissuasives, puisqu’il est prévu qu’elles pourront atteindre 2% à 4% du chiffre d’affaires et jusqu’à 20 millions d’euros pour les infractions les plus graves.
Le RGPD n’est donc pas au cœur des préoccupations actuelles par hasard !
7 – Cas concrets :
Vous êtes blogueur professionnel et adressez chaque mois votre newsletter à une liste de contacts
De nos jours, l’emailing est un moyen très efficace pour créer facilement un contact avec des prospects. Pour autant, il ne faut pas négliger les nouvelles règles juridiques applicables en matière de traitement de données personnelles, tant les conséquences peuvent être redoutables.
Si vous êtes un blogueur professionnel (hors cadre privé), et que vous sollicitez de l’internaute qu’il renseigne seulement quelques données personnelles, à savoir ses noms, prénoms, numéros de téléphone et adresse email pour l’envoi de votre newsletter, vous entrez tout de même dans le champ du RGPD. Soyez donc attentifs à ce qui va suivre !
Le RGPD vous impose tout d’abord d’être transparent et notamment de délivrer aux internautes des mentions d’information sur votre blog (vos coordonnées, les finalités du traitement, la durée de conservation des données, les droits que les utilisateurs peuvent exercer sur leurs données, leur droit d’introduire une action devant la CNIL, etc.).
Comme vu précédemment, le RGPD a pour but de protéger les personnes contre l’utilisation détournée ou frauduleuse de leurs données personnelles. Pour cette raison, la question du consentement occupe dans la nouvelle législation européenne une place prépondérante. Le RGPD prévoit notamment en son préambule que « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale ».
Concrètement, « l’acte positif clair » peut se matérialiser dans le formulaire d’inscription de votre newsletter par une case que l’internaute coche, du type : « en cliquant sur cette case, j’accepte de recevoir la newsletter du blog ». Pour rappel, il faut donc définitivement tirer un trait sur les cases cochées par défaut afin d’éviter toute discussion ultérieure sur le caractère positif du consentement.
Par ailleurs, le RPGD précise que le consentement doit être « spécifique ». Si vous utilisez un système de chaque case à cocher, vous devez prévoir une case pour chacune des finalités particulières (ex : envoi de la newsletter, envoi d’informations relatives à un programme de fidélité, etc.). L’erreur à éviter est également de conditionner l’accès au blog à l’acceptation de l’envoi de la newsletter.
Le RGPD prévoit que vous devrez vous ménager la preuve du recueil du consentement de chaque internaute à l’utilisation de ses données personnelles (comprenant notamment un détail des données pour lesquelles l’individu a donné le consentement, la date d’obtention des données personnelles, la finalité dudit consentement). Pour ce faire, il conviendra par exemple de mettre en place en interne un système de stockage des preuves de consentement, pour pouvoir en cas de contrôle, prouver que vous êtes en conformité avec la réglementation.
Attention ! Le RGPD a vocation à s’appliquer non seulement à votre future liste de contacts, mais également à celle déjà constituée auparavant. Il est donc indispensable de vérifier, dès à présent, que vous avez bien reçu le consentement de chaque personne dont les données personnelles sont enregistrées dans votre liste de contacts. Si ce n’est pas le cas, il est impératif d’envoyer avant le 25 mai 2018, des formulaires afin que les personnes concernées réitèrent ou non leur consentement. S’ils ne le font pas, il vous sera désormais interdit d’envoyer des emails à ces personnes et leurs données personnelles devront être effacées (et non seulement archivées).
L’internaute est également en droit de changer d’avis et doit pouvoir se désinscrire aisément à la newsletter. Le RGPD prévoit en effet que vous devez informer, avant que la personne donne son consentement à la collecte de données, qu’il est en droit de retirer son consentement à tout moment, et que ceci doit être réalisable aisément. Pour ce faire, il convient de mettre en place une procédure simple (ex : lien dans la newsletter, page spécifique créée à cet effet, etc.), pour permettre à vos utilisateurs de retirer leur consentement mais aussi d’exercer l’ensemble de leurs droits sur leurs données personnelles (droit d’accès, modification, effacement de données, ou encore bénéficier de la portabilité des données, qui est un nouveau droit issu du RGPD permettant à l’utilisateur de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers).
De votre côté, à réception du retrait du consentement, il faudra supprimer les données personnelles des internautes au plus vite et sur l’ensemble de vos lieux de stockage (y compris dans les fichiers de sauvegarde de votre blog).
La nouvelle législation européenne prévoit par ailleurs le droit pour toute personne de ne pas faire l’objet d’une décision automatisée basée sur le profilage. Concrètement, on entend par profilage, tout traitement qui permet d’analyser les comportements d’un individu (ex : à partir de l’historique de ses achats ou de ses actions sur les réseaux sociaux). Il est donc fortement recommandé de mettre en place une procédure permettant aux internautes de s’opposer à ce que leurs données personnelles servent au profilage (ex : lien dans la newsletter, page de contact sur le blog, etc.).
Il ne faut par ailleurs pas oublier les mineurs, qui sont susceptibles d’accéder, comme les adultes, à votre blog. Lorsque la personne concernée est un mineur de moins de 16 ans (le RGPD offre la possibilité aux Etats membres d’abaisser à 13 ans cet âge), le consentement parental doit être recueilli. Il faudra donc prévoir de demander l’âge de la personne dans le formulaire de contact.
Pour finir, dans la mesure où vous agissez en qualité de responsable de traitement, vous devrez à compter du 25 mai 2018, tenir un registre de traitement des différentes catégories de personnes dont vous traitez les données et de la nature du traitement. Le RGPD prévoit par ailleurs une responsabilité commune des entreprises et de leurs prestataires qui hébergent les données. Par conséquent, il faut s’assurer que les professionnels auxquels vous faites appel respectent eux aussi la législation en vigueur en matière de données personnelles, pour s’éviter bien des désagréments.
Vous gérez un site e-commerce :
Toutes les règles exposées précédemment concernant les blogueurs sont transposables aux e-commerçants, puisqu’ils sont également amenés à récolter, via un formulaire de contact de nombreuses données personnelles lors d’un achat ou d’une prestation de service fournie en ligne.
A titre d’exemple, si un client a créé un compte sur votre site Internet pour la livraison de ses commandes en renseignant son adresse postale et électronique, mais n’a pas coché la case l’invitant à recevoir des emails de prospection commerciale, vous devez vous assurer que les données personnelles sont collectées et stockées uniquement pour la finalité ou les finalités auxquelles votre client a consenti. Vous devez en effet garder toujours à l’esprit que le consentement des clients doit absolument être sans équivoque et impliquer un acte positif et clair pour qu’il soit valable. Vous ne devrez pas, par ailleurs, obtenir de façon détournée le consentement du client, en insérant les demandes de consentement portant sur les données personnelles, par exemple dans vos conditions générales de vente.
Vous devrez en outre vous assurer que tous les tiers qui auront accès aux données personnelles (hébergeurs, etc.) se sont également conformés aux obligations prévues par le RGPD en signant avec eux un contrat spécifique portant sur les données personnelles.
Votre politique de confidentialité et vos conditions générales de vente et d’utilisation devront également être remaniés pour prendre en considération les nouveautés issues du RGPD exposées ci-dessus.
Concernant les spécificités liées au e-commerce, vous devez par ailleurs collecter uniquement les données dont vous avez besoin pour la vente ou la prestation de service proposés. Par exemple, il n’est pas nécessaire de solliciter la nationalité du client pour l’achat d’un produit. Par ailleurs, vous devez conserver les coordonnées de la carte bancaire du client seulement le temps nécessaire à la réalisation de l’opération de paiement, ce qui évitera toute utilisation frauduleuse ultérieure en cas de faille de sécurité.
Aussi, si un prospect ou un client n’a répondu à aucune sollicitation depuis plusieurs années (la CNIL préconise un délai de trois années), leurs données devront être obligatoirement supprimées.
Les sites e-commerce ont par ailleurs souvent recours aux cookies utilisés à des fins de ciblage comportemental (appelés aussi « cookies tiers ») et à des cookies non intrusifs pour faciliter la navigation de l’internaute sur un site Internet (ex : mémorisation des préférences).
A l’heure actuelle, l’internaute est invitée (dans le meilleur des cas) à formuler son acceptation, en cliquant sur un bandeau cookie créé à cet effet, mais n’a, la plupart du temps, pas conscience à quoi il s’engage. Pire, le consentement n’est parfois même pas matérialisé positivement, lorsqu’il est indiqué à l’internaute qu’en poursuivant sa navigation sur le site, il accepte l’utilisation de cookies.
Face à ce constat, et comme une surprise n’arrive jamais seule (!), un nouveau Règlement européen « E-privacy » encore en cours de rédaction, dans la lignée du RGPD, devrait entrer en application également le 25 mai 2018.
Ce Règlement prévoit un renforcement du devoir d’information et du consentement des utilisateurs par référence au RGPD et contient notamment des dispositions relatives aux cookies tiers.
Il est en effet prévu d’en finir avec le bandeau cookie ! Les cookies tiers ne devront être activés qu’à la demande des utilisateurs, leur permettant de reprendre le contrôle sur leurs données personnelles. Le Règlement prévoit également d’instaurer à la charge des navigateurs, une obligation d’inviter les utilisateurs à choisir leurs paramètres de confidentialité, dès la configuration initiale du navigateur, par l’acceptation ou le refus du dépôt de cookies.
Par ailleurs, il est prévu que le consentement de l’utilisateur sera redemandé tous les six mois tant que le traitement se poursuit alors qu’aujourd’hui il est seulement sollicité lors de la première vite du site internet.
Affaire à suivre…