RGPD : la protection des données à caractère personnel en entreprise

09.06.20
la protection des données à caractère personnel en entreprise

Le RGPD fête déjà ses deux ans ! C’est l’occasion de se rafraîchir la mémoire sur ces règles importantes pour toutes les entreprises sur le traitement des données personnelles. Depuis l’entrée en application du règlement européen sur la protection des données à caractère personnel, dit Règlement Général de la Protection des Données (en abrégé : « RGPD ») le 25 mai 2018, toutes les entreprises européennes doivent être en conformité avec ce texte, et ce quelle que soit leur taille. Le RGPD a renforcé la protection des données personnelles qui était encadré jusqu’au 25 mai 2018 en France par la loi Informatique et libertés du 6 janvier 1978. Il correspond à la politique européenne de renforcement de la protection des données personnelles, qui permet notamment aux citoyens de prendre conscience de la valeur de ces informations. Les données personnelles sont en effet devenues avec l’avènement du big data le nouvel or noir.

Si le RGPD a tant fait parler de lui dès son adoption, c’est surtout en raison des lourdes sanctions qu’il prévoit en cas de non-respect de ses obligations à la charge des entreprises. En effet, une amende administrative pouvant aller jusqu’à hauteur de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial peut être prononcée par la Commission nationale de l’informatique et des libertés (CNIL) à l’encontre du responsable de traitement et/ou du sous-traitant (RGPD, art. 83, § 4 et 5). Les entreprises doivent donc pouvoir comprendre dans quel cadre le RGPD est applicable et les règles à respecter.

Qu’est-ce qu’une donnée personnelle au sens du RGPD ?

Le RGPD définit une donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable» (RGPD, art. 4, 1). L’esprit du texte étant d’assurer la protection la plus large possible des droits et libertés fondamentaux des personnes, la notion de données personnelles est à apprécier de manière large.

Toute information permettant d’identifier la personne est susceptible d’être protégée par le Règlement. Tel est le cas lorsqu’il est possible d’obtenir son identité grâce à la corrélation de plusieurs informations permettant de remonter jusqu’à cette dernière. L’information peut être directement relative à la personne, comme

  • un nom,
  • une adresse postale,
  • une adresse e-mail

L’information peut être indirecte, comme par exemple :

  • un numéro de téléphone,
  • une plaque d’immatriculation,
  • une chambre d’hôtel,
  • une adresse IP d’ordinateur,
  • plusieurs informations anodines dont le croisement permet de remonter à une personne.

Même une information se rapportant même de loin à la personne est une donnée personnelle au sens du GPD. L’information peut être de tout type et figurer sur n’importe quel type de support (ex : une clé USB, un disque dur externe ou interne, une puce, un document papier…).

Le RGPD n’accorde a contrario aucune protection aux données anonymes ainsi qu’aux données anonymisées pour lesquelles un processus a été mis en œuvre afin de rompre le lien entre la donnée et la personne qu’elle concerne.

Attention, depuis l’entrée en application du RGPD, les données personnelles ayant fait l’objet d’une pseudonymisation font néanmoins l’objet d’une protection. Seules les informations se rapportant à une personne physique font l’objet d’une protection de la part du RGPD. Les personnes physiques étant définies comme des personnes vivantes et viables, indépendamment de leur nationalité ou de leur lieu de résidence (RGPD, considérant 14), les informations relatives aux personnes morales comme les sociétés par exemple, et aux personnes décédées sont exclues de la protection.

Que faut-il comprendre par traitement des données à caractère personnel ?

La notion de traitement des données à caractère personnel a également été élargie par le RGPD. Le RGPD désigne « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou à des ensembles de données à caractère personnel » (art.4, 2 du RGPD).

Le RGPD est applicable à un très grand nombre d’opérations de traitement, telles que la collecte, l’enregistrement, la consultation, l’utilisation, la diffusion ou toute autre forme de mise à disposition, l’effacement ou encore la destruction. Le ciblage est également considéré comme un traitement de données à caractère personnel, ce qui n’était pas le cas avant l’entrée en application du Règlement. Le traitement pouvant être fait à l’aide de procédés automatisés ou non, le RGPD est également applicable à un traitement sous format papier. Les archives d’une entreprise, même si elles sont dans un recoin oublié de tous, fait partie des données personnelles traitées !

Par exemple, toute entreprise qui utilise et gère des données sur ses clients personnes physiques, pour :

  • la livraison,
  • la facturation,
  • l’envoi d’informations et publicités

effectue du traitement de données personnelles soumis aux règles du RGPD.

Quel est le périmètre géographique d’application du RGPD ?

Le RGPD est applicable dans deux cas :

  • lorsque le responsable du traitement des données possède un établissement stable dans un Etat membre de l’Union Européenne, comme par exemple une filiale, une succursale ou encore un bureau ; ou
  • lorsque le traitement vise une personne physique située sur le territoire d’un Etat membre de l’UE, que le responsable de traitement soit établi dans ou hors de l’UE.

Comment procéder au traitement des données à caractère personnel ?

Avant de procéder à cette opération, l’entreprise doit recueillir le consentement de la personne concernée pour la ou les finalités prévues de ce traitement. Il s’agit donc d’une protection des données personnelles des particuliers.

Le responsable du traitement a dans ce contexte deux grandes responsabilités

Allouer les moyens

Il doit donc avoir déterminé les finalités et alloué les moyens financiers, humains et matériels du traitement nécessaires pour mettre en œuvre le traitement (art. 4, 7 RGPD) et le mettre en œuvre de manière conforme. En cas de violation de la réglementation fixée par le RGPD, il engage sa responsabilité civile et pénale. Il est donc conseillé de désigner pour cette fonction une personne disposant d’un certain pouvoir au sein de l’entreprise. Un sous-traitant peut être chargé de traiter les données personnelles pour le compte du responsable de traitement dans le cadre d’un service ou d’une prestation (ex : les avocats, les prestataires de services informatiques d’hébergement ou de maintenance et les sociétés de sécurité informatique s’appuyant sur des juristes).

Informer les autorités nationales

Il doit informer les autorités nationales de contrôle en charge de la protection des données personnelles, de toute violation de données dans un délai maximum de 72 heures à compter de leur connaissance de la violation. La responsabilité du sous-traitant étant très proche de celle du responsable de traitement, il est conseillé en cas de recours à ce dernier de le choisir de manière attentive. Les données collectées peuvent être transmises par le responsable de traitement à différentes entités, qu’elles soient autorisées expressément ou non par la loi à les recevoir. Le Trésor public, les magistrats et les officiers de police judiciaire sont notamment habilités par un texte légal à recevoir un certain nombre d’informations.

Qui est le DPO ?

Le délégué à la protection des données (Data Protection Officer ou DPO), une entité interne ou externe à l’entreprise, doit intervenir de manière régulière au sein de l’entreprise afin de veiller à la conformité au RGPD des traitements mis en œuvre. A cette fin, ce dernier doit disposer de connaissances juridiques importantes en matière de protection des données personnelles. Les recommandations qu’il formule peuvent être suivies ou non d’effet par le responsable des traitements. Le DPO ne prenant aucune décision, sa responsabilité ne peut en principe pas être engagée en cas de violation de la réglementation.

La désignation d’un DPO par le responsable de traitement et le sous-traitant est obligatoire dans trois cas de figure désignés à l’art. 37 §1 RGPD :

  • Le traitement est effectué par une autorité publique ou un organisme public ;
  • Les activités principales du responsable de traitement exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités principales consistent en un traitement à grande échelle de données sensibles (ex : données de santé par les cliniques) ou de données relatives à des condamnations pénales.

Bien que le DPO ne soit pas obligatoire dans les autres cas, il est fortement conseillé d’en désigner un, surtout lorsque les connaissances juridiques et informatiques nécessaires ne sont pas existantes en interne dans l’entreprise.

Quelles sont les actions à mener pour la protection des données personnelles ?

Les principales actions à mener pour la protection des données personnelles sont les suivantes :

  • La constitution d’un registre listant les traitements de données personnelles. Ce registre doit contenir pour chaque activité exercée par l’entreprise, l’objectif poursuivi, les catégories de données utilisées, les personnes ayant accès aux données ainsi que la durée de conservation des données. Il existe un modèle de registre sur le site de la CNIL ;
  • Le tri dans les données collectées ;
  • L’information et la transparence à l’égard des personnes dont les données personnelles sont traitées au travers de formulaire de collecte de données à caractère personnel, d’un renvoi à une politique de confidentialité ou encore de clauses spécifiques dans les contrats ;
  • Permettre aux personnes d’exercer facilement leurs droits par la mise en place d’un processus interne permettant un traitement rapide des demandes ou en cas de site internet par l’intermédiaire d’un formulaire de contact spécifique, d’un numéro de téléphone ou d’une adresse de messagerie dédiée ;
  • Assurer la sécurisation des données.

Quels sont les droits des personnes protégées ?

Différents droits des personnes concernées par le traitement de leurs données personnelles doivent être respectés, notamment un droit à l’information, un droit d’accès et de communication des informations, un droit de rectification et d’effacement limité des informations. Afin de respecter le droit à l’information, le responsable de traitement est chargé de transmettre à ces personnes une liste conséquente d’informations désignées aux art. 13 et 14 du RGPD, dont notamment la finalité poursuivie par le traitement, les intérêts légitimes du responsable de traitement et les droits de la personne concernées.

En cas de violation du RGPD, les personnes concernées peuvent saisir les juridictions judiciaires ou administratives et la CNIL, afin d’engager la responsabilité du responsable de traitement et/ou du sous-traitant.

Le rôle de la CNIL

La CNIL veille au respect du RGPD en France. Elle effectue sa mission de plusieurs manières :

  • en instruisant les plaintes de particuliers qui s’estiment victimes de violation concernant leurs données personnelles
  • en instruisant les signalement des entreprises où une violation est survenue
  • en ouvrant des procédures de contrôles, souvent par secteurs. Les secteurs traitant beaucoup de données sensibles sont parmi les plus contrôlés et doivent donc être particulièrement vigilants sur le respect du RGPD.

Alors que les citoyens allemands ont davantage tendance que les Français à porter plainte, lorsque la CNIL inflige une sanction, elle est assez lourde. Donc, si votre entreprise n’a pas encore tout mis en œuvre pour être en conformité avec le RGPD, mieux vaut tard que jamais.

Questions/réponses sur la protection des données à caractère personnel en entreprise

Qu’est-ce que le RGPD ?

Le RGPD est un règlement européen qui est entré en vigueur le 25 mai 2018 et qui a pour objectif d’harmoniser les pratiques des entreprises en matière d’utilisation et de protection des données personnelles au sein de l’union européenne.

Qui doit respecter le RGPD ?

Le RGPD s’applique à tout organisme, privé ou public, quelle que soit sa taille, qui manipule des données personnelles. Le RGPD s’applique à tout organisme implanté sur le territoire de l’UE ainsi qu’à tout organisme implanté hors UE qui traite des données personnelles concernant des européens. Le RGPD s’applique donc notamment aux entreprises, aux associations ainsi qu’aux sous-traitants.

Quels articles du Règlement général sur la protection des données ?

La protection des données est assurée à travers le règlement par divers mécanismes. Cette protection est garantie à la personne concernée grâce :

  • au droit à l’information et l’accès aux données à caractère personnel (articles 13, 14, 15 du RGPD) ;
  • au droit à la rectification et à l’effacement (articles 16, 17,18 et 19 du RGPD) ;
  • au droit d’opposition et prise de décision individuelle automatisée (articles 21 et 22 du RGPD).

Comment protéger les données personnelles ?

Le responsable du traitement des données personnelles est tenu d’assurer la sécurité des données personnelles qu’il détient. Le degré de sécurisation dépend de la sensibilité des données et des conséquences potentielles en cas de perte ou de piratage des données.
Cette sécurisation peut s’effectuer grâce notamment :

  • à la mise à jour régulière des antivirus et des logiciels ;
  • au changement régulier et à la complexité des mots de passe ;
  • au chiffrement des données dans certaines situations ;
  • à la vérification de la provenance des mails et à la méfiance vis-à-vis des pièces jointes ou lien provenant d’expéditeurs inconnus ;
  • à la gestion des empreintes laissées sur internet en bloquant par exemple les cookies ;
  • à l’utilisation d’un réseau virtuel (VPN) etc.

Françoise Berton, avocat en droit allemand

Tous droits de propriété intellectuelle réservés

Photo : sdecoret

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

* Mentions obligatoires

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Vous avez une question sur ce point juridique et avez besoin d’un avocat ?