RGPD : Les 7 règles à respecter pour être conforme

Le RGPD est applicable depuis le 25 mai 2018. Il est né de la volonté de renforcer la maitrise des personnes au sein de l'Union Européenne sur leurs données personnelles. 

En effet avant l'entrée en vigueur du règlement européen, s’étaient succédés des fuites de données à grande échelle : 

• le piratage de Yahoo en 2014 ;
• le piratage d’Uber en 2016 : 57 millions d'utilisateurs concernées (chauffeurs et clients) ;
• le scandale Facebook-Cambridge Analytica en 2018 : 87 millions d’utilisateurs concernés.

Ces données personnelles ont été vendues et utilisées non seulement pour commettre des piratages de compte personnel, mais aussi pour influencer des choix électoraux, notamment le Brexit.

Ces piratages informatiques ont souligné l’urgence de l’enjeu de la protection des données personnelles dans une économie numérique en constante évolution. Applicable depuis le 25 mai 2018, le RGPD remplace une directive européenne de 1995 pour y renforcer ses bases afin de faire face aux nouvelles pratiques digitales et à l’émergence des réseaux sociaux.

Depuis lors, chaque entité traitant des données personnelles (entreprise, collectivité publique, etc) a l’obligation de collecter et traiter les données personnelles en conformité avec les dispositions du RGPD. 

Nous aborderons les points suivants dans cet article : 

• Définition et objectifs du RGPD ; 
• Définition d’une donnée personnelle ; 
• Les 7 règles à connaître pour assurer sa conformité ; 
• Les sanctions en cas de non-respect des règles RGPD. 

Qu’est-ce que le RGPD ?

Avant de dérouler les 7 règles, définissons les notions sur lesquels reposent le règlement européen sur la protection des données personnelles.

Les organismes concernés

Le RGPD est le texte de référence permettant aux personnes situées sur le territoire de l'UE de garder le contrôle sur leurs données personnelles.

Ce règlement clarifie les règles concernant le traitement des données personnelles des personnes situées sur son territoire quels que soient : 

• la localisation de l’organisme : par exemple, une société installée aux États-Unis dont les activités visent des personnes situées sur le territoire de l'UE doit respecter le RGPD ;
• la taille de l’organisme : TPE, PME, entreprises du CAC 40, collectivités locales, ministères, ONG, etc. ;
• ou encore son secteur d’activité.

Si votre entreprise traite des données personnelles (accès, collecte, stockage...) y compris dans un cadre professionnel, vous devez respecter le Règlement Général sur la Protection des Données.

Les objectifs poursuivis par le RGPD

Uniformiser les règles au sein de l'UE offre de fait aux personnes concernées une meilleure visibilité et un contrôle accru sur leurs données personnelles. 

Le RGPD impose aux entreprises d’apporter des réponses claires et sans ambiguïté à des questions importantes.

• Quelles sont les données personnelles collectées ?
• Quel est le but poursuivi par l’entreprise qui me les demande ?
• Combien de temps mes données sont-elles conservées ?

Les entreprises doivent faire preuve de transparence et agir de manière responsable avec les données personnelles.

Les autorités de contrôles nationales, la CNIL en France, disposent désormais de pouvoirs contraignants pour obliger les entreprises au respect du règlement européen.

Si le RGPD semble avoir apporté peu de changements visibles pour les personnes concernées au quotidien, cela peut représenter un véritable tsunami au sein des entreprises.

En effet, le RGPD impose l'intégration d’outils et de processus pour assurer la protection des données personnelles de tous les personnes en contact avec votre société : 

• réponse aux demandes d’exercice des droits ;
• sensibilisation des salariés au RGPD ;
• recueil de consentement des personnes concernées (si applicable) ;
• tenue de fichier comme le registre de traitement de données personnelles ; 
• renforcement des mesures de sécurité ;
• etc...     

RGPD : les définitions essentielles 

Le RGPD définit un certain nombre de notions essentielles dans son article 4. Il est notamment primordial de savoir en quoi consiste une donnée personnelle ainsi qu’un traitement de données personnelles. 

Qu’est-ce qu’une donnée personnelle ?

Le RGPD donne un sens large à la notion de donnée personnelle. En effet, l’article 4-1 du RGPD en donne la définition suivante : “toute information se rapportant à une personne physique identifiée ou identifiable”.

Une "personne physique identifiable" est une "personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale”. 

Ainsi, un nom, un prénom, un numéro de téléphone, un numéro de sécurité sociale, une adresse électronique contenant un nom/prénom sont des données personnelles. Si une entité traite ces données, la réglementation sur la protection des données est applicable.

Mais le RGPD va plus loin encore puisqu’il couvre également les possibilités de croisements de données a priori anonymes mais dont le recoupement pourraient conduire à l'identification de la personne concernée.

🔎 Exemple : vous êtes un passionné de tennis. Votre date de naissance, votre abonnement à la presse spécialisée, votre lieu de résidence, votre activité professionnelle ou encore votre inscription au club constituent une base de données suffisante pour vous identifier. La définition de la donnée personnelle est donc dépendante du contexte de son traitement.

Qu’est-ce que le traitement de données personnelles ?

L’article 4-2 du RGPD donne la définition suivante du traitement de données : “toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction.”

Il en résulte que le traitement de données personnelles est constitué de toute opération, matérielle ou immatérielle, réalisée sur des données personnelles.

🔎 Exemple : lors de votre passage en caisse dans un magasin, on peut vous demander votre carte de fidélité. Si vous n'en avez pas, on vous propose de remplir un formulaire de collecte pour confirmer votre adhésion. Cette collecte d'informations constitue un traitement de données personnelles.

📝 À noter : Les informations concernant les entreprises (adresse, numéro de téléphone de l'accueil, email générique type contact@entreprise.com...) ne sont pas considérées comme des données personnelles. Le RGPD ne s'applique pas aux fichiers professionnels listant des informations strictement liées à des personnes morales.

Il s’avère que vous traitez des données personnelles ? Voici 6 règles à respecter pour un traitement des données personnelles conforme au RGPD. 

7 règles RGPD à respecter pour traiter les données personnelles 

1- Respecter le principe de minimisation des données personnelles

Le principe de minimisation des données exige que l'organisme ne collecte que les données indispensables à son activité. Autrement dit, plus vous limitez l' utilisation de données, plus vous vous rapprochez de la conformité.

Par principe, vous devez collectez le minimum de données, à savoir celles strictement nécessaires à l'atteinte d'un objectif défini et légitime.

Posez-vous la question suivante : « Pourquoi dois-je recueillir cette donnée ? »

Les données ne doivent pas être collectées dans l’unique but de les conserver afin de vous en servir ultérieurement. On ne collecte pas les données personnelles “au cas où”. 

Pour vous conformer à ces principes, vous devez :

1. définir l’objectif avant toute collecte (appelée "finalité") et le légitimer selon votre activité ;
2. informer les personnes concernées par le traitement de votre objectif et demander leur consentement le cas échéant ;
3. utiliser les données obtenues uniquement pour atteindre la finalité définie ;
4. demander exclusivement des données « pertinentes » compte-tenu de cette finalité ;
5. habiliter seulement les employés de l’entreprise qui ont besoin d'y accéder.

🔎 Exemple : vous tenez une pizzeria qui livre à domicile. Le consommateur vous communique son nom, son numéro de téléphone, son e-mail et son adresse. La collecte de ces informations est légitime et suffisante. En revanche, la pizzeria n’a pas besoin d’un numéro de sécurité sociale.

La transaction conclue, le gérant de la pizzeria ne peut en aucun cas utiliser ces informations pour d'autres finalités, par exemple à des fins de revente à des partenaires commerciaux.

Pour utiliser ces données à d’autres finalités, il faut obtenir le consentement « actif » du consommateur.

2- Recueillir le consentement des personnes concernées

Le recueil des données doit reposer sur une base légale. Elles sont listées par le RGPD : le contrat, l' intérêt légitime, l’obligation légale, la sauvegarde des intérêts vitaux d’une personne, la mission d' intérêt public. Si la collecte des données n’est justifiée par aucun de ces motifs, vous devez recueillir le consentement de la personne concernée.  

🔎 Pour reprendre l’exemple précédent : vous pouvez utiliser ces données personnelles pour livrer la commande et communiquer avec le client durant ce processus. La base légale est le contrat (la commande). En revanche, il est interdit de vendre ces informations à des partenaires commerciaux, par exemple pour envoyer des mails de promotions, sans avoir recueilli son consentement. En effet, la finalité de traitement des données est différente.   

Le responsable du traitement n’est autorisé à procéder au traitement des données personnelles qu’à condition :

• de recueillir préalablement le consentement de la personne concernée,
• et d'en assurer la validité, c’est-à-dire de s’assurer que ce consentement soit libre, spécifique, éclairé et univoque.

Le recueil du consentement doit être explicite. L’interlocuteur qui utilise un service doit être libre de donner son consentement et en comprendre les objectifs. 

✖️ Ainsi, une case cochée par défaut inscrite en tout petit sur un formulaire d’inscription n’est pas valable. 

✅ Dans notre exemple, il est conseillé de transmettre au client un formulaire en ligne. Vous rédigez une mention qui explique le partage des données au partenaire commercial. Le client devra cocher une case pour signifier sa compréhension et son approbation.

3- Respecter le principe de transparence et d’information des personnes concernées 

RGPD : les informations à communiquer 

Avec le RGPD,  les personnes concernées conservent le contrôle de leurs données. Encore faut-il qu’ils soient informés de : 

• l’objectif poursuivi, 
• du type de données collectées,
• de la nature du traitement réalisé,
• et des moyens existants pour conserver la maîtrise des informations (droit d’ accès, droit d’effacement, etc.).

Vous devez indiquer à votre interlocuteur de manière concise, simple et claire :

• l’identité et les coordonnées de votre entreprise (le responsable de traitement) ;
• les coordonnées du DPO (Data Protection Officer) s'il est désigné ;
• l’identité des personnes habilitées à accéder aux données (les "destinataires") : un de vos sous-traitants peut avoir besoin d’accéder aux informations collectées pour honorer une commande. A minima les catégories de destinataires doivent être indiquées ;
• la durée de conservation des données ;
• la finalité de la collecte ;
• la base légale du traitement de données : ce qui vous autorise à collecter ces informations ; 
• la possibilité d'exercer ses droits : droits d’accès, de rectification, procédure de réclamation auprès de la CNIL..  ;

Les moyens de communication de ces informations

Pour favoriser une communication fluide, votre entreprise a le choix du support. Celui-ci doit adapté à votre activité et aux modalités d'interactions, facilement accessible au moment de la collecte et surtout intelligible :

• des messages en vidéo ;
• des messages audio ;
• une documentation papier ;
• un QR code ;
• un SMS ;
• un e-mail.

Votre interlocuteur doit profiter d’une vision globale, comprendre l’utilisation des données fournies et leurs évolutions au sein de l’entreprise.

Vous pouvez également indiquer un premier niveau d'information sur un formulaire de collecte puis renvoyer vers une politique de confidentialité plus complète.

4- Faciliter l’exercice des droits des personnes concernées 

Les droits de la personne concernée sont listés au chapitre 3 du RGPD, dans les articles 15 à 22.

En effet, la personne concernée possèdent un droit de regard sur les données qu’elle vous confie. La maîtrise des données personnelles par les personnes concernées est LE pilier majeur du règlement général sur la protection des données personnelles.

Les personnes concernées bénéficient notamment des droits suivants : 

• y accéder : droit d’ accès article 15 RGPD),
• les modifier : droit rectification (article 16 RGPD),
• les effacer : droit à l’effacement article 17 RGPD),
• ou encore s’opposer à leur traitement : droit d’opposition au traitement des données (article 21 RGPD).

Vous devez faciliter l’exercice de ses droit RGPD, c’est-à-dire prévoir un processus simple et efficace pour satisfaire les demandes de la personne concernée dans le délai imparti d’ 1 mois.

Il est possible de refuser une demande à condition de justifier d’un motif légitime de refus (impossibilité d’identifier une personne, demande infondée, etc.). 

5- Conservez les données le temps nécessaire, pas au-delà

Le traitement des données nécessite de conserver un temps ces informations. Une fois l’objectif atteint, que deviennent les données en votre possession ?

3 possibilités :

1. la destruction ;
2. l'archivage pendant la durée de prescription de recours ou de réclamation après un achat par exemple ;
3. l' anonymisation.

La difficulté : le RGPD ne précise aucun délai de conservation des données personnelles. Sur le terrain, il est souvent demandé aux équipes métiers de déterminer ces durées au regard de leurs besoins et de leurs obligations légales (sans qu’elles soient abusives bien entendu).

Pour vous accompagner, la CNIL vous propose deux outils d’aide à la décision :

• un guide pratique ;
• un référentiel de durée par secteur d’activité.

Ces outils vous guident pour définir un délai de conservation pertinent.

6- Sécurisez, adaptez et protégez les données personnelles

Sécuriser les données personnelles

Sécurisation des locaux, autorisation d' accès uniquement pour certains salariés ... La sécurisation des données personnelles ne se limite pas à l’installation d’un antivirus sur un ordinateur.

Des procédures supplémentaires de sécurisation et de protection des données personnelles doivent être mises en place selon la sensibilité des données recueillies et traitées. Vous devez même anticiper les risques et leurs conséquences pour les usagers.

C’est un sujet à ne pas prendre à la légère ! Votre image, la relation de confiance que vous entretenez avec vos clients et vos salariés sont en jeu.

Imaginez les conséquences d'une fuite d'identifiants de connexion pour des comptes en banque ! Entreprises, clients, salariés… Les conséquences seraient gravissimes pour tous les acteurs.

Adaptez le niveau de sécurisation à la sensibilité des données.

Les données personnelles en votre possession sont sujettes à risques, en particulier en ce qui concerne les données dites "sensibles". Il s'agit d'informations liées à l'origine raciale, ethnique, opinions religieuses, politiques, philosophique, appartenance syndicale, données de santé, données biométriques ou génétiques.

Le niveau de sécurisation doit être en adéquation. Des techniques d’anonymisation et de chiffrement constituent une protection efficace contre les tentatives d’utilisation ou de manipulation des données personnelles.

Pour vous aider, l’ANSSI (l'Agence Nationale de la Sécurité des Systèmes d'Information) et la CNIL proposent des guides complets.

Sécurisation des données personnelles : les gestes de base

Pour sécuriser les données personnelles, voici les règles de base à appliquer : 

1. sélectionnez de mots de passe complexes ;
2. procédez aux mises à jour de vos logiciels (notamment antivirus et système d’exploitation) ;
3. réalisez des sauvegardes ;
4. sécurisez l’accès au Wi-Fi de votre entreprise ;
5. utilisez les outils nécessaires et adoptez une attitude responsable (ne vous connectez pas un réseau Wifi non sécurisé) ;
6. vérifiez et contrôlez l’origine des logiciels téléchargés ;
7. distinguez les usages (personnels et professionnels).

De manière générale, lors du déploiement de mesures de sécurité, posez-vous les questions suivantes : 

• Quels risques pour les personnes et sa cause en cas de disparition/modification/divulgation des données personnelles ?
• Quelles mesures adoptées pour éviter ce risque ?
• Cette menace est-elle réelle et quelles en seraient les conséquences ?

📝 À noter : La CNIL et la CPME (Confédération des petites et moyennes entreprises) proposent un guide à destination des PME pour les accompagner dans cette démarche de sécurisation basique.

7- Maintenir un niveau de conformité RGPD satisfaisant 

Vous avez mis votre entreprise en conformité avec le RGPD. Parfait ! La protection des données personnelles de vos interlocuteurs a significativement progressé.

Cependant, il s’agit d’une course de fond et non d’un sprint. Il vous faut maintenant veiller à assurer la pérennité des procédures instaurées et des décisions prises pour respecter le RGPD : 

• en sensibilisant les salariés aux bonnes pratiques ;
• en vérifiant régulièrement les processus ;
• en étant au fait de l’actualité sur la sécurité des données, etc... 

La collecte, le consentement, l’information des personnes concernées, la sécurisation des données… Vous devez être en mesure de justifier votre démarche de traitement des données et d’apporter les preuves que vous agissez conformément au RGPD en cas de contrôle de la CNIL.

Les sanctions d’un manquement aux règles RGPD

Vous en savez désormais un peu plus sur les réflexes à adopter et la réflexion à mener pour traiter des données personnelles en conformité avec le RGPD.

Un sujet sensible, complexe, auquel vous devez attacher toute votre attention.

Selon une étude réalisée par ProofPoint, société spécialisée dans la cybersécurité, 91 % des organisations françaises (entreprises, hôpitaux, collectivités territoriales...) ont été victimes d’une tentative de cyberattaque en 2020.

Pensez-y ! Une perte de contrôle des données de vos clients et de vos salariés s’accompagnerait d’une défiance envers votre société. En cas de dépôt de plaintes répétées, la CNIL peut rendre publique les agissements d’une société négligente

Finalement, la relation de confiance avec vos clients serait rompue durablement et l’image de votre entreprise profondément dégradée.

Et puis, n’oublions pas que des sanctions lourdes sont encourues par les contrevenants :

• des sanctions pénales ;
• des sanctions administratives : jusqu’à 20 millions d’euros d’amendes ou 4 % du chiffre d’affaires annuel réalisé à l’échelle mondiale ;
• dommages et intérêts en cas de poursuites judiciaires.

Le RGPD responsabilise les organismes vis-à-vis des enjeux de protection des données personnelles. Se mettre en conformité est incontournable ! 

💡 Et vous ? Avez-vous des difficultés à appliquer le Règlement Général sur la Protection des Données personnelles ? Pour aller plus loin, téléchargez notre livre blanc complet sur le sujet!

Le logiciel RGPD Leto vous accompagne à chaque étape. Contactez-nous pour échanger !