Blog
Suis-je Concerné(e) Par Le RGPD (GDPR) ?

Suis-je concerné(e) par le RGPD (GDPR) ?

Mon entreprise est petite (PME, TPE, start up, indépendant),suis-je concerné(e) par les nouveaux Règlements européens sur les données personnelles et la protection de la vie privée (GDPR ou RGPD) ?

Je parle ici du Règlement Général pour la Protection des Données Personnelles (RGPD), [1] souvent appelé GDPR dans les informations, et du Règlement E-Privacy [2] qui vient compléter le RGPD

Le RGPD sera appliqué dès le 25 mai 2018 et directement en vigueur dans tous les États-Membres.

Le Règlement E-Privacy a pris du retard dans sa négociation, il ne semble pas possible qu’il soit appliqué en même temps.

COUP D’ŒIL :

=> Oui mais à des degrés divers selon votre activité

=> Pourquoi serez-vous soumis au RGPD?

=> Pas que des changements par rapport à l’ancien régime de la Directive 95/46/EC

=> Ce qui est nouveau pour votre entreprise avec le  RGPD

  • L’application territoriale
  • Les principes généraux à suivre

RÉPONSE À LA QUESTION DU TITRE

  • Pour faire court, OUI

MAIS

  • selon votre utilisation et la façon dont vous conservez ou traitez les données personnelles de vos clients, fournisseurs, sous-traitants, employés…

OU

  • si votre activité principale est le traitement ou la collecte de données,

si vous travaillez en sous-traitance pour de grosses sociétés par exemple en tant que :

  • agent commercial,
  • vendeur de cloud,
  • vendeur ou développeur d’objets connectés (IoT),
  • gestionnaire d’un magasin en franchise d’une enseigne,
  • gestionnaire de la paie, de la facturation

vous serez concernés à des degrés divers dans la mise en conformité.

Pourquoi, PME, TPE, start-up, indépendants, êtes-vous soumis aux nouvelles règles sur la protection des données personnelles ?

En tant que :sous-traitants, gestionnaires de paie, agents commerciaux, vendeurs de cloud, développeurs ou vendeurs d’objets connectés ou IoT (…) ?

  • Si vous ne vous mettez pas en conformité avec les nouvelles normes de protection des données personnelles, vous perdrez votre marché ou vous ne pourrez en obtenir de nouveaux auprès des grandes entreprises qui risquent de très fortes amendes
  • Les textes prévoient que vos clients entreprises sont responsables de la conformité au RGPD de tous les tiers en charge de la gestion, du traitement des données personnelles qu’elles vous transmettent ou que vous recueillez pour elles.
  • Vos clients entreprises vont mener des audits poussés avant de vous engager ou de continuer à traiter avec vous
  • Vos clients entreprises ont l’obligation légale de maintenir un dossier prouvant qu’elles ont pris en compte la protection des données personnelles qu’elles recueillent dans la totalité du parcours du traitement de ces données.
  • Vos clients entreprises doivent être assurées que vous, ou vos propres sous-traitants, êtes en conformité avec les règles de protection édictées dans le RGPD

Les nouvelles normes n’apportent pas que des changements au régime existant dans chaque état membre européen

  • L’ancien régime de protection des données personnelles, encore en vigueur jusqu’au 25 mai 2018, était règlementé par une Directive européenne. [3]
  • C’était un texte qui nécessitait que chaque État prenne des mesures, des lois nationales pour son application.
  • Les interprétations nationales variées par les États Membres ont créé un régime trop disparate en Europe, obsolète pour les nouvelles technologies existantes et à venir. Ce régime datait des années 90 où internet et son utilisation était encore à ses débuts.
  • Pour certaines entreprises, celles qui ont bien intégré les règles de protection des données, l’adaptation sera moins difficile que pour d’autres moins attentives à la conformité de leur traitement des données ou dont l’activité correspond à un domaine technologique qui n’existait pas (ou pas dans ces proportions) dans les années 90 tel le profilage poussé, le Big Data et le machine learning, les objets connectés (IoT)…
  • La France a déjà pris de l’avance sur les Règlements européens pour certaines dispositions dans la Loi sur une République numérique du 07 octobre 2016 [4]
  • À ce stade, vous comprenez que le RGPD a des implications très vastes, même si vous êtes une PME, TPE, start-up, indépendant.

=> Vous informer est absolument nécessaire pour éviter les très fortes nouvelles pénalités que vous, ou vos clients entreprises, risquez en cas de non-conformité ou la perte de confiance de vos clients ou employés en cas de découverte de comportement illégal, de négligence dans la protection des données personnelles précieuses que vous détenez ou traitez.

Qu’est-ce qui est nouveau pour votre entreprise avec le RGPD ?

Mon entreprise n’est pas située sur le territoire de l’Union Européenne, suis-je concerné par le droit européen sur la protection de la vie privée ?

Application territoriale du RGPD: Nouveau

J’attire votre attention sur ce point capital pour certaines entreprises étrangères qui recueillent ou traitent des données de personnes sur le territoire européen

Cela concerne aussi toutes les entreprises dont le modèle économique est la vente de biens et services par voie digitale (e-business)

=> Des entreprises qui n’étaient pas concernées par les anciennes règles de la Directive sur les données personnelles peuvent être soumises au nouveau droit européen

À NOTER :

Certaines entreprises n’étaient pas concernées par le régime de la Directive de 1995 parce qu‘elles n’analysaient pas les données dans un État Membre, n’utilisaient pas de :

 » moyens, automatisés ou non, (…) situés sur le territoire dudit État Membre «  [5]

Désormais :

1/ Si une personne physique ou une entité (entreprise, organisation…) offre des biens ou des services (qu’il y ait paiement ou non) à des personnes se trouvant sur le territoire de l’Espace Économique Européen ou EEE (peu importe leur nationalité).

EEE = les 28 pays de l’Union Européenne + Liechtenstein, Norvège, Islande

et

recueille des données personnelles (un e mail, une adresse IP ou un nom suffisent, pensez aux cookies que vous utilisez…) :

OU

2/ Si une personne physique ou une entité (entreprise, organisation…)  suit le comportement de personnes physiques sur le territoire de l’EEE

Alors

=> l’entreprise est soumise au RGPD, même si elle n’a aucun établissement formel sur le territoire de l’Union Européenne

Question : comment savoir si mon site internet constitue une offre à des résidents européens ?

On déterminera si un site internet, d’une entreprise digitale d’e-business, par exemple, est soumis au droit européen sur les données personnelles en vérifiant certains facteurs :

> L’utilisation d’une langue ou d’une monnaie d’usage courant dans un ou plusieurs États Membres

> avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d’utilisateurs qui se trouvent dans l’Union

peuvent indiquer clairement que le responsable du traitement envisage d’offrir des biens ou des services à des personnes concernées dans l’Union.[6)

Si l’activité principale de l’entreprise

consiste à recueillir des données personnelles, à analyser le comportement de résidents européens, sur le territoire européen, même si l’analyse est faite dans un pays hors territoire européen.

Ceci couvre les activités de profilage, de prédiction de comportement, de choix… [7]

ALORS

=> L’entreprise est soumise au RGPD

3/  1 exception générale 

=> les données de personnes décédées ne sont pas soumises au Règlement RGPD-GDPR mais attention ces données continueront à être régies par le droit national du défunt.

En France : la Loi pour une République numérique traite certains aspects de la mort numérique et de la transmission des données digitales du défunt à des personnes désignées. [8]

Quelles sont les règles principales à suivre pour être conforme au RGPD en tant que PME, TPE, start-up, indépendant ?

Les principes généraux à suivre dans votre gestion des données personnelles dans le régime du RGPD

Votre utilisation des données personnelles doit être licite (conforme aux lois) et loyale (éthique)

1: Principe de transparence

Le RGPD est très clair à ce sujet :

 » Le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, faciles à comprendre, et formulées en des termes clairs et simples. » [9]

=> Cette obligation vous demande de revoir votre communication vis à vis des personnes dont vous avez obtenu directement ou indirectement les données personnelles.

=> Il est hors de question de cacher aux personnes le but de la collecte de données

=> Il faudra décrire précisément pourquoi vous demandez une donnée personnelle, au moment où vous en faites la demande

=> Si vous changez l’utilisation des données après leur collecte, il faudra redemander l’autorisation [10]

Votre communication (police sur la vie privée) devra entre autres mentionner :
  • l’identité du responsable du traitement
  • les finalités du traitement
  • les risques, règles, garanties et droits liés au traitement des données à caractère personnel
  • les modalités d’exercice des droits des personnes physiques en ce qui concerne ce traitement [11]
  • La durée de rétention des données : il existe des durées légales propre aux États Membres selon la qualité des personnes à l’origine des données.
  • Les données personnelles de vos employés ne seront pas conservées de la même façon que celle de vos clients par exemple.
Si vous êtes sous-traitant dans le domaine des données:

– vous devrez être sûr que ces données ont été récupérées légalement auprès des résidents européens, selon un processus conforme

– Vous devrez pouvoir prouver que vous avez rempli vos obligations, que les personnes ont consenti clairement au traitement de leurs données personnelles.

  • D’où l’importance de faire un diagnostic, un état des lieux dans votre activité.
  • Cet exercice vous permettra aussi d’adapter votre cyber-protection aux données qui ont réellement de l’importance.
  • Ce diagnostic sur les données informatiques dans votre entreprise est à inclure dans votre réflexion plus large sur la protection des votre activité contre les cyber attaques.
  • La mise en conformité légale et éthique du traitement des données de toute votre activité est un exercice bénéfique, un investissement dans le futur numérique de votre entreprise.
  • Dans un avenir très proche, vous utiliserez des services de plus en plus précis utilisant le Big Data[13], le Machine Learning[14] et l’Intelligence Artificielle [15]. Ces services seront accessibles aux petites structures, préparez-vous pour booster votre business.
  • le principe de transparence vous obligera à bien revoir vos contrats de gestion, de conservation ou de traitement des données personnelles, que vous soyez client ou vendeur de ce type de service.
  • Pas question de récolter un maximum de données, « au cas où »

Le principe de transparence sera affiné par les affaires qui remonteront vers les tribunaux, essayez de ne pas en faire partie en restant tout simplement informé et éthique, vos clients, vos employés, vos sous-traitants (…) vous remercieront.

 2: Principe de minimisation des données

Vous ne pouvez demander que des données personnelles :

  • adéquates
  • pertinentes
  • limitées à ce qui est nécessaire pour les finalités pour lesquelles elles sont traitées [16]

Ces termes sont plus limitatifs que le régime existant, notamment pour le 3ème

=> Il faudra vérifier que votre collecte de données ne va pas plus loin que strictement nécessaire

=> Il est tentant de demander le maximum de renseignements à un client, le plus on connaît sur lui, le plus facile il sera de lui proposer des services ou des biens adaptés à sa situation, c’est à éviter.

Dans le régime européen, il faut prouver que vous avez un but précis au moment de la demande, pas un but hypothétique, « au cas où ».

3: Principe de la protection des données personnelles et de leur traitement [17]– Sécurité dès la conception

L’obligation de mise en sécurité des informations personnelles existait dans le régime précédent mais il est à noter que c’est devenu un principe directement rattaché au traitement des données

  • Un principe important à respecter dès la conception [18] du traitement et du recueil des données personnelles 
  • Le processus de gestion, de traitement, d’analyse doit utiliser des « mesures techniques et organisationnelles appropriées » [19]
  • Si le texte mentionne explicitement la pseudonymisation comme un moyen d’assurer la protection des données, ce n’est nullement le seul moyen nécessaire et suffisant [20]pour être conforme, comme j’ai pu le lire ailleurs.

=> La pseudonymisation est recommandée mais ce n’est pas une méthode infaillible, elle pose aussi des problèmes aux sociétés traitant des données personnelles. Les données doivent rester aussi exploitables pour avoir une valeur.

=> Le débat sur une pseudonymisation [21] et une anonymisation [22] efficaces reste ouvert.

Définition de la pseudonymisation :

« C’est le processus par lequel les données perdent leur caractère identifiant (de manière directe). Les données restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée. Elle peut être opérée avec ou sans la possibilité de retour vers les noms ou identités (pseudonymisation réversible ou irréversible). » [24]

NOTES

[1] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données) http://eur-lex.europa.eu/legalcontent/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[2] À noter que le texte sur la E-Privacy est moins avancé.

[3] Directive 95/46/EC relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:31995L0046&from=FR

[4] LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique, version au 27 avril 2017 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033202746&dateTexte=20170428

[5] Article 4-1 c) de la Directive95/46/EC du 24 octobre 1995. supra note 3

[6] repris du Récital 23 du Règlement RGPD supra note 1

[7] Récital 24 supra note 1

[8] LOI n° 2016-1321, supra note 3

[9] Récital 39 et Art 5-1-a) RGPD, supra note 1

[10] Des exceptions sont prévues dans des cas très particuliers :  » à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques  » Art 89, RGPD, supra note 1

[11] Récital 39 et art 5 RGPD, ibid

[12] VOIR mon article « Pourquoi se protéger des attaques informatiques? Tous concernés. »  https://mementosafe.com/cyber-attaques-protection/

[13] « ensembles de données qui deviennent tellement volumineux qu’ils en deviennent difficiles à travailler avec des outils classiques de gestion de base de données ou de gestion de l’information. » Wikipédia, https://fr.wikipedia.org/wiki/Big_data

[14] « L’apprentissage automatique ou apprentissage statistique, champ d’étude de l’intelligence artificielle, concerne la conception, l’analyse, le développement et l’implémentation de méthodes permettant à une machine (au sens large) d’évoluer par un processus systématique » Wikipédia, https://fr.wikipedia.org/wiki/Apprentissage_automatique

[15] « la construction de programmes informatiques qui s’adonnent à des tâches qui sont, pour l’instant, accomplies de façon plus satisfaisante par des êtres humains car elles demandent des processus mentaux de haut niveau tels que : l’apprentissage perceptuel, l’organisation de la mémoire et le raisonnement critique », Marvin Lee Minsky, sur Wikipédia, https://fr.wikipedia.org/wiki/Intelligence_artificielle

[16] Récital 39 et Art 5-1-c), RGPD supra note 1

[17] Art 5-1-f). Art 24-1, Art 25-1 et 2, Art 28, Art 32 RGPD supra note 1

[18] Art 25-1 et 2, RGPD, supra note 1

[19] ibid.

[20] Récital 28, RGPD, ibid.

[21]  » processus par lequel les données perdent leur caractère nominatif. Elle diffère de l’anonymisation car les données restent liées à la même personne dans tous les dossiers et systèmes informatiques sans que l’identité ne soit révélée « , ISO, https://www.iso.org/fr/news/2009/03/Ref1209.html

[22] « consiste à modifier le contenu ou la structure de ces données afin de rendre très difficile ou impossible la  » ré-identification  » des personnes (physiques ou morales) « , Wikipédia, https://fr.wikipedia.org/wiki/Anonymisation

[24] « Mesures pour traiter les risques sur les libertés et la vie privée », CNIL, Édition juin 2012 https://www.cnil.fr/sites/default/files/typo/document/CNIL-PIA-3-BonnesPratiques.pdf

[ninja_form id=2]
Articles connexes
error: Ce Contenu est protégé
Back To Top