Ressource
Dossier (1/2) : Le RGPD côté professionnels : comprendre le RGPD
Sommaire
- Le « RGPD », qu'est-ce que c'est ?
- Respect de la « vie privée » : qu'est-ce à dire ?
- RGPD : êtes-vous concerné-e-s par son application ?
- RGPD : les grands principes
Le » RGPD «, qu'est-ce que c'est ?
Le Règlement Général sur la Protection des Données est un texte règlementaire européen qui vise à l'amélioration de la protection des données personnelles des personnes physiques situées sur le territoire européen. Il concerne aussi bien leur stockage et leur traitement, que leur circulation entre pays. Il vient remplacer la directive européenne 95/46/CE.
Il existait déjà des règles, mais il fallait aller plus loin à l'heure de l'exploitation tous azimuts des données personnelles, aussi bien par les entreprises que par les autorités publiques. Il fallait de plus assurer une égalité des droits et obligations entre les personnes situées dans chacun des États membres de l'Union européenne.
L'exploitation des données personnelles est la matière première d'entreprises comme Google, Facebook... Mieux connaître les moindres recoins de la vie privée de leurs utilisateurs leur permet de baser leur modèle économique sur la gratuité apparente moyennant le traitement et la revente de nos données personnelles, le ciblage publicitaire fin...
Du côté des boîtes de e-marketing, la mise en œuvre du au RGPD suscite des réactions à double-facettes : à la fois elles se mordent les doigts car des techniques agressives de « growth hacking » basées sur l'aspiration anarchique de données personnelles ne seront plus possibles. Par exemple, il ne leur sera plus possible d'enregistrer à la volée l'adresse courriel que vous êtes en train d'entrer dans leur formulaire, avant que vous n'ayiez cliqué sur « Envoyer ».
Dans le même temps, le RGPD leur semble avoir un train de retard technologiquement parlant et elles comptent tabler sur un prétendu flou juridique quant aux technologies telles que l'intelligence artificielle, les techniques basées sur les devices IDs, le fingerprinting, la blockchain... Peut-être on t'elles fait l'impasse sur l'article concernant les traitements spéciaux requérant une analyse d'impact amont : les traitements innovants basés sur de nouvelles technologies doivent faire l'objet d'une étude d'impact.
De plus le considérant 30 évoque ces techniques :
« Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu'elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion («cookies») ou d'autres identifiants, par exemple des étiquettes d'identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu'elles sont combinées aux identifiants uniques et à d'autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »
Le RGPD est un gros morceau, qui demande une longue lecture et du travail pour se mettre en conformité. Mais il en va du respect de la vie privée des personnes, et cela n'a pas prix.
On a essayé ici de rendre plus digeste cette législation, espérant que ça puisse aider.
Calez-vous un coussin dans le dos, prenez votre thé préféré (ou carrément la bouilloire parce que c'est long ;-) et bonne lecture à vous.
Petit warning : certaines personnes profitent en ce début 2018 d'un certain vent de panique pour proposer leurs services d'aide à la mise en conformité. Jusqu'ici rien de scandaleux, sauf que certaines peu scrupuleuses s'auto-estampillent « certifiées/labellisées CNIL », et c'est là que le bas blesse. Voir l'info officielle de la CNIL à ce sujet : les certifications sont en pleine élaboration et les labels ne vont très bientôt ne plus être valides :
Lire :www.cnil.fr/fr/transition-vers-le-rgpd-des-labels-la-certification
Textes :
En 2018, le Règlement européen « RGPD » a été transcrit en France via la « Loi relative à la protection des données personnelles » :www.senat.fr/dossier-legislatif/pjl17-296.html
www.assemblee-nationale.fr/15/ta/tap0084.pdf [.PDF]
Le RGDP, Règlement (UE) 2016/679 :
eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
Affaire SAFARI:
fr.wikipedia.org/wiki/Loi_informatique_et_libert%C3%A9s#Le_projet_SAFARI_et_la_cr%C3%A9ation_de_la_CNIL
Respect de la » vie privée « : qu'est-ce à dire ?
Comme nous l'avons vu, la notion de protection des données à caractère personnel (dites aussi en abrégé « données personnelles ») est née à une époque où internet n'était pas comme aujourd'hui dans les foyers ou à portée d'ordiphone ; elle concerne donc une thématique plus large que le surf sur Internet. Les fichiers papier sont aussi couverts par le Règlement, tout comme par la première loi « Informatique et Libertés » de 1978.
« Il s’applique aux traitements de données personnelles, réalisés sur support informatique (logiciels, applications, bases de données, sites web...), mais également sur support papier. »
esante.gouv.fr/sites/default/files/asset/document/rgpd-fiche-1.pdf [.PDF]
Selon l'article 2 de la loi « Informatique et Libertés », une donnée à caractère personnel est « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne ».
Quelques exemples de données à caractère personnel :
- les noms, prénoms ;
- les numéros de téléphone et plaques d'immatriculation ;
- une liste de contacts ;
- une adresse courriel laissée sur un site web pour s'inscrire ;
- une date et un lieu de naissance ;
- un numéro de CB ;
- une donnée physiologique ;
- l'adresse IP collectée dans un journal de visites d'un site. Pour faire simple, l' « adresse IP » c'est un peu l'équivalent d'un numéro de téléphone mais pour votre abonnement internet : un numéro vous identifiant auprès de votre fournisseur telecom ;
- ...
Même des données qui, prises séparément n'identifient pas une personne, peuvent être considérées comme à caractère personnel si le recoupement de plusieurs informations mènent à pouvoir (ré)identifier quelqu'un.
Ces données permettant d'identifier les personnes doivent être protégées tant les enjeux peuvent être grands. On sait que même de simples métadonnées peuvent en dire long sur la vie privée des personnes. Les métadonnées sont des informations périphériques au contenu lui-même.
Exemples : des traces de géolocalisation GPS d'un téléphone ou d'un appareil photo, les URL des pages web visitées, un recueil des numéros textotés ou appelés, la durée de l'appel...
La question des métadonnées sera traitée plus en détail dans le projet de Règlement « ePrivacy », remplaçant de la Directive ePrivacy 2002/58/CE :
eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN
Ce texte vise à compléter (lex specialis) le RGPD (lex generalis). Le risque serait qu'il en diverge sur certains points, créant une insécurité juridique pour les personnes et les responsables de traitement dans le secteur des télécommunications et services numériques.
RGPD : êtes-vous concerné-e-s par son application ?
Votre statut
Vous êtes amenés à collecter et traiter des données à caractère personnel ? Alors le RGDP s'adresse à vous que vous soyiez une association, une entreprise ou encore une administration, voire même un simple particulier (profession libérale, artisan, etc.). Oui, les associations sont aussi concernées : www.cnil.fr/cnil-direct/question/1327
Traitement de données à caractère personnel
Comme nous l'avons vu plus haut, les « données à caractère personnel » sont les données d'une personne physique, qui permettent de l'identifier, directement ou indirectement :
- données techniques telles que : identifiant, nom, numéro, données de localisation... ;
- données physiques : physiologiques, génétiques, psychiques, économiques, culturelles, sociales.
Toute manipulation, qu'elle soit automatisée ou effectuée de façon manuelle de données personnelles, allant de la collecte et l'enregistrement jusqu'à la suppression, en passant par la lecture, l'analyse, la modification, la diffusion...
Le traitement de données personnelles inclut aussi le « profilage », dont le RGPD donne cette définition : le profilage permet de « prendre des décisions la concernant ou d'analyser ou de prédire ses préférences, ses comportements et ses dispositions d'esprit. »
et
« toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique » Ce profilage ne devrait pas servir à déterminer si une personne peut souscrire à un crédit en ligne, ou pour un recrutement en ligne, ou autre cas « sans aucune intervention humaine ». (voir considérant 71)
À noter que le RGPD s'applique aux données personnelles de toutes personnes physiques vivantes, pas aux personnes décédées.
Cadre géographique d'application
Vous êtes situé dans l'Union européenne ? Ou vous vous adressez aux citoyens et résidents de ses États membres ? Alors le RGDP s'adresse à vous, quelles que soient la nationalité ou de le lieu de résidence des personnes auxquelles vous demandez leurs données personnelles.
Liste des Etats membres (en ce début mars 2018) : Allemagne, Autriche, Belgique, Bulgarie, Chypre, Croatie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République Tchèque, Roumanie, Royaume-Uni, Slovaquie, Slovénie et Suède.
Le RGPD doit être respecté par tout acteur (ou ses sous-traitants ou partenaires) implanté dans l'Union européenne, ou dans un territoire relevant du droit d'un État membre effectuant une collecte ou un traitement de données personnelles. Peu importe que le traitement ait lieu physiquement dans l'UE ou pas.
Si le responsable de traitement se trouve hors UE, il doit aussi respecter le RGPD :
- s'il offre des biens ou services (même gratuits) aux personnes de l'UE ;
- s'il suit le comportement de personnes dans l'UE (« profiling »).
Ne s'applique pas
Cette législation sur les données personnelles ne s'applique pas :
- dans le cadre d'une utilisation strictement personnelle ou domestique.
Considérant 18 : « Le présent règlement ne s'applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d'activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l'échange de correspondance et la tenue d'un carnet d'adresses, ou l'utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. Toutefois, le présent règlement s'applique aux responsables du traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. » ; - les données concernant les personnes morales et les entreprises dotées de la personnalité juridique ne relèvent pas du RGPD. Toutefois, lorsqu'il s'agit d'une entreprise unipersonnelle, ses données peuvent être considérées comme personnelles si elles permettent d'identifier la personne (siège social correspondant au domicile du dirigeant, etc.). Voir la FAQ de la Commission européenne ;
- aux domaines non-couverts par le droit européen (exemple : la sécurité nationale) ;
- aux activités relevant du domaine de la politique étrangère et de la sécurité commune de l'Union ;
- aux autorités chargées de la gestion des infractions pénales ou de la sécurité publique. Les traitements de données personnelles réalisées par ces entités font l'objet d'un règlement spécifique, distinct du RGPD : http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016L0680
Citons les autres limitations mentionnées comme pouvant être précisées ultérieurement :
- la défense nationale ;
- la sécurité publique ;
- la prévention et la détection d'infractions pénales, ainsi que les enquêtes et les poursuites en la matière ou l'exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces ;
- d'autres objectifs importants d'intérêt public général de l'Union ou d'un État membre, notamment un intérêt économique ou financier important de l'Union ou d'un État membre, y compris dans les domaines monétaire, budgétaire et fiscal, de la santé publique et de la sécurité sociale ;
- la protection de l'indépendance de la justice et des procédures judiciaires ;
- la prévention et la détection de manquements à la déontologie des professions réglementées, ainsi que les enquêtes et les poursuites en la matière ;
- une mission de contrôle, d'inspection ou de réglementation liée, même occasionnellement, à l'exercice de l'autorité publique, dans les cas visés aux points a) à e) et g) ;
- la protection de la personne concernée ou des droits et libertés d'autrui ;
- l'exécution des demandes de droit civil. »
Cas des autorités publiques recevant des données personnelles de par leurs fonctions (fisc, douanes, cellules d'enquêtes financières...) : elles peuvent se soustraire au RGDP lorsque ces données personnelles « sont nécessaires pour mener une enquête particulière dans l'intérêt général ». Cependant, « Les demandes de communication adressées par les autorités publiques devraient toujours être présentées par écrit, être motivées et revêtir un caractère occasionnel, et elles ne devraient pas porter sur l'intégralité d'un fichier ni conduire à l'interconnexion de fichiers. ».
Intermédiaires techniques : notons que la non-responsabilité des fournisseurs d'accès et des hébergeurs est réaffirmée, pourvu que :
- les fournisseurs d'accès n'interviennent pas sur les contenus ni ne choisissent les destinataires ;
- les hébergeurs doivent retirer promptement les contenus illicites dont il aurait connaissance.
Il s'agit d'un régime de « responsabilité allégée ».
RGPD : les grands principes
Être en règle concernant le respect de la vie privée à l'Ère numérique aujourd'hui en Europe, signifie avoir assimilé et mis en œuvre les grands principes suivants :
Passage d'une logique de formalités préalables (» déclarations ou autorisations CNIL «) à une logique de responsabilisation
...via par exemple les analyses d'impacts à faire en interne ou des mécanismes de certification (voir considérants 89 à 94).
À noter que les déclarations CNIL effectuées avant le 25 mai 2018 restent valables. Cependant elles n'existeront plus que pour certains cas après cette date. Voir :
https://www.cnil.fr/cnil-direct/question/1268
et
https://www.cnil.fr/cnil-direct/question/1350
Les sous-traitants des responsables de traitements sont aussi impliqués dans l'application de cette règlementation.
Une responsabilisation élargie
Les responsables de traitement peuvent faire appel aux services de sous-traitants, par exemples : les prestataires fournissant de l'hébergement, des solutions de SaaS, de tracking et profilage, de sondages, marketing/CRM, gestion de paie...
D'une manière générale, par « sous-traitant » il est entendu tout organisme offrant un service ou une prestation impliquant un traitement de données à caractère personnel pour le compte d’un autre organisme.
Ces sous-traitants se voient assigner de nouvelles obligations, telles que la transparence, la traçabilité, le « Privacy by design », le « Privcay by default », garantir la sécurité des données, aider/conseiller/alerter ses clients, et d'autres mesures que vous pouvez consulter dans le « Guide pour les prestataires » publié par la CNIL :
https://www.cnil.fr/sites/default/files/atoms/files/rgpd-guide_sous-traitant-cnil.pdf [.PDF]
Charge de la preuve et documentation
Le responsable du traitement doit fournir la preuve qu'il procède à ses activités de traitements en bonne et dûe forme. Il doit garder trace des consentements, tenir un registre des traitements et des études d'impact le cas échéant... Nous verrons les détails plus loin dans ce dossier.
» Privacy by design « et » Privacy by default «
Toujours réfléchir en termes de « Privacy by design ». Cela consiste à mettre en place des mesures techniques et organisationnelles permettant de garantir la protection des données personnelles que vous traitez. Inclure la question de la protection des données dès la modélisation d'un projet ou d'un produit, et non pas laisser cette question comme pièce rapportée pour la fin.
Si vous souhaitez collecter des données personnelles, assurez-vous de le faire de manière à minima et proportionnelle à l'objectif recherché.
Le « Privacy by default », pour sa part, signifie que, lorsqu'un dispositif peut être paramété pour être plus ou moins intrusif, il doit être paramétré par défaut pour être le moins intrusif possible. C'est à l'usager de manifester explicitement son consentement pour le rendre plus intrusif s'il le souhaite, éventuellement en échange de la fourniture de services plus poussés.
- limitation des finalités :
les données personnelles ne peuvent être collectées que pour des finalités déterminées, explicites et légitimes. Ces données ne peuvent pas être réutilisées pour une autre finalité, sans recueillir à nouveau le consentement des personnes concernées. Exception : pour des fins d'archivage dans l'intérêt public, la recherche scientifique, historique ou statistique. Si une autre finalité existe, en informer la personne ; - minimisation des données :
les données collectées doivent être adéquates, pertinentes et limitées à la finalité ; - limitation de la conservation au plus court délai possible, à une durée n'excédant pas celle nécessaire au regard des finalités.
« Garantir que la durée de conservation des données soit limitée au strict minimum ». « Des délais devraient être fixés par le responsable du traitement pour leur effacement ou pour un examen périodique ».
Voir la FAQ de la Commission européenne ; - sécurité, intégrité et confidentialité :
les données doivent être traîtées de manière sécurisée et gardée dans la confidentialité ; - exactitude :
les données collectées doivent être exactes et tenues à jour, ainsi que modifiables et effaçables à la demande de la personne (sauf exceptions prévues par le Règlement).
Licéité dans l'obtention des données et loyauté vis-à-vis de la personne
Obtenir légalement des données personnelles signifie que l'on respecte au moins une des conditions suivantes :
- vous avez informé la personne concernée par la collecte de vos finalités ;
- le consentement a été obtenu sans équivoque ;
- le traitement est nécessaire à l'exécution d'un contrat ou d'un pré-contrat ;
- le traitement est nécessaire pour vous permettre de respecter une obligation légale ;
- le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
- le traitement est nécessaire dans l'intérêt légitime du responsable de traitement. L'usage de ce dernier critère a été restreint par rapport à la législation antérieure ; il n'est en général plus suffisant à lui seul.
Consentement de la personne concernée par la collecte de ses données personnelles
Toujours demander son avis à la personne dont on veut obtenir des informations personnelles : est-elle d'accord ou pas ? L'opt-in est obligatoire (sauf dans certains cas de figures).
Voici la définition de « consentement » par le RGPD :
« Consentement de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
Transparence : informer au maximum
Toujours informer au maximum la personne de la nature, de la teneur, des finalités de votre collecte et de ses droits, en amont de la collecte de données.
Interdictions et dérogations
Les données personnelles sensibles ne doivent jamais être collectées, sauf autorisation explicite de la personne (une simple case à cocher ne suffit pas).
Ces données sensibles ont trait à « l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique ».
Avec les récentes avancées de la reconnaissance faciale, les photographies des personnes acquièrent un statut particulier : elles deviennent des données biométriques par destination, lorsqu'elles sont utilisées dans ce but. Les bases de données photographiques identifiant directement les personnes (c'est-à-dire associées à des éléments d'identification) doivent donc faire l'objet d'une protection renforcée.
Il existe certaines dérogations pour collecter de telles données sensibles. Au moins une des conditions suivantes doit être remplie :
- « la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée » ;
- ces données sont nécessaires dans le cadre du droit du travail, de la sécurité ou la protection sociales si le droit national le permet ;
- ces données sont nécessaires à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, mais qu'elle est dans une situation d'incapacité physique ou juridique ;
- « le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées » ;
- « le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée » ;
- le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle » ;
- motifs d'intérêt public important » (sous certaines réserves) ;
- dans le cadre médical (sous certaines réserves) ;
- « motifs d'intérêt public dans le domaine de la santé publique » (sous certaines réserves) ;
- « fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques (sous certaines réserves) » ;
- les données biométriques servant au contrôle de l'accès aux lieux de travail, et à l'usage d'appareils et applications confiés aux employés (sous certaines réserves) ;
- la réutilisation de données issues de jugements et décisions de justice, si elles ne peuvent pas être utilisées pour réidentifier les personnes.
Fin de la théorie, passons à la pratique !
Alors, vous allez nous dire "oui c'est bien beau tout ça, mais en pratique je fais quoi ?".
Nous vous proposons de lire la suite de ce dossier, qui est orienté terrain :
Dossier (2/2) : La RGPD côté professionnels : comment se mettre en conformité pour le 25 mai 2018 ?
Nous espérons que ce dossier vous aura été utile.
Si vous souhaitez nous aider à l'améliorer, apporter votre contribution, contactez-nous.
-
2019.05.19
ÉvènementLe Logiciel Libre sur les Routes du partage - Projection du film La bataille du Libre2019.04.27
Évènement
Ressource
Ressource
Ressource