Qu'est-ce que le RGPD, la nouvelle loi européenne sur la protection des données ?
Qu'est-ce que le RGPD ? La nouvelle loi européenne sur la confidentialité et la sécurité des données comprend des centaines de pages de nouvelles exigences pour les organisations du monde entier. Cet aperçu du RGPD vous aidera à comprendre la loi et à déterminer quelles parties de celle-ci s'appliquent à vous.
Le Règlement général sur la protection des données (RGPD) est la loi sur la confidentialité et la sécurité la plus stricte au monde. Bien qu'il ait été rédigé et adopté par l'Union européenne (UE), il impose des obligations aux organisations n'importe où, tant qu'elles ciblent ou collectent des données relatives aux personnes dans l'UE. Le règlement est entré en vigueur le 25 mai 2018.
Le RGPD imposera de lourdes amendes à ceux qui violent ses normes de confidentialité et de sécurité, avec des amendes pouvant atteindre des dizaines de millions d'euros.
Avec le RGPD, l'Europe affiche sa position ferme sur la confidentialité et la sécurité des données à un moment où de plus en plus de personnes confient leurs données personnelles à des services cloud et où les violations sont quotidiennes. Le règlement lui-même est vaste, de grande envergure et assez peu détaillé, ce qui fait de la conformité au RGPD une perspective décourageante, en particulier pour les petites et moyennes entreprises (PME).
Nous avons publié cet article pour servir de ressource aux propriétaires et gestionnaires de PME afin de relever les défis spécifiques auxquels ils peuvent être confrontés. Bien qu'il ne remplace pas les conseils juridiques, il peut vous aider à comprendre où concentrer vos efforts de conformité au RGPD. Nous offrons également des conseils sur les outils de confidentialité et sur la façon d'atténuer les risques. Alors que le RGPD continue d'être interprété, nous vous tiendrons au courant de l'évolution des meilleures pratiques.
Si vous avez trouvé cette page - « qu'est-ce que le RGPD ? » — il y a de fortes chances que vous cherchiez un cours accéléré. Peut-être n'avez-vous même pas encore trouvé le document lui-même (astuce : voici le règlement complet ). Peut-être que vous n'avez pas le temps de tout lire. Cette page est pour vous.
Dans cet article, nous essayons de démystifier le RGPD et, nous l'espérons, de le rendre moins accablant pour les PME soucieuses de se conformer au RGPD. Cependant, il est toujours recommandé de consulter un professionnel en données et en mise en conformité RGPD afin de vous assurer la compréhension de la loi et son application.
Historique du RGPD
Le droit à la vie privée fait partie de la Convention européenne des droits de l'homme de 1950, qui stipule que « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». Sur cette base, l'Union européenne a cherché à assurer la protection de ce droit par la législation.
Au fur et à mesure que la technologie progressait et qu'Internet était inventé, l'UE a reconnu le besoin de protections modernes. Ainsi, en 1995, il a adopté la directive européenne sur la protection des données, établissant des normes minimales de confidentialité et de sécurité des données, sur lesquelles chaque État membre a fondé sa propre loi d'application. Mais déjà, Internet se transformait en l'aspirateur de données qu'il est aujourd'hui. En 1994, la première bannière publicitaire est apparue en ligne. En 2000, une majorité d'institutions financières proposaient des services bancaires en ligne. En 2006, Facebook s'est ouvert au public. En 2011, un utilisateur de Google a poursuivi l'entreprise pour avoir scanné ses e-mails. Deux mois plus tard, l'autorité européenne de protection des données a déclaré que l'UE avait besoin « d'une approche globale de la protection des données personnelles » et les travaux ont commencé pour mettre à jour la directive de 1995.
Le RGPD est entré en vigueur en 2016 après l'adoption du Parlement européen et, depuis le 25 mai 2018, toutes les organisations devaient se conformer.
Portée, sanctions et définitions clés
Premièrement, si vous traitez les données personnelles de citoyens ou de résidents de l'UE, ou si vous proposez des biens ou des services à ces personnes, le RGPD s'applique à vous même si vous n'êtes pas dans l'UE. Nous en parlons plus dans un autre article .
Deuxièmement, les amendes pour violation du RGPD sont très élevées. Il existe deux niveaux de pénalités, qui s'élèvent au maximum à 20 millions d'euros ou à 4 % du chiffre d'affaires mondial (selon le montant le plus élevé), et les personnes concernées ont le droit de demander une indemnisation pour les dommages et intérêts. On parle aussi plus des amendes RGPD .
Le RGPD définit en détail un ensemble de termes juridiques. Voici quelques-uns des plus importants auxquels nous nous référons dans cet article :
Données personnelles — Les données personnelles sont toutes les informations qui se rapportent à un individu qui peut être identifié directement ou indirectement. Les noms et adresses e-mail sont évidemment des données personnelles. Les informations de localisation, l'origine ethnique, le sexe, les données biométriques, les croyances religieuses, les cookies Web et les opinions politiques peuvent également être des données personnelles. Les données pseudonymes peuvent également relever de la définition s'il est relativement facile d'identifier quelqu'un à partir de celles-ci.
Traitement des données — Toute action effectuée sur les données, qu'elle soit automatisée ou manuelle. Les exemples cités dans le texte incluent la collecte, l'enregistrement, l'organisation, la structuration, le stockage, l'utilisation, l'effacement… donc en gros n'importe quoi.
Personne concernée : La personne dont les données sont traitées. Ce sont vos clients ou visiteurs du site.
Responsable du traitement : La personne qui décide pourquoi et comment les données personnelles seront traitées. Si vous êtes un propriétaire ou un employé de votre organisation qui gère des données, c'est vous.
Sous-traitant : Un tiers qui traite des données personnelles pour le compte d'un responsable du traitement. Le RGPD a des règles spéciales pour ces individus et organisations. Ils peuvent inclure des serveurs cloud comme Tresorit ou des fournisseurs de services de messagerie comme ProtonMail .
Ce que dit le RGPD sur…
Pour la suite de cet article, nous expliquerons brièvement tous les points réglementaires clés du RGPD.
Principes de protection des données
Si vous traitez des données, vous devez le faire selon sept principes de protection et de responsabilité énoncés à l' article 5.1-2 :
- Licéité, équité et transparence : Le traitement doit être licite, loyal et transparent pour la personne concernée.
- Limitation desfinalités : Vous devez traiter les données aux fins légitimes spécifiées explicitement à la personne concernée lorsque vous les avez collectées.
- Minimisation des données: Vous ne devez collecter et traiter que la quantité de données absolument nécessaire aux fins spécifiées.
- Exactitude : Vous devez garder les données personnelles exactes et à jour.
- Limitation de stockage- Vous ne pouvez stocker des données d'identification personnelle que pendant la durée nécessaire à l'objectif spécifié.
- Intégrité et confidentialité: Le traitement doit être effectué de manière à garantir une sécurité, une intégrité et une confidentialité appropriées (par exemple en utilisant le cryptage).
- Responsabilité: Le responsable du traitement est responsable de pouvoir démontrer la conformité au RGPD avec tous ces principes.
Responsabilité
Le RGPD stipule que les contrôleurs de données doivent être en mesure de démontrer qu'ils sont conformes au RGPD. Et ce n'est pas quelque chose que vous pouvez faire après coup : si vous pensez être conforme au RGPD mais que vous ne pouvez pas montrer comment, alors vous n'êtes pas conforme au RGPD. Parmi les façons dont vous pouvez le faire :
- Désignez des responsabilités en matière de protection des données à votre équipe.
- Conservez une documentation détaillée des données que vous collectez, comment elles sont utilisées, où elles sont stockées, quel employé en est responsable, etc.
- Formez votre personnel et mettez en œuvre des mesures de sécurité techniques et organisationnelles.
- Avoir des contrats d'accord de traitement des données en place avec des tiers que vous contractez pour traiter les données pour vous.
- Désignez un délégué à la protection des données (bien que toutes les organisations n'en aient pas besoin, plus d'informations à ce sujet dans cet article).
Sécurité des données
Vous êtes tenu de traiter les données en toute sécurité en mettant en œuvre des « mesures techniques et organisationnelles appropriées ».
Les mesures techniques vont de l'obligation à vos employés d'utiliser l'authentification à deux facteurs sur les comptes où sont stockées des données personnelles à la conclusion de contrats avec des fournisseurs de cloud qui utilisent le chiffrement de bout en bout.
Les mesures organisationnelles sont des choses comme la formation du personnel, l'ajout d'une politique de confidentialité des données à votre manuel de l'employé ou la limitation de l'accès aux données personnelles aux seuls employés de votre organisation qui en ont besoin.
En cas de violation de données, vous disposez de 72 heures pour en informer les personnes concernées sous peine de sanctions. (Cette exigence de notification peut être levée si vous utilisez des protections technologiques, telles que le cryptage, pour rendre les données inutiles à un attaquant.)
Protection des données dès la conception et par défaut
Désormais, tout ce que vous faites dans votre organisation doit, « par conception et par défaut », tenir compte de la protection des données. Concrètement, cela signifie que vous devez tenir compte des principes de protection des données dans la conception de tout nouveau produit ou activité. Le RGPD couvre ce principe à l'article 25 .
Supposons, par exemple, que vous lanciez une nouvelle application pour votre entreprise. Vous devez réfléchir aux données personnelles que l'application pourrait éventuellement collecter auprès des utilisateurs, puis envisager des moyens de minimiser la quantité de données et la manière dont vous les sécuriserez avec les dernières technologies.
Quand vous êtes autorisé à traiter des données
L'article 6 énumère les cas dans lesquels il est légal de traiter des données personnelles. Ne pensez même pas à toucher aux données personnelles de quelqu'un - ne les collectez pas, ne les stockez pas, ne les vendez pas aux annonceurs - à moins que vous ne puissiez le justifier par l'un des éléments suivants :
- La personne concernée vous a donné un consentement spécifique et sans ambiguïtépour traiter les données. (par exemple, ils se sont inscrits sur votre liste de diffusion marketing.)
- Le traitement est nécessaire pour exécuter ou préparer la conclusion d'un contratauquel la personne concernée est partie. (Par exemple, vous devez faire une vérification des antécédents avant de louer une propriété à un locataire potentiel.)
- Vous devez les traiter pour vous conformer à une obligation légale quivous incombe. (Par exemple, vous recevez une ordonnance du tribunal de votre juridiction.)
- Vous devez traiter les données pour sauver la vie de quelqu’un. (Par exemple, vous saurez probablement quand celui-ci s'appliquera.)
- Le traitement est nécessaire pour exécuter une tâche d'intérêt publicou remplir une fonction officielle. (Par exemple, vous êtes une entreprise privée de collecte des ordures.)
- Vous avez un intérêt légitimeà traiter les données personnelles de quelqu'un. Il s'agit de la base légale la plus flexible, bien que les « droits et libertés fondamentaux de la personne concernée » l'emportent toujours sur vos intérêts, surtout s'il s'agit des données d'un enfant. (Il est difficile de donner un exemple ici car il y a une variété de facteurs que vous devrez prendre en compte pour votre cas. Le Bureau du Commissaire à l'Information du Royaume-Uni fournit des conseils utiles ici.)
Une fois que vous avez déterminé la base légale de votre traitement de données, vous devez documenter cette base et informer la personne concernée (transparence !). Et si vous décidez plus tard de modifier votre justification, vous devez avoir une bonne raison, documenter cette raison et informer la personne concernée.
Consentement
Il existe de nouvelles règles strictes sur ce qui constitue le consentement d'une personne concernée pour traiter ses informations.
- Le consentement doit être « libre, spécifique, éclairé et sans ambiguïté ».
- Les demandes de consentement doivent être « clairement distinctes des autres questions » et présentées dans « un langage clair et simple ».
- Les personnes concernées peuvent retirer leur consentement préalablement donné quand elles le souhaitent, et vous devez respecter leur décision. Vous ne pouvez pas simplement changer la base légale du traitement pour l'une des autres justifications.
- Les enfants de moins de 13 ans ne peuvent donner leur consentement qu'avec la permission de leurs parents.
- Vous devez conserver une preuve documentaire du consentement.
Délégués à la protection des données
Contrairement à la croyance populaire, tous les contrôleurs de données ou sous-traitants n'ont pas besoin de nommer un délégué à la protection des données (DPO) . Il existe trois conditions dans lesquelles vous êtes tenu de désigner un DPD :
- Vous êtes une autorité publique autre qu'un tribunal agissant à titre judiciaire.
- Vos activités principales vous obligent à surveiller les personnes de manière systématique et régulière à grande échelle. (par exemple, vous êtes Google.)
- Vos activités principales sont le traitement à grande échelle de catégories spéciales de données énumérées à l'article 9du RGPD ou de données relatives aux condamnations pénales et aux infractions mentionnées à l'article 10. (par exemple, vous êtes un cabinet médical.)
Vous pouvez également choisir de désigner un DPO même si vous n'y êtes pas obligé. Il y a des avantages à avoir quelqu'un dans ce rôle. Leurs tâches de base consistent à comprendre le RGPD et comment il s'applique à l'organisation, à conseiller les membres de l'organisation sur leurs responsabilités, à organiser des formations sur la protection des données, à mener des audits et à surveiller la conformité au RGPD, et à servir de liaison avec les régulateurs.
Le droit à la vie privée des personnes
Vous êtes responsable du traitement et/ou sous-traitant. Mais en tant que personne qui utilise Internet, vous êtes également une personne concernée. Le RGPD reconnaît une litanie de nouveaux droits à la vie privée pour les personnes concernées , qui visent à donner aux individus plus de contrôle sur les données qu'ils prêtent aux organisations. En tant qu'organisation, il est important de comprendre ces droits pour vous assurer que vous êtes conforme au RGPD.
Vous trouverez ci-dessous un aperçu des droits à la vie privée des personnes concernées :
- Le droit d'être informé
- Le droit d'accès
- Le droit de rectification
- Le droit à l'effacement
- Le droit de restreindre le traitement
- Le droit à la portabilité des données
- Le droit d'opposition
- Droits relatifs à la prise de décision automatisée et au profilage.
Conclusion
Nous venons de couvrir tous les points majeurs du RGPD en un peu plus de 2 000 mots. Le règlement lui-même (hors directives qui l'accompagnent) compte 88 pages. Si vous êtes concerné par le RGPD, nous vous recommandons fortement qu'un membre de votre organisation le lise et que vous consultiez un avocat pour vous assurer que vous êtes conforme au RGPD.