MLXcorp - Blog - Loi RGPD : Règlement général sur la protection des données

Loi RGPD : Règlement général sur la protection des données

2018-01-27

Catégories : NewsletTux Enterprise NewsletTux Premium NewsletTux Standard

Préambule

Cet article est créé suite à une rencontre avec une sociétés d'avocats dans le cadre d'utilisation d'un ERP / CRM d'entreprise. Il concerne partiellement le mailing, mais puisque le but, avec NewsletTux, est de faire du mailing, je me suis dit que ça pouvait intéresser mes lecteurs !

Le contenu ci-dessous est mon interprétation, ma paraphrase de ce qu'ils ont dit. J'espère ne pas avoir fait d'erreur, auquel cas je corrigerai. Je ne pense pas que ce contenu soit propriétaire / confidentiel, c'est pourquoi je le partage ici.

1. Un peu de vocabulaire ...

Nous savons tous que les juristes et avocats ont un vocabulaire assez riche et souvent peu clair du premier abord. Je vais donc lister ci-dessous quelques notions qu'ils ont définies.

Qu'est-ce que ...

notion	Pris en charge par NewsletTux ?	Explication
Une donnée personnelle	Oui	C'est une information (au format papier ou électronique) se rapportant à une personne physique identifiée ou identifiable directement ou indirectement, notamment par référence à un identifiant, tel : qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. Exemples : n° sécurité sociale, adresse email, n° INE (étudiant)
Un traitement de données	Oui	Il s'agit d'une opération, ou d'un ensemble d'opérations à l'aide de procédé manuel ou automatisé, appliqué(e) à des données à caractère personnel telles que : la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. Exemples : emailing
Un responsable de traitement	N/A	Il s'agit d'une personne, physique ou morale, une autorité publique ou autre organisme qui, seul ou conjointement, détermine les finalités et les moyens du traitement. Exemple : L'établissement public ou privé qui délivre un enseignement à une personne et qui, à cette fin, traite certaines de ses données personnelles (dossier étudiant, saisie des notes, agenda, etc.).
Un sous-traitant	Oui	Il s'agit d'une personne physique ou morale, autorité publique, service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement. exemple : NewsletTux

2. Loi Informatique vs RGPD

2.1. La Loi informatique et Libertés

Actuellement en vigueur : la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (intégrant notamment les dispositions de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique) dite « Loi Informatique et Libertés ».

Que dit-elle ?

Un traitement de données personnelles ne peut être effectué que pour une finalité déterminée, explicite et légitime, sous réserve de respecter l'une des conditions suivantes :

Obtenir le consentement exprès de la personne concernée ;
Le traitement est nécessaire en vue de l'exécution d'un contrat ;
Le traitement est nécessaire en vue du respect d'une obligation légale ou pour l'intérêt vital de la personne concernée ou encore en vue de l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers.

Exemple : Les formulaires de collecte de données personnelles doivent comporter des mentions d'information.

2.2. Apports du RGPD

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD » entrera en vigueur au plus tard le 25 mai 2018.

2.2.1. Renforcement de la Loi Informatique et Libertés

Le consentement se définit comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ;

Il ne saurait dès lors y avoir de consentement en cas de silence, de case cochée par défaut ou d'inactivité ;
Possibilité de retirer le consentement à tout moment

2.2.2. Renforcement des droits des personnes concernées

Loi Informatique et Libertés :	Renforcement RGPD (liste non exhaustive) :
Droit d'accès aux données ; Droit de les rectifier ; Droit de s'opposer à leur utilisation pour des motifs légitimes ; Directives post mortem (introduites par la Loi République Numérique).	Droit de portabilité des données ; Droit à l'oubli ; Droit à la limitation ; Protection des mineurs (16 ans), au max 13 ans par les Etats-Membres « en ce qui concerne les services de la société de l'information » ;

2.2.3. Renforcement des mesures de sécurité

Loi Informatique et Libertés :	Renforcement RGPD (liste non exhaustive) :
Prendre les mesures de sécurité techniques et organisationnelles ;	Privacy by default (Chaque nouvelle technologie traitant des données personnelles doit garantir dès sa conception le plus haut niveau possible de protection des données personnelles) ; Privacy by design ( les personnes concernées doivent bénéficier du plus haut niveau de protection possible de leurs données personnelles) Violation de données personnelles : notification à l'autorité de contrôle, communication au Responsable de Traitement puis du Responsable de Traitement à la personne concernée ; Analyse d'impact relative à la protection des données personnelles et consultation le cas échéant de l'autorité de contrôle

Loi Informatique et Libertés :

Renforcement RGPD (liste non exhaustive) :

Prendre les mesures de sécurité techniques et organisationnelles ;

Privacy by default (Chaque nouvelle technologie traitant des données personnelles doit garantir dès sa conception le plus haut niveau possible de protection des données personnelles) ;
Privacy by design ( les personnes concernées doivent bénéficier du plus haut niveau de protection possible de leurs données personnelles)
Violation de données personnelles : notification à l'autorité de contrôle, communication au Responsable de Traitement puis du Responsable de Traitement à la personne concernée ;
Analyse d'impact relative à la protection des données personnelles et consultation le cas échéant de l'autorité de contrôle

Selon l'article 35 du RGPD :

« Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Une seule et même analyse peut porter sur un ensemble d'opérations de traitement similaires qui présentent des risques élevés similaires ».

« L'analyse d'impact relative à la protection des données est, en particulier, requise dans les cas suivants (…) : le traitement à grande échelle de [données personnelles qui] révèle[nt] [l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique] ».

2.2.4. DPO : Data protection Officer

Loi Informatique et Libertés :	Renforcement RGPD (liste non exhaustive) :
Correspondant Informatique et Libertés (CIL) non obligatoire ;	Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données lorsque : Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle; Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; Ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Loi Informatique et Libertés :

Renforcement RGPD (liste non exhaustive) :

Correspondant Informatique et Libertés (CIL) non obligatoire ;

Le responsable du traitement et le sous-traitant désignent un délégué à la protection des données lorsque :

Le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;
Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
Ou les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données sensibles et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Chaque responsable du traitement tient un registre des activités de traitement effectuées sous sa responsabilité. Ce registre est établi le cas échéant avec son (ou ses) sous-traitant(s).

Ce registre comporte de nombreuses informations (désignation RT, finalités, données personnelles, destinataires, transferts hors UE, mesures de sécurité etc.)

Dans le cas de NewsletTux : le registre concerne l'ensemble des données utilisateurs stockées (visible dans la page des abonnés, avec les champs complémentaires en sus).

2.2.5. Refonte de la relation juridique entre responsable de traitement et sous-traitant

Chaque contrat régissant les relations contractuelles entre un responsable de traitement et un sous-traitant doit contenir certaines clauses spécifiques, lesquelles n'étaient pas prévues dans la Loi Informatique et Libertés (par ex : clause d'audit).

Renforcement par le RGPD :

Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi
Un sous-traitant n'est tenu pour responsable du dommage causé par le traitement que s'il n'a pas respecté les obligations prévues par le présent règlement qui incombent spécifiquement aux sous-traitants ou qu'il a agi en-dehors des instructions licites du responsable du traitement ou contrairement à celles-ci.
Lorsque plusieurs responsables du traitement ou sous-traitants ou lorsque, à la fois, un responsable du traitement et un sous-traitant participent au même traitement et, lorsqu'ils sont responsables d'un dommage causé par le traitement, chacun des responsables du traitement ou des sous-traitants est tenu responsable du dommage dans sa totalité afin de garantir à la personne concernée une réparation effective

Exemple : Décision n°2017-053 du 30 août 2017 mettant en demeure le ministère de l'Enseignement Supérieur, de la Recherche et de l'Innovation – Admission Post-bac « Un manquement à l'obligation d'assurer la sécurité et la confidentialité des données gérées par un sous-traitant »

2.3. Renforcement des sanctions

Loi Informatique et Libertés : 300 000 € en cas de récidive
Loi République Numérique : 3 Millions €
RGPD : 20 millions € ou, dans le cas d'une entreprise, jusqu'à 4% du chiffre d'affaires annuel mondial
+ Actions collectives (que l'on retrouve en droit français dans la loi de modernisation de la justice du XXIe siècle n°2016-1547 du 18 novembre 2016).

2.4. RGPD demain

Mounir Mahjoubi, secrétaire d'État au Numérique, a annoncé un projet de loi de transposition du RGPD « début 2018 » en France. Ce sera notamment l'occasion pour le Législateur de revoir les dispositions d'ordre pénal présentes dans la Loi Informatique et Libertés et non traitées par le RGPD.

En outre, le RGPD met en avant le principe « d'accountability » (de responsabilité) qui désigne l'obligation pour le responsable de traitement de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données personnelles.

3. Dossier de conformité RGPD

La CNIL indique d'ores et déjà qu'un dossier de conformité au RGPD doit comprendre :

in registre des traitements ;
les analyses d'impact sur la protection des données ;
l'encadrement des transferts de données hors de l'Union européenne ;
les mentions d'information ;
les modèles de recueil du consentement des personnes concernées ;
les procédures mises en place pour l'exercice des droits ;
les contrats avec les sous-traitants ;
les procédures internes en cas de violations de données ;
les preuves que les personnes concernées ont donné leur consentement.

L'application est prévue au plus tard le 25 mai 2018.

Quelques ressources : livre blanc SVP ou CNIL - Se préparer en 6 étapes au RGPD.

A propos de l'auteur

Matthieu

Créateur de NewsletTux depuis 2005, je suis passé par Ingénieur Systèmes et Réseaux, et depuis peu, Directeur des Systèmes d'Information d'une PME. Un blog sur le sujet est en cours de construction ...