Organiser la protection des données personnelles (RGPD)

RGPD : pour qui, pour quoi ?

Des données personnelles… Lorsque nous utilisons des services en ligne, notre activité est associée à des identifiants en ligne (adresses IP, cookies…). Ces données peuvent servir à créer des profils et à identifier les personnes, notamment pour leur proposer des biens et des services.

Une définition... Toute information se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale est une « donnée personnelle » au sens de la règlementation.

Depuis le 25 mai 2018. et l’entrée en vigueur du RGPD, les obligations déclaratives envers la CNIL ont disparues (quelques exceptions subsistent toutefois). En contrepartie de la fin de ces obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’« accountability » ou l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives à la protection des données personnelles, d’une part et d’être en mesure d’en justifier, d’autre part.

Les exceptions qui subsistent. Les formalités déclaratives devant être effectuées auprès de la CNIL, supprimée en grande partie par le RGPD, sont maintenues pour les données « sensibles » : données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, données génétiques, données utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques et données de santé.

Traitements de données interdits. Certains traitements de données sont par principe interdits. Ainsi, il est interdit de traiter des données à caractère personnel :

• qui révèlent la prétendue origine raciale ou l’origine ethnique ;
• qui révèlent les opinions politiques,
• qui révèlent les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ;
• qui traitent des données génétiques ou des données biométriques aux fins d’identifier une personne physique de manière unique ;
• qui traitent des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.

Des exceptions... Ces données peuvent néanmoins faire l’objet d’un traitement dans un nombre limité de cas :

• • la personne concernée a donné son consentement ;
  • le traitement est nécessaire à l’exécution d’obligations respectives entre la personne concernée et le responsable de traitement ;
  • le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne qui n’est pas en mesure de donner son consentement ;
  • le traitement est effectué dans le cadre des activités d’un organisme à but non lucratif concernant ses membres ;
  • les données sont rendues publiques par la personne concernée ;
  • le traitement est nécessaire à l’exercice d’un droit en justice ;
  • le traitement est nécessaire pour des motifs d’intérêt public ;
  • le traitement est nécessaire à des fins de médecine préventive ou de médecine du travail ;
  • le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé ;
  • le traitement est nécessaire à des fins archivistiques dans l’intérêt public.

Concernant les numéros de carte bancaire. Par principe, les sites de commerce en ligne ne peuvent collecter les données bancaires de leurs clients que pour une seule transaction, impliquant une interdiction de conservation de celles-ci. Toutefois, cette conservation est possible :

• • • si la société propriétaire du site a obtenu le consentement préalable et explicite du consommateur ;
    • dans le cadre de la souscription d’un abonnement instaurant une relation commerciale régulière entre la société et le client.

Contrôle a posteriori de la CNIL. La CNIL dernière exerce une mission de contrôle. C’est pourquoi, les entreprises doivent garantir une protection optimale des données collectées et être en mesure de justifier la conformité de leur démarche à la réglementation.

Pour la petite histoire. Il a été jugé qu’une société propriétaire d’un moteur de recherche sur Internet qui informe l’utilisateur du traitement de ses données personnelles par une information vague, dont le contenu est éparpillé sur plusieurs pages, ne respecte pas ses obligations. De plus, le fait que le consentement de l’utilisateur au traitement de ses données soit recueilli par le biais d’une case déjà pré-cochée le rend invalide.

Une charte des contrôles. En raison des enjeux particulièrement importants de ces contrôles, il est essentiel que les entités contrôlées comprennent le déroulement de ces investigations et sachent comment la CNIL peut intervenir. À cet effet, la CNIL a publié une charte des contrôles.

     =>  Pour en savoir plus, consultez la charte des contrôles de la CNIL

Médiateur des entreprises. La Cnil s’est alliée avec le Médiateur des entreprises pour apaiser les tensions liées à la mise en application du RGPD. Pour rappel, le Médiateur des entreprises propose une aide gratuite, confidentielle et neutre, aux entreprises qui rencontrent des difficultés contractuelles ou relationnelles avec un client ou un fournisseur.

Quels sont les domaines concernés ? Cette nouvelle réglementation ne concerne pas seulement les rapports d’affaires mais également le rapport des entreprises avec leurs salariés, ces derniers pouvant alors être considérés comme des « utilisateurs ». Cela implique donc un allègement des déclarations des traitements de données RH.

     => Pour en savoir plus sur l’analyse d’impact, consultez notre fiche « Gestion des données personnelles : un guide pratique pour les PME »

Les droits des personnes renforcés. Le RGPD renforce les droits des personnes dont les données personnelles sont collectées :

• son consentement devra être « actif », ce que vous devrez prouver (case cochée, déclaration, écrite, etc.) ;
• il aura un droit à la portabilité de ces données.

Droit à la portabilité des données. Les personnes disposent d’un droit à la portabilité des données les concernant, leur permettant de récupérer les données qu’ils ont fournies sous une forme réutilisable, pour éventuellement les transmettre à un tiers.

Droit d’accès, de rectification et droit à l’oubli des utilisateurs. Les personnes doivent pouvoir accéder aux données collectées à leur sujet, les rectifier et, éventuellement, user de leur « droit à l’oubli numérique » (c’est-à-dire à l’effacement de leurs données personnelles).

Modalités d’exercice des droits. Il n’est pas précisé par quel moyen la demande des personnes concernées doit être faite et l’entreprise peut décider elle-même des modalités à mettre en place (il est par exemple possible d’exiger une demande par voie postale).

Responsabilité de l’entreprise. L’entreprise qui détermine les finalités, les conditions et les moyens du traitement de données à caractère personnel (appelée « responsable du traitement des données ») doit être en mesure de prouver qu’elle a obtenu ce consentement.

Page Facebook : la co-responsabilité de l’entreprise. Une société est co-responsable de traitement, avec Facebook, dès lors qu’en tant qu’administratrice de la page « fan » Facebook, elle peut :

• • obtenir des statistiques établies par Facebook à partir des visites de cette page à des fins de gestion de la promotion de son activité, lui permettant de connaître, par exemple, le profil des visiteurs qui apprécient sa page « fan » ;
  • par la création d’une telle page, placer des cookies sur l’ordinateur ou sur tout autre appareil de la personne ayant visité sa page « fan », que cette personne dispose ou non d’un compte Facebook ;
  • posséder une action de paramétrage, en fonction, notamment, de son audience cible ainsi que d’objectifs de gestion ou de promotion de ses activités, qui influent sur le traitement de données à caractère personnel aux fins de l’établissement des statistiques établies à partir des visites de la page « fan ».

Opposition de l’utilisateur. Tout utilisateur peut s’opposer, sans frais et simplement, au traitement de ses données à caractère personnel lorsqu’elles sont traitées à des fins de marketing direct.

Une obligation de transparence et d'information. Les entreprises sont soumises à une obligation d'information et de transparence qui leur impose de délivrer aux utilisateurs au moment de la collecte, une information accessible et facile à comprendre, formulée en termes simples et clairs. Cela doit leur permettre de savoir exactement si des données à caractère personnel les concernant sont collectées, par qui, dans quel but et pour quelle durée.

Impact pour votre entreprise. Ces adaptations impliquent, pour beaucoup d’entreprises, des développements informatiques pour se mettre en conformité avec la réglementation et pour leur faciliter le travail d’extraction des données dans le cadre de la portabilité.

Une procédure d’auto-évaluation. Pour aider les différents organismes (entreprises, associations, etc.) à évaluer facilement le degré d’efficacité des actions qu’ils mènent en matière de protection des données personnelles, la CNIL vient de publier une procédure d’auto-évaluation composée de 6 niveaux de maturité. Vous pouvez la consulter ici.

Mise en place d’un délégué à la protection des données : obligatoire ?

Du Correspondant Informatique et Libertés facultatif… Auparavant, toutes les entreprises pouvaient désigner un Correspondant Informatique et Libertés (CIL), leur permettant de s’affranchir des formalités déclaratives, de veiller au respect de la Loi et à la sécurité des données…

… au Délégué à la protection des données obligatoire. Depuis le 25 mai 2018, certaines entreprises doivent impérativement désigner un délégué à la protection des données (DPD ou DPO, pour « Data Protection Officer »). Les entreprises concernées sont celles qui, quelle que soit leur taille, ont une activité de base impliquant des opérations de traitement exigeant un suivi régulier et systématique des personnes ou si le traitement s’effectue à grande échelle, quand bien même il ne s’agit pas du cœur de l’activité de l’entreprise.

Qui est-il ? Le DPO peut être un salarié de l’entreprise ou non, commun à plusieurs entreprises ou non. Il est choisi sur la base de ses qualités professionnelles, de ses connaissances spécialisées de la législation et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions, parmi lesquelles :

• l’information et le conseil du responsable de traitement ou du sous-traitant ;
• le contrôle du respect de la réglementation ;
• la coopération avec la CNIL ;
• etc.

Comment le désigner ? La désignation du DPO se fait par le biais d’un téléservice sur le site web de la CNIL.

Comment exerce-t-il ses fonctions ? Le responsable du traitement et le sous-traitant veillent à ce que le DPO soit associé, d'une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel. Ils aident le DPO à exercer ses missions en lui fournissant les ressources nécessaires, ainsi que l'accès aux données à caractère personnel et aux opérations de traitement, et en lui permettant d'entretenir ses connaissances spécialisées.

Il est indépendant ! Le DPO ne doit recevoir aucune instruction en ce qui concerne l'exercice de ses missions. Il ne peut pas être relevé de ses fonctions ou pénalisé ni par le responsable du traitement, ni par le sous-traitant pour l'exercice de ses missions. Il fait, en outre, directement rapport au niveau le plus élevé de la direction du responsable du traitement ou du sous-traitant.

La contrepartie. Le DPO est soumis au secret professionnel ou à une obligation de confidentialité en ce qui concerne l'exercice de ses missions.

À noter. Le DPO exécuter d'autres missions et tâches. Le responsable du traitement ou le sous-traitant veillent à ce que ces missions et tâches n'entraînent pas de conflit d'intérêts.

Garantir sa conformité au RGPD !

Des sanctions sévères. Le non-respect de la réglementation sur la protection des données peut être sanctionné d’une amende pouvant aller jusqu’à 4 % du chiffre d’affaires mondial annuel de l’entreprise ou 20 millions d'euros (le montant le plus élevé est retenu).

Que devez-vous faire ? Pour que votre entreprise soit conforme avec le RGPD, il est nécessaire de réaliser une cartographie des données qu’elle est susceptible de collecter. Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.

Étude d’impact. Selon les résultats de cette cartographie, il peut être opportun de réaliser une étude d’impact : cette étude est obligatoire si les données traitées sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, notamment si le traitement nécessite un profilage ou dans le cadre d’un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions. Une analyse d’impact se décompose en 3 parties :

• une description détaillée du traitement mis en œuvre ;
• une évaluation justifiant de la nécessité de mettre en œuvre un traitement (finalité recherchée, nature des données collectées, durée de conservation des données, modalités d’information des personnes dont les données sont collectées, etc.) ;
• une étude technique des risques sur la sécurité des données (mesures de confidentialités des données, modalités de mise à disposition des données, etc.), ainsi que leurs impacts sur la vie privée.

     =>  Consultez la liste des opérations de traitement de données pour lesquelles la réalisation d’une étude d’impact est obligatoire (liste non exhaustive, selon la CNIL)

     =>  Consultez la liste des opérations de traitement de données pour lesquelles la réalisation d’une étude d’impact n’est pas nécessaire (liste non exhaustive, selon la CNIL)

Cas de dispenses ? La réalisation d’une telle analyse d’impact, en principe obligatoire depuis le 25 mai 2018, n’était cependant pas exigé dans certains cas :

• traitements ayant fait l’objet d’une formalité préalable auprès de la CNIL avant le 25 mai 2018, ou qui étaient dispensés de formalité ;
• traitements ayant été consignés au registre d’un correspondant « informatique et libertés ».

Une analyse définitivement obligatoire ! Cette dispense, d’une durée initiale de 3 ans, est arrivé à sa fin. Depuis le 25 mai 2021, toute personne responsable du traitement des données devra avoir effectué cette analyse, si le traitement envisagé est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Un outil d’accompagnement. Un logiciel a été mis en place par la CNIL pour faciliter la conduite d’une analyse d’impact. Celui-ci peut être téléchargé ici.

Une charte. Dans le cadre de sa mission de conseil, la CNIL a décidé de publier une charte d’accompagnement pour les professionnels afin d’apporter de la visibilité sur les différents outils qu’elle a mis en place pour leur permettre de se mettre en conformité avec le règlement. Cette charte s’adresse plus précisément :

• aux responsables de traitement ou leurs sous-traitants ;
• aux fournisseurs de solutions techniques.

À consulter. Pour en savoir plus, vous pouvez consulter et télécharger la charte à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/charte_accompagnement_des_professionnels.pdf

Attention aux arnaques ! Face à la multiplication des arnaques (mails frauduleux, appels utilisant le numéro de la CNIL, etc.) destinées à soutirer de l’argent aux sociétés dans le cadre de leur mise en conformité avec le RGPD, la CNIL rappelle qu’il ne faut jamais :

• répondre à ces messages ;
• communiquer son numéro de carte bancaire pour obtenir un prétendu remboursement ;
• effectuer des paiements en contrepartie d’un service de mise en conformité au RGPD ou dans le cadre d’un prétendu contrôle de la CNIL.

Protection des données personnelles et Chatbots

Les Chatbots, aussi appelés agents conversationnels, sont des systèmes de dialogue disponibles sur un site internet et permettent aux utilisateurs de poser des questions à un programme automatique.

Pour qu’ils puissent fonctionner correctement, certaines données personnelles peuvent être récoltées par ces dispositifs, imposant donc une conformité au règlement général sur la protection des données (RGPD), même si leur accès ne nécessite pas d’inscription.

En plus des dispositions générales, des précautions particulières doivent être prises par les responsables des Chatbots.

Cookie nécessaire à la continuité technique du Chatbot

Pour que l’internaute puisse naviguer sur le site, tout en conservant la conversation avec le Chatbot, un cookie doit être déposé. Deux cas de figure sont possibles :

• le cookie est déposé avant l’activation du Chatbot par l’utilisateur : son consentement libre, spécifique, éclairé et univoque doit être récolté au préalable ;
• le cookie est déposé au moment de l’activation du Chatbot par l’utilisateur qui clique sur la fenêtre : son consentement préalable n’est pas requis.

La conservation des données

La CNIL précise que les données peuvent et doivent être conservées le temps nécessaire à la finalité du traitement. Si l’internaute a pu obtenir une réponse à sa question à la fin du dialogue, les données devront être directement effacées. Si sa question requiert un délai de traitement plus important, les données pourront être conservées jusqu’à la clôture de la demande.

Prises de décisions de l’internaute et collecte de données sensibles

Une décision importante qui entraine des conséquences juridiques pour une personne ne peut être récoltée par l’intermédiaire d’un Chatbot entièrement automatisée sauf si :

• la personne a donné son consentement explicite ;
• la décision est nécessaire à l’exécution d’un contrat entre l’internaute et le responsable de la récolte des données ;
• la décision est autorisée par le droit de l’Union européenne ou le droit d’un Etat membre.

Enfin, le RGPD interdit la récolte des données dites « sensibles » (informations sur la santé, les opinions politiques, la prétendue origine raciale ou ethnique, etc). Cette disposition s’applique également au Chatbot.

Toutefois, il existe deux exceptions à cette règle si :

• la collecte est prévisible et le traitement pertinent : le responsable du traitement devra veiller à ce que les dispositions du RGPD concernant les données sensibles soient scrupuleusement respectées ;
• la collecte est imprévisible : il est nécessaire de mettre en garde l’utilisateur et de mettre en place un système de purge régulier.

Contenu du registre. Il doit impérativement être tenu sous la forme écrite et être laissé à la disposition de la CNIL. Il contient les coordonnées du responsable du traitement et, le cas échéant, du DPO, les catégories de données traitées, celles susceptibles de soulever des risques, les objectifs du traitement, la durée de conservation des données et les mesures de sécurité mises en œuvre.

La violation des données... En cas de violation de données à caractère personnel, le responsable du traitement doit contacter la CNIL dans les meilleurs délais et, si possible, par principe, 72h au plus tard après avoir pris connaissance de cette violation. Si la notification de la violation n’a pas eu lieu dans les 72h, il faudra expliquer les raisons de ce retard à la CNIL.

… doit être documentée ! L’indication des faits de violation et les effets de la violation sur les données et mesures prises par l’entreprise pour remédier à la violation doivent être réunis dans un dossier qui sera remis à la CNIL.

Informez ! Lorsqu'une violation de données est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, elles doivent être directement informées de la violation de leurs données dans les meilleurs délais. L’information doit être faite en des termes clairs et simples et comprendre, au minimum :

• le nom et les coordonnées du DPO ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
• la description des conséquences probables de la violation de données à caractère personnel ;
• le détail des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

Une simple faculté ? La communication à la personne concernée est facultative si le responsable de traitement a pris en amont des dispositions rendant impossible la compréhension des données pour les personnes non autorisées, si le responsable de traitement a pris des mesures ultérieures empêchant la réalisation d’un risque grave ou simplement si la communication aux personnes concernées nécessiterait des efforts disproportionnés. Une communication publique est alors possible.

Une appréciation. Lorsque l’entreprise se dispense de communication aux personnes concernées la CNIL peut apprécier de la validité ou non de ce choix et exiger que l’entreprise procède à la communication.

Faites-vous aider ! En raison des enjeux importants de cette mise en conformité, entourez-vous de développeurs informatiques et de votre conseil.

Bon à savoir. Auparavant, si vous sous-traitiez à une entreprise spécialisée la gestion du traitement des données personnelles que votre entreprise collectait, seule votre entreprise engageait sa responsabilité, vis-à-vis de la personne dont la donnée personnelle avait été violée. Depuis le 25 mai 2018, le sous-traitant engage aussi sa responsabilité.

     => Consultez le guide pratique de sensibilisation au RGPD pour les PME

À noter. L’Union nationale des associations familiales (UNAF), en collaboration avec la CNIL, a établi un guide spécifique à destination des professionnels du secteur social et médico-social qui sont susceptibles de collecter des données personnelles et notamment des données dites « sensibles ».

     => Consultez le guide pour les professionnels du secteur social et médico-social

     => Consultez le guide pour les professionnels du secteur de la gestion locative

     => Consultez le référentiel « gestion commerciale »

     => Consultez le référentiel « gestion des impayés »