5 questions pour comprendre le GDPR

Le GDPR (pour General Data Protection Regulation, en français « RGPD » pour Règlement Général sur la Protection des Données) est le nouveau texte de référence en matière de protection des données à caractère personnel (DCP) au niveau européen. Il remplace la directive 95/46/CE de 1995, dont le contenu avait été transposé en droit français par la loi Informatique & Libertés en 2004.   La version finale du texte GDPR, qui est le fruit de longues années de préparation, fait près de 100 pages et compte 99 articles répartis en 11 chapitres. Le règlement a été adopté et promulgué en avril 2016. Il entrera en vigueur le 24 mai 2018 et sera applicable à compter du 25 mai 2018.   Il est important de noter d’emblée qu’il s’agit d’un règlement, et non d’une directive. Une directive européenne fixe des objectifs aux Etats membres de l’Union européenne. Il peut s’écouler plusieurs années entre la publication de la directive et sa transposition en droit national. Un règlement, à l’inverse, s’applique totalement et directement à tous les Etats membres à compter de la date de son entrée en vigueur. L’application du règlement est obligatoire. Les entreprises qui enfreignent les nouvelles règles imposées par le GDPR après le 25 mai 2018 encourent des sanctions. Nous reviendrons plus loin sur les peines encourues en cas de non-conformité à la GDPR.   Les objectifs du GDPR sont multiples :

• Proposer un cadre juridique modernisé en matière de protection des données, adapté aux évolutions technologiques de ces dernières années.
• Améliorer la protection des libertés et des droits fondamentaux des personnes physiques en donnant aux individus plus de pouvoirs sur les données personnelles qu’ils communiquent aux organisations (entreprises, services publics, associations…). Le RGPD renforce la notion de consentement ainsi que les droits des personnes (droit à l’accès, à la rectification, à l’effacement, à la portabilité …) et facilite leurs exercices.
• Instaurer un climat de confiance entre les individus et les organisations – notamment les entreprises. Les résidents européens sont, en effet, de plus en plus sensibilisés aux risques liés à l’utilisation de leurs données personnelles. Le GDPR répond à une demande de transparence exprimée par les citoyens européens.
• Responsabiliser les entreprises qui collectent et traitent des données personnelles sur leurs prospects, utilisateurs ou clients, en les obligeant à développer des procédures ou mesures d’autocontrôle (désignation d’un Délégué à la Protection des Données (DPO), tenue obligatoire d’un registre des traitements, analyses d’impact…) Une véritable gouvernance doit être instaurée autour de la DCP.
• Uniformiser et harmoniser au niveau européen la réglementation sur la protection des données à caractère personnel.

Le RGPD s’applique à toutes les organisations (entreprises, établissements publics, associations…) traitant des données de citoyens européens ou de personnes résidant dans un pays de l’Union européenne.   Cela appelle quelques commentaires et précisions :

• Les organisations non-européennes traitant des données à caractère personnel sur des citoyens européens sont concernées par le GDPR. Le GDPR ne concerne pas uniquement les entreprises européennes. Concrètement, les GAFAM devront se plier aux règles du GDPR. Ce règlement répond aussi à des enjeux géopolitiques.
• Le GDPR ne s’applique pas uniquement aux entreprises privées, mais également aux entreprises publiques, aux associations, aux fondations, etc.
• Le règlement a une conception extensive de l’expression traitement des données. Le traitement désigne entre autres la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données. Une entreprise qui externalise la collecte et le stockage des données personnelles est considérée comme faisant du traitement de données si elle les consulte à distance.
• Une donnée à caractère personnel (DCP) désigne toute information identifiant directement ou indirectement une personne physique. Par exemple : le nom, le téléphone, l’adresse IP, un identifiant en ligne, un cookie, des informations de localisation, etc. Les données collectées sur des personnes morales (des entreprises par exemple) n’entrent pas dans le périmètre d’application du GDPR, à la seule condition que cette collecte ne contienne aucune sous-donnée relative à des personnes physiques (par exemple, une adresse mail).
• Le GDPR ne concerne pas seulement les entreprises dont le traitement des données est le cœur de métier, mais toutes les entreprises faisant du traitement de DCP, même en activité périphérique.

Nous l’avons dit, le règlement européen GDPR contient pas moins de 99 articles. Ces différents articles dessinent un patchwork de mesures très diverses. Il existe néanmoins une ligne directrice sous-jacente. On peut déceler trois grandes thématiques, trois points clés :

• Le renforcement des règles de consentement et l’affirmation des droits des personnes. Le GDPR renforce la notion de consentement. A partir du 25 mai 2018, les entreprises qui collectent de la donnée personnelle devront obtenir un consentement explicite de la part des personnes concernées. Les individus pourront, à tout moment, retirer ce consentement. Les entreprises devront être capables de prouver le consentement en cas de contrôle de la CNIL. Le GDPR renforce ou crée de nouveaux droits pour les personnes, qui correspondent à autant de pouvoirs des individus sur leurs données personnelles : un droit d’accès et de rectification facilité aux données, un droit à l’effacement (« droit à l’oubli »), un droit à la limitation du traitement, un droit à la portabilité des données, un droit d’opposition. Il revient aux entreprises de garantir aux personnes l’exercice de ces droits.
• La responsabilisation des entreprises. La version anglaise du règlement utilise le concept d’ « accountability ». Le GDPR entend responsabiliser les organisations dans leur manière de traiter les données à caractère personnel. Le volet « responsabilisation » se déploie à travers plusieurs mesures : l’obligation de désigner un Délégué à la Protection des Données (DPO en anglais) chargé de conseiller et de surveiller la bonne application du règlement , l’obligation faite aux entreprises de documenter tous les traitements de données par la mise en place d’un registre des traitements,  la responsabilisation des responsables des traitements, l’affirmation des principes de « Privacy By Design » et de « Privacy By Default », l’encadrement des sous-traitants, l’obligation de notification en cas de fuite de données, etc.
• Le renforcement des mesures de sécurité. Le RGPD impose la mise en œuvre de « mesures techniques et organisationnelles » (article 32) permettant d’assurer un niveau de sécurité des données adapté au risque. Cela se traduit par un impératif de sécurisation renforcée des bases de données et des flux afférents, par le chiffrement et la pseudonymisation des données, par la mise en place de démarches de test et d’évaluation, par l’instauration de procédures en cas d’incident (notifications), etc.

• En fonction du chiffre d’affaires : 2% à 4% du CA mondial (de l’exercice précédent)
• En valeur absolue : 10 à 20 millions d’euros.

  A noter que les autorités de contrôle (la CNIL en France) peuvent émettre, dans un premier temps, des avertissements ou des ordonnances. Les autorités ont aussi le pouvoir d’interdire de manière temporaire ou définitive un traitement en cas de non-respect majeur au GDPR.

Le GDPR impacte toutes les entreprises faisant du traitement de données personnelles, et donc, probablement, votre entreprise.   Le GDPR impose des changements majeurs au niveau de l’organisation des entreprises. Tous les services sont concernés par la réforme, du marketing au service clients, des ressources humaines au juridique, de la DSI au service commercial. Il est donc très important de considérer le projet de mise en conformité au GDPR avec une vision globale, d’en faire un projet au niveau de la direction générale. Votre entreprise va devoir recenser l’ensemble des données personnelles qu’elle traite et rationaliser sa gouvernance des données pour respecter les nouvelles exigences légales.   Le GDPR impose également une nouvelle « philosophie des données » à travers la notion de minimisation des données (data minimization). Derrière ce concept un peu abscons, il y a un principe très simple : le GDPR invite les organisations à rationaliser leur gestion des données, à passer d’une approche quantitative (traiter le maximum de données) à une approche qualitative (se recentrer sur les données créatrices de valeur). Le GDPR promeut une démarche pragmatique dans la gestion des données qui passe notamment par le recensement de l’ensemble des données, par le nettoyage des bases de données (suppression des données inutiles ou périmées) et par la révision de la stratégie de collecte.   A cette nouvelle philosophie développée par le GDPR s’adjoint un concept : le Privacy By Design, qui consiste à intégrer les enjeux de protection de la vie privée dès la phase de conception (= design) d’un produit ou d’un service. Le GDPR impacte ainsi les processus de production et impose d’intégrer les enjeux de protection des données au centre des préoccupations.   Au-delà de ces aspects « philosophiques » et méthodologiques, voici quelques impacts concrets du GDPR (il est impossible, dans le cadre de cet article, de tous les citer) :

• Votre entreprise doit s’assurer que son plan de collecte intègre les exigences du GDPR en matière de recueil des consentements. Votre entreprise sera probablement amenée à revoir la formulation des consentements et à mettre en conformité les formulaires.
• Votre entreprise va devoir mettre en place des procédures et des outils permettant de garantir les droits des personnes créés ou renforcés par le GDPR : droit d’information, droit d’accès, droit de rectification, droit à l’oubli, droit à la limitation du traitement, droit à la portabilité, droit d’opposition.

Dans l’optique de responsabilisation, le GDPR vous oblige à désigner un Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO), à tenir un registre des traitements, à mettre en place des procédures de test et d’évaluation des risques, à adapter vos procédures de notification de failles, à vous assurer que les sous-traitants fournissent des garanties suffisantes. Le GDPR encourage aussi les entreprises à établir un code de bonne conduite.

Les autorités de contrôle seront particulièrement sévères à l’encontre des organisations qui n’auront pas entamé de démarche sérieuse de mise en conformité au GDPR avant l’échéance du 25 mai 2018. Votre entreprise, si elle est concernée par le règlement, doit dès maintenant entreprendre une démarche de mise en conformité.   Qu’est-ce qu’une démarche GDPR ? Comment se structure-t-elle ? Les conseillers en CRM CustUp recommandent une démarche en quatre étapes :

• Une étape de cadrage du projet, au cours de laquelle il s’agit de faire le point sur les enjeux du règlement, de définir le périmètre d’application du RGPD, d’identifier les acteurs clés du projet et de relever les éléments flagrants de non-conformité. Le DPO doit être désigné à ce moment-là.
• Une étape de diagnostic des pratiques actuelles en matière de collecte, de stockage et d’utilisation des données à caractère personnel. Le diagnostic doit porter sur les bases de données et les flux afférents, les règles en matière de sécurité (chiffrage, pseudonymisation, procédure en cas d’incident…) et l’utilisation des données.
• Une étape de bilan des diagnostics aboutissant à la construction d’une feuille de route claire et précise des chantiers à déclencher. Les chantiers doivent être priorisés en prenant en compte le niveau de risque et la faisabilité.

Une étape de mise en œuvre progressive des chantiers par les responsables des traitements, supervisés par le DPO. Un Comité de Pilotage doit idéalement être constitué pour suivre l’avancement des chantiers, faire le point sur les difficultés rencontrées et décider des ajustements nécessaires.