RGPD (Règlement Général sur la Protection des Données) – La CNIL change de ton ?
RGPD : La Cnil change de ton ?
Le 25 mai 2019, le RGPD ou Règlement Général sur la Protection des Données est un nouveau règlement européen entrait en application dans tous les États de la communauté européenne.
Le 18 juillet dernier, la CNIL (Commission nationale et l’informatique et des libertés) a annoncé l’adoption de nouvelles directives concernant le recueil du consentement des internautes – rendu obligatoire par le RGPD (Règlement général sur la protection des données).
Les cookies étaient tout particulièrement ciblés par cette directive. Il est vrai que les modalités pratiques et concrètes d’application du RGPD en matière de cookies restaient à ce jour encore un peu floues ou interprétables.
À l’issue d’une grande concertation avec des professionnels de l’écosystème marketing, ainsi qu’avec des représentants de la société civile, la CNIL a abouti à des critères plus clairs de mise en œuvre du RGDP, avec en contre-partie une plus grande fermeté. La période de tolérance, accordée par la CNIL pour mettre en oeuvre les mesures nécessaires semble s’achever.
Désormais, les contrôles vont s’intensifier et les sanctions se systématiser envers celles qui ne répondront pas aux critères de conformité. Critères qui, eux-mêmes, sont amenés à se durcir, comme c’est déjà le cas pour nos voisins européens.
Un groupe de travail se penchera également prochainement sur les modalités pratiques et opérationnelles de collecte et de conservation de la preuve du consentement et de la durée du consentement.
La CNIL partagera ses recommandations sur l’ensemble des thèmes abordés avant la fin 2019 et le marché aura jusqu’au mois de Juillet 2020 pour se placer définitivement en conformité.
Quel impact pour les entreprises ? La CNIL entend être prise au sérieux et faire appliquer le règlementation à la lettre, avec à la clé une intensification des contrôles et des risques de sanctions financières et d’impact sur l’image de marque des entreprises.
Vous souhaitez en savoir plus sur le RGPD ? La CNIL a mis en ligne sur son site internet une formation en ligne (MOOC).Vous y trouverez l’ensemble des informations pour vous initier au RGPD et débuter ainsi la mise en conformité de votre entreprise ou organisme !
Qu’est-ce que le RGPD ?
Le RGPD ou Règlement Général sur la Protection des Données est un nouveau règlement européen qui entre en vigueur le 25 mai prochain dans tous les États de la communauté européenne. Le RGPD aura des incidences importantes pour de très nombreuses entreprises et institutions, y compris les PME et les TPE. En tant que règlement, ce dernier n’a pas besoin d’être transposé dans le droit national pour être applicable.
La collecte et le traitement des données personnelles par les entreprises et les administrations implique déjà des obligations et des droits pour les personnes dont les données sont collectées (ex. Déclaration CNIL, Devoir d’information, droit de rétractation). L’application de ces règles par les entreprises est pourtant encore aujourd’hui perfectible. “Les usages digitaux” rendent la protection de la vie privée encore plus sensible.
Dans le cadre du RGPD, la logique de déclaration obligatoire à la CNIL issue de la loi informatique et libertés, va être abandonnée au profit des notions d’ “accountability” (responsabilisation) et de “Privacy by Design” et de la tenue systématique d’un registre de traitements des données qui fait que l’entreprise doit garantir, à tout moment, que les process en place sont conformes, sécurisés et garantissent la confidentialité des données.
Les entreprises auront donc l’obligation de recenser et consigner tous les traitements de données personnelles au sein de l’entreprise (collecte, stockage, utilisation, partage ou destruction). Sont qualifiées données à caractère personnel toutes celles qui se rapportent à une personne physique identifiée ou identifiable.
Ces règles s’appliqueront également aux sous-traitants des entreprises.
Quels sont les objectifs du RGPD vis-à-vis des personnes physiques ?
Les principaux objectifs visés par ce nouveau règlement sont d’une part, de renforcer le droit des personnes, de mieux protéger la vie privée des personnes physiques en gardant la maîtrise des informations à caractère personnel collectées par les entreprises et d’autre part, de responsabiliser les entreprises afin qu’elles assurent la protection de ces données.
Le RGPD vise également à harmoniser la réglementation européenne et rendre aussi plus cohérente l’action des autorités de contrôle.
Selon la dernière étude BVA d’octobre 2017, seuls 25% des Français estiment que la confidentialité de leurs données personnelles est correctement assurée sur internet. Plus globalement, 70% sont inquiets concernant la sécurité de ces données.
Le RGPD se concrétise pas de nouveaux droits et la réaffirmation du consentement. Citons parmi ces droits :
- Consentement : les utilisateurs doivent systématiquement pouvoir donner leur accord en ce qui concerne la collecte de leurs données personnelles ou pouvoir la refuser ;
- Information : ils doivent également être informés de façon claire et intelligible de l’utilisation qui sera faite de leurs données et l’entreprise devra être capable de prouver son consentement ;
- Limitation durée du traitement : vous devez communiquer pourquoi vous traitez les données et combien de temps elles seront stockées ;
- Droit à la portabilité et le droit à l’oubli : il permettra aux personnes physiques si elles le souhaitent de disposer de l’ensemble des données collectées les concernant ou de demander leur destruction ;
- L’accord d’un représentant légal sera nécessaire pour la collecte de données des mineurs de moins de 16 ans ;
- Respect du Principe de finalité: vos traitements doivent avoir un but précisément défini ;
- Une notification en cas de violation de vie privée sera désormais également obligatoire (Notification à la CNIL dans un délai maximum de 72 heures) ;
- Assurer la sécurité renforcée des données sensibles (ex. santé, orientation sexuelle, religion, race et opinions politiques).
Qu’entend-on par données à caractère personnel ?
Les données personnelles sont l’ensemble des informations collectées sur une personne physique qui permettent d’identifier ou de la rendre identifiable comme par exemples :
- Identité (ex. un prénom et un nom) ;
- Coordonnées (ex. une adresse personnelle) ;
- Une adresse e-mail telle que prénom.nom@entreprise.com ;
- Un numéro de carte d’identité ;
- Des données de localisation (ex. Données de localisation GPS)
- Une adresse IP ;
- L’identifiant d’un cookies ;
- Un trombinoscope ou un annuaire.
Seule la collecte des données relative aux personnes est concernée. Il peut s’agir toutefois de particuliers, de commerçants ou d’artisans exerçant en nom propre, ou encore de professions libérales. Et il importe peu, par exemple, qu’une adresse soit privée ou professionnelle. Dès lors qu’il s’agit de l’adresse d’une personne physique, elle est protégée. Les informations collectées relatives aux personnes morales (sociétés, associations, etc.) ne sont pas concernées par le RGPD.
Si ces données sont collectées et conservées, quel que soit le moyen et le statut des personnes concernées (ex. Clients, prospects, Salariés, …) le règlement européen s’applique.
Qui est concerné par le RGPD ?
Toutes les sociétés, organismes, institutions qui collectent ou traitent des données à caractère personnel de citoyens ou résident européens sont concernées. Votre entreprise dispose très probablement d’une base de données client (CRM), utilise des leviers d’acquisition marketing digitaux ou dispose d’un site internet.
Il est donc probable que votre entreprise soit soumise à ces obligations. Les entreprises devront donc auditer et modifier l’ensemble des mentions « Informatiques et Libertés » contenues dans les formulaires et les mentions légales de leur site web ou leurs conditions contractuelles par exemple. Il vous faudra donc entre autres choses intervenir avant le 25 mai sur votre site internet, vos applications mobiles et vos outils marketing afin de vous mettre en conformité. Nous sommes à votre disposition pour envisager ces interventions sur vos outils digitaux.
Même si l’objectif est de responsabiliser les entreprises, de lourdes sanctions financières sont prévues en cas de non-respect du dispositif, les entreprises s’exposeront à des amendes d’un montant allant de 2 à 4% du C.A. mondial de l’entreprise et pouvant représenter jusqu’à 20 millions d’euros d’amende pour les infractions les plus graves !
RGPD : quels sont vos droits et obligations
De manière synthétique vos principales obligations sont :
- Un renforcement des obligations existantes (information des utilisateurs, finalité, consentement, protection contre la perte, le vol et la détérioration des données informatiques stockées par l’entreprise) ;
- De nouvelles obligations (limitation de la durée du traitement, notifier les violations, désigner un responsable délégué à la protection des données (“Data Protection Officer”) ;
- Recenser les traitements qu’elles mettent en œuvre dans un « Registre des traitements » pour les entreprises de plus de 250 salariés.
Le RGPD s’imposera à toute entreprise européenne à compter du 25 mai prochain
Le RGPD s’imposera à toute entreprise européenne à compter du 25 mai prochain. Le nouveau règlement va accentuer la responsabilité des entreprises. Êtes-vous prêt ? Quelle est la marche à suivre pour se mettre en conformité ? La CNIL décrit sur son site interne les 6 grandes étapes de mise en application du RGPD (Règlement européen sur la protection des données : ce qui change pour les professionnels).
En synthèse ces 6 étapes de mise en conformité sont :
1 – Désigner un pilote
La désignation d’un délégué à la protection des données est obligatoire en 2018 si :
- Vous êtes un organisme public ;
- Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
2 – Cartographier vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles et élaborez un registre des traitements (documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales : types de traitements et de données personnelles, objectifs de la collecte et du traitement, sous-traitants … ).
3 – Prioriser les actions à mener
Après avoir identifié les traitements de données personnelles mis en œuvre au sein de votre entreprise, il vous faudra les prioriser et définir les actions à mener.
Quelques points d’attention :
- Les données sont-elles nécessaires à la poursuite de vos objectifs ?
- La collecte et le traitement sont-ils juridiquement conformes (ex. consentement de la personne, intérêt légitime, contrat, obligation légale) ?
- Avez-vous mis à jour vos mentions d’informations afin de les rendre conformes aux articles 12, 13 et 14 du RGPD ?
- Avez-vous pris les mesures contractuelles et d’information vis à avis de vos sous-traitants ?
- Avez-vous prévu les modalités d’exercice de droits des personnes (ex. rectification, suppression portabilité , droit à l’oubli, …) ;
- Avez-vous mis en oeuvre l’ensemble des mesures nécessaires pour assurer la sécurité de ces données ?
4 – Gérer les risques
Si des traitements de données personnelles sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
5 – Organiser les processus internes
Pour assurer la protection des données vous devrez définir et mettre en place des procédures internes tout au long du cycle de collecte et de traitement des données (ex. faille de sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire).
6 – Documenter la conformité
Afin d’être en mesure de prouver votre conformité au RGPD, il vous faudra constituer et tenir à jour une documentation sur l’ensemble des processus de collecte et de traitement réalisés (documentation, mentions, procédures mise en place, y compris de contrats de sous-traitance).
RGPD : Transformer une contrainte en opportunité
- Son application peut contribuer à renforcer le capital confiance et à la réputation de la marque vis-à-vis de ses clients, prospects, partenaires, salariés ;
- Elle est l’occasion de renforcer la sécurité des données de l’entreprise qui constitue aujourd’hui un véritable patrimoine immatériel ;
- Elle peut permettre aux entreprises de rationaliser leur système d’information et d’optimiser son efficacité.
Quels sont les impacts opérationnels du RGPD sur vos supports de communication digitaux ?
Le RGPD a un impact opérationnel immédiat sur vos outils de marketing et de communication (site web, applications mobiles, chatbots, CRM, gestion de vos emailings, réseaux sociaux,…). Il vous faudra par exemple :
- Modifier l’ensemble des mentions légales présentes sur votre site et sur vos formulaires de collecte (ex. durée de conservation, finalité,…) ;
- Ajoutez systématiquement un lien de désabonnement intégré à votre newsletter ;
- Conserver la preuve du consentement ;
- Pas de limite de durée de conservation des adresses mails collectées grâce au champ d’inscription à la newsletter, tant que l’utilisateur ne fait pas de demande de suppression ou de désabonnement ;
- Pour la gestion des données sensibles, la CNIL recommande d’avoir recours au cryptage ou l’anonymisation des données (ou pseudonymisation) ;
Vous constatez une baisse de vos statistiques de fréquentation depuis la mise en conformité de votre site au RGPD ? Consultez cet article.
Notre agence web basée à Nantes est à votre écoute pour vous accompagner dans l’application du RGPD sur votre site internet ou sur votre application mobile. La CNIL et BPI France ont également mis en ligne un Guide pratique de sensibilisation au RGPD pour les Petites et moyennes entreprises.