La nouvelle législation sur la protection des données personnelles

En mai 2018 une nouvelle loi européenne concernant les traitements des données personnelles entre en vigueur. Cette nouvelle loi bouleverse l’ancienne loi nationale « informatique et liberté » et renforce considérablement les droits des personnes, en imposant aux organisation la mise en place de solutions respectant ces droits. Tout en visant les grosses entreprises de marketing digital, les associations et les petites entreprises sont aussi concernées.

RGPD : un Règlement Général pour la Protection des données

Ce règlement, adopté en avril 2016 par le Parlement européen, est d’application directe et est imposé aux états membres à partir du 25 mai 2018, sans besoin qu’il soit transposé dans les lois nationales. Depuis deux ans, les organisations effectuant le traitement ou la conservation de données personnelles sont sollicitées pour prendre connaissance de ce règlement et pour se mettre en conformité avant la data fatidique de son entrée en vigueur. Les sanctions annoncées sont très élevées, peuvent aller jusqu’à 20 millions d’euros.

L’organisme garant de la mise en application du règlement, pour la France, est la CNIL (Commission nationale de l’informatique et des libertés). C’est sur le site de la CNIL que l’on trouve le texte complet du règlement et d’autres documents officiels pour aider sa mise en application.

Il est prévu aussi la mise en place des moyens permettant aux personnes de porter plainte si elles estiment que des traitements de données les concernant enfreignent le RGPD.

Les données personnelles

De quelles données parles-t-on ?

Le règlement concerne toutes les données se rapportant à des personnes physiques, quels que soient leurs lieu de résidence ou nationalité. Le concept de donnée personnelle est très large : un nom, un identifiant, un numéro d’identification, l’âge, le sexe, une information de localisation, une adresse mail, une photo… toute information qui pourrait, seule ou croisée avec d’autres données, identifier directement la personne concernée.

Certains types de données, comme les coordonnées bancaires, des informations biométriques et celles concernant la santé, bénéficient de protections particulières et chaque état peut y ajouter des restrictions supplémentaires.

La CNIL définit les données sensibles comme « Information concernant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, la santé ou la vie sexuelle » des personnes. La collecte et le traitement de ces données sont soumis à une réglementation très restrictive par la loi française.

Les principes

Le RPDG définit six principes applicables à toute activité de collecte et de traitement de données à caractère personnel.

  • les données sont traitées de manière licite, loyale et transparente au regard de la personne concernée
  • les données doivent être collectée pour des finalités déterminées, explicites et légitimes ; des traitements ultérieurs incompatibles avec ces finalités ne sont pas autorisés (limitation des finalités)
  • les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire pour le traitement énoncé (minimisation des donnée)
  • le données doivent être exactes et tenues à jour (exactitude)
  • les données permettant l’identification d’une personne doivent être conservées uniquement le temps nécessaire aux finalités (limitation de la conservation)
  • tout doit être mis en œuvre pour garantir la sécurité des données contre l’utilisation illicite, la perte ou la destruction (intégrité et confidentialité)

Le responsable du traitement porte la responsabilité de démontrer que la mise en œuvre respecte ces principes, y compris la partie confiée à des éventuels sous-traitants. En effet la vérifiabilité est cruciale et la capacité à faire la preuve de sa conformité est l’un des principes fondamentaux du RGPD.

Cela comporte (et c’est l’un de ces objectifs affichés) d’obliger les organisation à se doter d’une vision globale en procédant au recensement systématique de leurs différentes bases de données, ce qui est souvent loin d’être acquis.

Les droits des personnes

L’ancienne loi Informatique et Liberté reconnaissait à la personne trois droits :

  • s’opposer au traitement sous réserve de motif légitime
  • être informée sur les données et les traitements de données la concernant
  • pouvoir demander la modification et la suppression des données la concernant

le RGPD énonce un panel plus étendu de droits, notamment :

  • le consentement explicite préalable à la collecte et à l’utilisation des données (avec des règles spécifiques pour les mineurs), sauf dans certains cas où le traitement est nécessaire pour des obligations légales ou d’intérêt légitime
  • une information claire sur le traitements effectués et sur la manière d’exercer ses droits
  • droit à l’oubli avec la suppression des données si elles portent atteinte à la vie privée, notamment avec le déréférencement d’un moteur de recherche
  • droit à la limitation du traitement et des données collectées
  • droit à la portabilité des données, que la personne peut obtenir et transmettre à une autre plate-forme concurrente
  • droit d’opposition (notamment à l’utilisation des données pour déduire ou prédire des aspects personnels relatifs à la personne)

L’obligation de communiquer clairement aux utilisateurs l’utilisation qui sera faite de leurs données et leurs droits à la modification ou l’effacement de celles-ci est l’une des exigences majeures du règlement (voir un peu plus loin dans cet article pour plus de détails).

Démontrer la conformité

C’est au responsable du traitement de pouvoir démontrer la conformité au RGPD. Pour cela des initiatives sont à mettre en œuvre par l’organisation. Notamment :

  • la création d’un inventaire : un registre de données décrivant les activités impliquant des traitements de données personnelles
  • vérifier pour chaque traitement que seulement les données nécessaires à ce traitement sont collectées et gardées
  • publier un document d’information à la disposition des personnes concernées, qui décrit comment les données sont collectées, traitées et conservées
  • effectuer une analyse d’impact afin d’identifier les risques concernant la sécurité des données et la manière d’atténuer ces risques
  • établir des procédures visant la protection des données et des outils leur donnant accès

En cas de violation des données

Dans le cas de violation des données (perte ou destruction de données personnelles confiées, piratage ou utilisation frauduleuse de données personnelles)  Le RGPD rend obligatoire la fait d’informer l’autorité de contrôle (la CNIL) et les personnes concernées.

Des exceptions existent, et la consultation avec un expert pourrait être nécessaire pour confirmer la nécessité de cette notification. Le règlement spécifie aussi le temps maximal pour la transmission du rapport à l’autorité et les contenus à intégrer dans ce document.

Le cryptage des données plus sensibles est un bon moyen de réduire les conséquences éventuelles d’une fuite de données.

Répondre aux demandes des personnes

Une organisation traitant des données personnelles doit pouvoir répondre à certaines demandes venant des personnes enregistrées dans sa base de données.

Décision individuel automatisée

Dans le cas où une personne est soumise à une décision fondée exclusivement sur un traitement automatisé, elle peut s’y opposer. Dans le cas d’une décision automatisée, la personne doit pouvoir

  • obtenir une intervention humaine dans la prise de décision
  • exprimer son point de vue
  • obtenir une explication de la décision et la contester

Droit à l’information

Fournir en toute transparence des informations aux personnes concernées sur la façon dont sont traitées leurs données personnelles. Normalement les informations sont à fournir au même moment où les données sont obtenues.

Droit à l’oubli

Les individus ont le droit de faire effacer leurs données personnelles et d’empêcher leur traitement si le traitement leur cause des dommages. Il existe des circonstances particulières où l’on peut refuser d’effacer des données personnelles.

Cela peut rendre nécessaire la création de listes spécifiques afin d’éviter qu’une personne ayant déjà demandé sa désinscription d’une base soit prospectée de nouveau quelque temps après.

Droit de rectification

A la demande de la personne concernée, il faut :

  • Rectifier des données personnelles si elles sont inexactes ou incomplètes
  • Informer les tiers à qui ces données ont été éventuellement communiquées
  • Informer les personnes au sujet des tiers auxquels les données ont été divulguées
  • Répondre à la personne concernée dans un délai d’un mois

Droit à la portabilité

Un individu peut demander le transfert des données personnelles d’un environnement informatique à un autre, de manière sécurisée (bien sûr, seulement les données fournies sur la base du consentement ou du contrant sont concernées)

Les données doivent être fournies dans un format structuré et couramment utilisé et lisible, cela gratuitement et dans un délais d’un mois.

Droit d’accès

Sur demande de la personne, les données la concernant doivent lui être fournies

  • de manière concise, transparente, intelligible et facilement accessible
  • rédigée en langage clair et facile
  • gratuitement dans un délai d’un mois

Droit d’opposition

La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant. Le responsable du traitement doit arrêter toute action sur ces données, à moins qu’il ne démontre qu’il existe un motifs légitime et impérieux pour le traitement qui prévaut sur les intérêts et les droits et libertés de la personne concernée.

 

 

Les newsletters

Pour bon nombre de petites entreprises, d’association et de blogueurs, le cas le plus fréquent de traitement de données personnelles est celui de la newsletter associée à un site internet. La liste des destinataires est conservée dans la base du site internet le plus souvent, mais aussi parfois dans des fichiers tableurs ou dans d’autres outils d’annuaire. La seule présence d’une adresse mail, ou d’un nom ou d’une date de naissance rend ces données des « données à caractère personnel » et le fait qu’elles soient enregistrées dans un fichier informatisé fait qu’elles sont soumises à un traitement. On rentre donc dans le périmètre d’applicabilité du RGPD. Comment la nouvelle législation s’applique-t-elle dans ce cas ?

Les bases existantes. Les contacts collectés avant le 25 mai 2018 peuvent rester en l’état dans la base de données (information à confirmer, à l’état actuel les avis des experts sont partagés). Bien sûr les utilisateurs doivent pouvoir jouir des droits d’accès et d’oubli sur ces données aussi.

Nouveaux abonnés. Le processus d’abonnement doit permettre le traçage du consensus explicite de l’utilisateur. Un formulaire d’abonnement simple (sans validation de l’adresse mail) ne peut pas faire l’affaire, car n’importe quelle personne malveillante pourrait inscrire des adresses de façon arbitraire. Le formulaire d’abonnement doit communiquer clairement l’utilisation qui sera faite des données collectées. Des éventuelles options (par exemple la proposition d’offres commerciales intéressantes) doivent être proposées par des cases non cochées par défaut que l’utilisateur pourra activer selon son choix.

L’information à l’utilisateur. La newsletter doit fournir à l’utilisateur des informations claires concernant l’accès à ses données et à la possibilité de résilier à tout moment son abonnement, en lui expliquant comment faire. C’est souvent dans le pied de page que toutes les informations légales sont insérées, ainsi que les liens vers les formulaires de contact et d’accès aux données personnelles.

Quid pour les petites organisation, pour les associations, pour les blogueurs ?

On peut craindre qu’une partie des exigences réglementaires restent, tout au moins dans une première période, des vœux pieux, en raison de la complexité de leur mise en pratique, comme la portabilité des données par exemple. Mais ces contraintes feront probablement émerger de nouveaux marché et apparaître de nouvelles solutions techniques pour traiter ces difficultés. A quelques moins avant l’entrée en vigueur du règlement, les discussions continuent pour déterminer les périmètres et les modalités d’application de certains points.

Les grosses organisations de marketing et de vente en ligne ont déjà investi ces problématiques et on assiste à des actions qui se mettent déjà en place tantôt dans l’adaptation des outils que dans la communication aux clients.

Dans le monde associatif, ainsi bien que dans la libre expression qui enrichit le web par tout type de blog et de site d’opinion, les mailings (newsletters) sont fréquents avec leurs listes d’abonnés constituées au fil des années par tous les moyens, et avec des outils de diffusion à faible coût. Sauront-il faire face rapidement aux nouvelle exigences imposées par le RGPD ? Est-ce que l’autorité de contrôle traitera avec la même rigueur les grosses organisation de marketing aux budgets conséquents, et les associations qui œuvrent avec peu de moyens et jouent un rôle important pour sensibiliser l’opinion publique aux débats de société actuels ?

En cas de litige, par exemple le plainte déposée par des utilisateurs qui retiennent que le traitement de leurs données personnelles enfreint le RGPD, comment l’autorité de contrôle interviendra auprès de l’organisation responsable ? Est-ce que des procédures d’avertissement, ou de résolution à l’amiable, seront proposées avant l’application de sanctions qui se veulent « effectives, proportionnées et dissuasives » ? Face à une grosse disproportion dans les moyens et dans les enjeux, comment obtenir le respect des droits des utilisateurs sans ruiner des entités très faibles lors du plus petit écart juridique ?

Ce sont des questions qui, pour l’instant, ont du mal à trouver des réponses claires et satisfaisantes. Certainement ce sera à la confrontation avec la réalité du terrain, et aux différents cas concrets qui se présenteront lors de l’entrée en vigueur du règlement, que l’autorité de contrôle (la CNIL) précisera et détaillera ses lignes d’action et d’intervention.