ACTUALITÉS RGPD

Les données personnelles font l’objet d’une actualité constante depuis quelques mois. En effet, l’application imminente du Règlement Général sur la Protection des Données (RGPD) soulève de nombreux débats relatifs tant à la transformation digitale des organismes qu’au statut réglementé de l’utilisation de données personnelles.

En ce sens, la Commission Nationale de l’Informatique et des Libertés (l’autorité nationale française qui est chargée de faire appliquer le RGPD - CNIL) a récemment publié son rapport annuel de l’année 2017. Le constat est sans appel : si le RGPD impose de nouvelles obligations à chacun sous peine de sanctions parfois lourdes, il constitue une opportunité pour encadrer sa transformation digitale et faire de la protection des données un avantage concurrentiel. La CNIL soulève que les plaintes déposées ont explosé en dépassant la barre symbolique des 8000. De plus, la fréquentation du site de la Commission a également subi une forte hausse : le régime de la protection des données est de plus en plus connu par les citoyens, ce qui implique un diagnostic de ses process digitaux pour évaluer son niveau de maturité à la réglementation.

Si la future réglementation est d’application directe pour les Etats membres de l’Union européenne, certaines dispositions peuvent encore être adaptées par le législateur sous réserve de « ne pas faire moins » que ce que requiert le RGPD. C’est en ce sens que le projet de loi appelé « CNIL 3 » est actuellement débattu. L’Assemblée Nationale et le Sénat soulèvent notamment que les TPE/PME ainsi que la majorité des collectivités locales ne seront pas prêts à temps pour être conformes à la réglementation. Les risques encourus sont importants, et le texte prévoit la possibilité d’une action collective pour les personnes demandant réparation de dommages et intérêts. De ce fait, la mise en conformité nécessaire requiert un budget adapté en fonction, notamment, du volume de données traitées par les organismes ainsi que de leur niveau de sensibilité. C’est dans cette optique que SGS, afin d’aider les TPE/PME à démarrer leurs démarches de conformité au RGPD, a créé l’outil GDPRonline qui leur permet de centraliser et de documenter tous leurs processus.

A 30 jours de l’application du RGPD, deux points majeurs sont à retenir.

1. D’une part, si certains organismes ne seront pas conformes à cette date, la CNIL continuera dans un premier temps d’être dans une démarche davantage pédagogique que répressive. Une mise en conformité peut donc être simplement initiée, même si le niveau de maturité optimal ne sera pas atteint le 25 mai.
2. D’autre part, le RGPD constitue une opportunité pour chaque organisme de repenser leurs process digitaux afin d’accroitre la confiance des personnes concernées et les fidéliser davantage. C’est en ce sens que seront développées les futures certifications au RGPD.  

Symentec, leader mondial de la cybersécurité, définit un VPN  comme un réseau privé construit au sein d’un infrastructure informatique publique. Ce réseau permet de faire communiquer à distance deux réseaux (d’entreprises ou d’ordinateur) de façon confidentielle en utilisant internet. En d’autres termes, le VPN vous permet de protéger votre utilisation internet, vos flux sur les réseaux (cacher l’identité de l’utilisateur, crypter les communications…).
La CNIL, dans son guide sur la sécurité des données personnelles, recommande l’utilisation du VPN pour la sécurisation du système d’information (de votre poste et de votre réseau donc) afin d’éviter les accès par des tiers aux informations. Or, si certains VPN mettent en place des systèmes de protection des données personnelles, ils n’apportent pas tous les mêmes garanties.

A titre d’exemple, ONAVO (société développant des applications de protection des données créée en 2010) propose un VPN gratuit pour les utilisateurs d’iOS (Apple) et Android (Google). Facebook en 2013 achète ce service gratuit et l’intègre à ses différents outils à destination de l’ensemble de ses utilisateurs. Ces derniers peuvent choisir d’installer ce service, à condition de souscrire à des Conditions Générales d’Utilisation (CGU) confuses et imposantes, et donc rarement (pour ne pas dire jamais) lues par les utilisateurs.
Or, les services gratuits reposent sur un modèle économique spécifique : certaines données sont revendues à des fins de prospection et/ou de marketing.

Le chercheur en sécurité Will Strafach (CEO de Sudo Security Group développe et fournit des logiciels de sécurité pour mobiles) est allé étudier plus en détail le code du service OVANO pour iOS. Il a ainsi pu démontrer que celui-ci utilise une extension permettant la transmission à Facebook des données suivantes (liste non exhaustive) :
- Utilisation de l’appareil : informe quand l’écran est actif ou en veille/éteint
- Utilisation de la data internet et mobile (votre consommation Wi-Fi et 3G)
- Période d’utilisation du VPN
- Identification de l’appareil : nom donné à l’appareil par le détenteur (souvent « appareil de X »), IMSI/IMEI (suite de chiffres constituant la carte d’identité de l’appel), langue utilisée, pays de connexion… .

Ces données peuvent par la suite être croisées et analysées afin d’établir un profil de consommation concernant les utilisateurs du VPN qui pourra être utilisé à des fins de marketing.
Ainsi, le VPN peut constituer une mesure de sécurité intéressante pour les flux de vos données contre un accès par un tiers, mais ne garantit pas la confidentialité des données. Il convient de s’assurer, notamment en lisant les CGU, que les données ne sont pas collectées à l’occasion de l’utilisation du service.
Dans l’absolue, il convient de se rappeler que la gratuité d’un service implique souvent que l’entreprise trouve un autre moyen pour faire du profit, notamment grâce à la revente de vos données.
Pour comprendre le modèle économique de l’utilisation commerciale des données personnelles à l’ère du big data, vous pouvez regarder cette vidéo : ici (programme de présentation courte en coproduction avec France Télévision)
 

Le nouveau règlement général européen sur la protection des données (RGPD ou GDPR, General Data Protection en anglais), applicable à partir du 25 mai 2018, consolide l’exercice des droits des personnes en ajoutant de nouveaux droits et en donnant davantage d’obligations aux responsables de traitements.

Qu’est-ce que cela signifie ?

Premièrement, cela signifie que les personnes dont les données à caractère personnel sont collectées, autrement dit les « personnes concernées », sont au centre des préoccupations du GDPR.

Deuxièmement, cela implique que pour assurer le respect de leurs libertés et droits individuels, le responsable du traitement (RT), celui qui détermine les finalités et les moyens de traitements, doit prendre toutes les mesures organisationnelles et techniques nécessaires afin de garantir le respect des droits de ces personnes.

Les personnes concernées doivent être informées de l’usage de ces données, de tous leurs droits et des moyens de les exercer. Les informations doivent être fournies « d’une façon concise, transparente, compréhensible et aisément accessible, en termes clairs et simples » afin de permettre la bonne application de leur droit. La réponse à l’exercice de ce droit peut être donnée par écrit ou par d’autres moyens (électronique, par courrier postal ou oralement) au plus tard 1 mois après leur demande (2 mois en cas de complexité pour la réponse). Il faut savoir que le responsable de traitement doit garder la preuve de chaque réponse donnée afin de démontrer le respect à l’exécution des droits des personnes concernées ainsi que sa conformité en cas de contrôle de la Cnil. Pour ce faire, il doit s’assurer de l’identité du demandeur en lui exigeant une copie d’un titre d’identité.

Le droit à l’information, déjà prescrit par la loi Informatique et Libertés, a été considérablement renforcé par le RGPD. Lors de la collecte des données, les personnes concernées doivent être informées de l’utilisation de leurs données, de la nature des données collectées, des finalités du traitement, de leur durée de conservation, de l’identité du responsable du traitement et des éventuels transferts vers des pays tiers (Arts. 13 et 14, RGPD). Le responsable peut mettre ces renseignements dans les mentions légales de son site ou dans le contrat de travail d’un salarié, par exemple.

Le droit d’accès est maintenu : « La personne concernée a le droit d'obtenir du responsable du traitement la confirmation que des données à caractère personnel la concernant sont ou ne sont pas traitées » (Art. 15, RGPD). En tout état de cause, la personne concernée doit être informée : des finalités du traitement, des catégories de données, de la durée de conservation, de l’existence d’un éventuel transfert des données, de l’exercice de ses droits et de l’existence d’une prise de décision automatisée. Le responsable du traitement peut fournir une copie des données personnelles et si nécessaire, exiger le paiement « des frais raisonnables » pour couvrir les coûts supplémentaires. Cependant, par principe, le responsable du traitement ne réclame aucun paiement pour fournir les informations demandées. Ce service doit être gratuit.

Le GDPR accentue les droits à l’information et l’accès aux données à caractère personnel tandis que, en ce qui concerne le droit d’opposition, le nouveau règlement a restreint son application et établi des situations précises pour son exercice. Le droit d’opposition permet à la personne concernée de s'opposer à tout moment, pour des raisons particulières, à un traitement des données à caractère personnel la concernant (Art. 21, GDPR). Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu'il ne démontre qu'il existe des motifs légitimes et impérieux pour ce traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l'exercice ou la défense de droits en justice. Le droit d’opposition doit être présenté dès que possible à la personne concernée (dans les mentions légales, par exemple) et de manière claire et distincte de toute autre information.

La personne concernée pourra aussi demander au responsable du traitement la rectification ou l’effacement de ses données ainsi que la limitation du traitement. Toutefois, avant de répondre à ces demandes le responsable du traitement doit vérifier si celles-ci sont pertinentes et peuvent être réalisées (Voir conditions d’application arts. 16, 17 et 18, GDPR).  Le droit à l’effacement, par exemple, ne s’applique pas si ces données sont nécessaires à la liberté d’information et d’expression, au respect d’une obligation légale, au motif d’intérêt public dans le domaine de la santé ou à l’exercice d’un droit en justice. Le responsable du traitement est obligé de notifier à chaque personne quelles données personnelles ont été rectifiées, effacées ou ont eu leur traitement limité.

Le GDPR impose le respect des nouveaux droits à tous les responsables de traitement et sous-traitants. Le droit à la portabilité des données qui permet à une personne de récupérer les données qu’elle a fournies et le droit à la réparation des dommages matériels et moraux pour toute personne ayant subi un préjudice lors de la violation du nouveau règlement. En outre, le GDPR ajoute des conditions particulières pour les traitements de données des enfants de moins de 16 ans et introduit la possibilité d’actions collectives par les associations dans le domaine de la protection des données personnelles. En ce qui concerne la portabilité des données, celles-ci peuvent être directement transmises d’un responsable de traitement à l’autre.

Les réponses aux clients, aux salariés ou aux tiers doivent être adaptées en fonction du type de demande (droit d’accès, de rectification, d’opposition, etc). Pour chaque exercice d’un droit, le responsable du traitement doit bien vérifier leurs conditions d’application, les actions à mettre en place (personne chargée d’identifier les données, de fournir les informations, etc), les délais de réponse ainsi que leurs moyens de transmission. Ceux-ci doivent faire preuve de sécurité et garantir la totale confidentialité des informations fournies.

Les précisions relatives de ces droits par le nouveau règlement européen démontrent la volonté d’accroître le respect des droits et libertés individuels ainsi que celui de la vie privée des citoyens. Pour les responsables de traitements et sous-traitants, cette attention peut signifier davantage d’obligations et de responsabilités en matière de gestion de l’exercice des droits. Ces évolutions permettent aux responsables de traitement et aux personnes concernées d’établir une relation basée sur la confiance et la transparence.
 

Applicable à compter du 25 mai 2018, le nouveau règlement européen encadrant la protection des données personnelles (RGPD) renforce les dispositions législatives existantes, les harmonisent au niveau européen et crée certaines obligations nouvelles à destination des acteurs concernés.

La sous-traitance fait déjà l’objet d’une définition législative depuis le 06 janvier 1978, date de la promulgation de la loi Informatique et Libertés. Agissant pour le compte du responsable de traitements et selon ses instructions, il incombait à ce dernier de veiller à choisir une sous-traitance présentant des garanties suffisantes en matière de sécurité et de confidentialité dans le traitement de ses données. Cette vigilance était justifiée par l’irresponsabilité de principe d’un sous-traitant : le responsable de traitements assumait l’entière responsabilité en la matière.

Le RGPD ne change pas la définition d’un sous-traitant : ce dernier traite des données pour le compte d’un responsable de traitements. Le degré d’autonomie d’un prestataire est une valeur importante pour pouvoir déterminer avec exactitude sa qualification juridique. A titre d’exemple, la simple vente d’un outil informatique par un prestataire ne lui confère pas un degré d’autonomie identique à l’intégrateur de logiciels ayant accès aux bases de données de ses clients. L’une des premières étapes dans la conformité réglementaire est d’assurer l’identification adéquate des acteurs afin de déterminer quelles sont les modalités juridiques applicables.

Le RGPD soulève deux notions essentielles à respecter afin qu’un sous-traitant soit conforme. Dans un premier temps, le sous-traitant doit porter une attention particulière aux mesures de sécurité et de confidentialité mises en place sur les données des responsables de traitement. Cette sécurité doit être adaptée en fonction de chaque traitement : une interface de paiement en ligne nécessite une confidentialité supérieure au stockage de données d’un compte client. De façon générale, une sécurité des données personnelles adaptée nécessite une conformité globale avec le règlement européen sur la protection des données (GDPR). Par exemple, les instructions données par le client doivent inclure la destruction des données utilisées ou leur renvoi.

Dans un second temps, la relation entre un responsable de traitements et un sous-traitant exige une coopération. En effet, le RGPD impose la conclusion d’un contrat de sous-traitance dont la rédaction est encadrée. Un sous-traitant doit notifier à ses clients toute violation de données personnelles et prendre les mesures adaptées aux risques. De plus, le sous-traitant peut assister ses clients dans la réalisation d’études d’impacts sur la vie privée. De façon générale, la CNIL insiste sur la nécessité d’aider et d’assister les clients en matière de protection des données. Cette assistance passe notamment par la nouvelle obligation de tenue d’un registre des traitements qu’un sous-traitant effectue pour le compte de ses clients.

En cas de non-respect de ses obligations, un sous-traitant peut désormais engager sa responsabilité et faire l’objet des sanctions prévues par le RGPD. Cette responsabilité peut également s’exercer conjointement avec le responsable de traitements. Il est donc indispensable pour les sous-traitants de mettre en place les process nécessaires afin de gérer les risques RGPD, d’assurer la coopération avec le responsable de traitements et de garantir une protection optimale des données auprès de leurs clients.

Pour en savoir plus RDV sur le site de la CNIL: ici