L’essentiel à connaître sur le GDPR ou RGPD : définition, périmètre, principes et mesures

Le RGPD (ou GDPR) est le règlement européen sur la protection des données. Il est entré en application en 2018 et impacte toutes les entreprises opérant du traitement de données à caractère personnel sur des résidents européens. 

Le RGPD poursuit plusieurs objectifs ambitieux :

  • Uniformiser au niveau européen la réglementation sur la protection des données.
  • Responsabiliser davantage les entreprises en développant l’auto-contrôle.
  • Renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité, etc.).

RGPD GDPR definition guide

Dans cet article, nous allons vous présenter l’essentiel à connaître sur le GDPR (sa définition), préciser son périmètre (quelles entreprises concernées ?) et les nombreux changements que ce règlement européen a apporté par rapport à la loi Informatique et Libertés.

Cabinet de conseil en Données Clients, CustUp vous accompagne les organisations dans leur mise en conformité au RGPD / GDPR.

CustUp vous accompagne dans votre mise en conformité RGPD

Il est toujours temps de se mettre en conformité au RGPD, mais il n’est plus temps de reporter ! L’autorité de contrôle – la CNIL – ne fait plus preuve de la tolérance qui était la sienne dans les débuts de l’entrée en vigueur du règlement. Les premières sanctions sont tombées, certaines faisant grand bruit dans la presse.

Rappelons que les nouvelles obligations associées au RGPD ne concernent pas seulement les grandes entreprises, mais bien toutes les entreprises faisant du traitement de données personnelles. Les PME sont concernées. Les TPE sont concernées.

Nos consultants experts en Données Clients, en IT et en Réglementaire ont accompagné plusieurs organisations dans leurs projet RGPD, tant sur les volets stratégique, opérationnel que technique. Des entreprises nous sollicitent aujourd’hui encore. Nous les aidons aux différentes étapes de leur projet :

  • Définition du périmètre d’application du RGPD.
  • Diagnostic des pratiques actuelles en matière de recueil des consentements, de stockage, de traitement des données personnelles…
  • Hiérarchisation et ordonnancement des chantiers à mener pour atteindre la conformité (Construction du plan d’actions).
  • Déploiement progressif des chantiers.

Aujourd’hui, les sujets RGPD récurrents qui émanent de nos clients sont ceux relatifs à :

  • La question des informations données aux personnes, autrement dit la thématique de la transparence, centrale dans la « philosophie » du RGPD et lourdes dans ses implications pratiques. Comme nous l’expliquons dans cet article, ce sujet de la transparence est indissociable de celui du recueil des consentements – l’un des grands piliers du règlement.
  • La question des modalités d’exercice des droits. Le RGPD a étendu le périmètre des droits des personnes vis-à-vis de leurs données ou consacré de nouveaux droits. Droit à l’accès, droit à l’oubli, droit à la limitation des traitements, droit à la portabilité des données : Quelle organisation, quels process, quels règles mettre en place pour garantir l’effectivité de ces droits ?
  • La question de la sécurité des données. Nous accompagnons les entreprises dans la sécurisation des données personnelles (analyse des risques, audits de sécurité, analyse des règles de cryptage et de pseudonymisation, tests d’intrusion…) et la définition / documentation des procédures en cas de violation.
  • La question de la documentation des traitements. Nous aidons les entreprises dans la mise en place des documents obligatoires : registre des traitements et journal des traitements.

Nous proposons des accompagnements sur-mesure. Nous adaptons notre méthodologie aux attentes et besoins propres à chacun de nos clients. Nous intervenons auprès d’entreprises B2B et B2C.

Pour en savoir plus sur nos accompagnements ou tout simplement pour échanger avec nos experts sur votre problématique RGPD, n’hésitez pas à nous contacter.

Besoin d'échanger sur le RGPD ? Contactons-nous !

Définition et périmètre du GDPR

Le GDPR (General Data Protection Regulation), aussi désignée sous son acronyme français RGPD (Règlement général de protection des données) est le texte de référence en matière de protection des données au niveau européen. Le règlement a été publié en mai 2016, après de longues années d’élaboration. La version finale du texte, qui fait plus de 88 pages, est accessible à cette adresse (en français).

Le GDPR est en vigueur depuis le 25 mai 2018. Dans la mesure où il s’agit d’un règlement européen, et non pas d’une directive, le texte est entré en application directement et en même temps dans tous les Etats membres de l’Union européenne, sans transposition.

Le RGPD a remplacé la directive 95/46/CE de 1995. Cette directive a servi, en France, de fondement à la loi Informatique & Libertés. Mais il est évident que depuis le milieu des années 1990, le paysage technologique et numérique a beaucoup évolué. Le RGPD a été conçue pour adapter et moderniser le cadre juridique en matière de protection des données. Plus largement, le RGPD a pour ambition de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ».

Quelles sont les entreprises concernées par le GDPR ?

Les règles du GDPR s’appliquent à toutes les entreprises privées ou publiques des 27 Etats membres de l’Union européenne. Plus précisément, aux entreprises :

  • Proposant des biens et services sur le marché de l’UE.
  • Collectant et traitant des données à caractère personnel sur les résidents de l’UE.

A noter que le règlement s’appliquer aussi aux entreprises non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.

Le périmètre d’application du GDPR

Les règles et obligations du GDPR s’appliquent au traitement – automatisé ou non – des données à caractère personnel. L’objectif du GDPR est de renforcer l’encadrement des pratiques en matière de collecte et d’utilisation des données à caractère personnel. Le RGPD donne une définition précise des « données à caractère personnel » (DCP) : il s’agit de « toute information se rapportant à une personne physique identifiée ou identifiable ». Par personne physique identifiable, il faut comprendre « une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». Le GDPR concerne uniquement la protection des données personnelles rattachées à des personnes physiques.

Ce qui signifie que le RGPD ne s’applique pas aux entreprises ne traitant que des données relatives à des personnes morales, sauf si celles-ci sont amenées à collecter des données sur des représentants des personnes morales (ce qui, dans les faits, est presque toujours le cas…). Pour bien comprendre : la collecte de données sur des représentants d’une entreprise (à partir de cartes de visite par exemple) entre dans le champ d’application du GDPR. En revanche, la collecte d’informations sur l’entreprise (dénomination sociale, objet social, numéro de TVA, SIRET, etc.) en est exclue. Le « traitement des données », au sens du GDPR, fait référence à la collecte, à l’accès, au stockage, à la manipulation, à la destruction et à la consultation à distance des données. Concrètement, une entreprise qui délègue à un prestataire la collecte et le stockage des données fait néanmoins du traitement de données dans la mesure où elle les consulte. Au final, l’immense majorité des entreprises est concernée par les dispositions du GDPR.

Les 4 principes clés du GDPR et les mesures qui en découlent

Les dispositions du GDPR s’articulent autour de 4 principes clés : le consentement, le droit des personnes, la transparence et la responsabilité.

Le consentement

Le GDPR renforce la notion de consentement. Depuis le 25 mai 2018, le consentement des individus doit être explicite et « positif ». Ce consentement peut être retiré à tout moment par les individus le demandant. Les entreprises faisant du traitement de données doivent, par ailleurs, être en mesure de prouver le recueil de ce consentement le cas échéant (en cas de contrôle de la CNIL).

Sur ce point, une distinction doit être faite entre le B2B et le B2C. Pour les entreprises B2B, la collecte du consentement n’est pas obligatoire si la finalité de la collecte est bien respectée. Dans ce cas, les cases pré-cochées sont autorisées. En revanche, le consentement est obligatoire (case à cocher) pour des sollicitations par des tiers (filiales, partenaires…). Les entreprises B2B collectant de la donnée B2C doivent veiller à bien séparer les modes de collecte suivant qu’il s’agit de données B2B ou de données B2C. Cela peut par exemple se traduire par la mise en place de deux entrées différentes sur le site afin d’adapter les règles de consentement en fonction du type de clients (B2C/ B2B).

Le GDPR emporte aussi des conséquences dans le mode de gestion des cookies. La nouvelle réglementation impose la mention des informations suivantes : la finalité du cookie, le droit d’opposition de l’utilisateur et l’acceptation implicite de l’utilisateur si celui-ci décide de poursuivre sa navigation. Le bandeau d’information ne doit pas disparaître tant que l’utilisateur n’a pas poursuivi sa navigation (en ouvrant une nouvelle page par exemple).

Autre conséquence : désormais, aucun cookie ne peut être déposé si l’utilisateur rebondit sur la page – sauf les cookies nécessaires au bon fonctionnement du site. Cela doit être pris en compte dans les projets de DMP ou de mutualisation des données clients. Toujours sur le thème du consentement, le GDPR a entraîné une autre évolution majeure : l’encadrement du profilage. Le règlement n’interdit pas cette pratique, mais renforce son encadrement. Il impose notamment le recueil d’un consentement explicite de la part des personnes (case à cocher). Le profilage est désormais soumis au droit d’opposition.

La transparence

La transparence est le deuxième grand principe mis en avant par le RGPD. Il s’articule au consentement, dans la mesure où la transparence est la condition de possibilité d’un consentement explicite et éclairé. Les entreprises ont désormais l’obligation – et ce dès la phase de collecte – de fournir aux individus des informations claires et sans ambiguïté sur la manière dont leurs données sernt traitées. Ces informations doivent être fournies de façon concise, compréhensive et accessible par tous (par exemple, sur les formulaires de collecte, dans les documents contractuels, sur la page du site relative à la politique de « privacy », etc.).

Le droit des personnes

Un des principaux objectifs du GDPR est de renforcer les droits des personnes physiques. Depuis l’entrée en vigueur du RGPD, les résidents européens se sont vu attribuer de nouveaux droits :

  • Un droit d’accès facilité pour tous les utilisateurs. Le responsable du traitement doit faciliter l’exercice de ce droit, par la mise en place de process et d’outils adaptés. Si la collecte s’opère sur le site internet par exemple, une solution électronique doit être prévue, si possible avec un accès à distance sécurisé. En cas de demande d’accès de la part d’un utilisateur, l’entreprise dispose d’un délai d’un mois maximum pour la satisfaire.
  • Un droit l’oubli pour tous les utilisateurs. L’apport majeur de la réglementation réside dans l’extension de conditions d’exercice de ce droit. Les entreprises disposent d’un délai réduit d’un mois, et non plus de deux mois, pour supprimer les données à la suite d’une demande. Toutes les copies et toutes les reproductions des données doivent aussi être effacées.
  • Un droit à la limitation du traitement, applicable dans quelques cas précis.
  • Un droit à la portabilité des données. Ce droit permet à une personne de récupérer les données qu’elle a fournies, sous une forme aisément réutilisable et, le cas échéant, de les transférer à un tiers (en cas de changement de fournisseur de services par exemple).

Il revient aux entreprises de garantir le droit des personnes par la mise en place de mesures, d’outils et de process appropriés. Ce qui nous amène au quatrième principe du GDPR : la responsabilité.

La responsabilité (accountability)

Le GDPR vise à responsabiliser davantage les entreprises dans leur traitement des données à caractère personnel. Cela se traduit par :

  • L’obligation faite aux entreprises de documenter toutes les mesures et procédures en matière de sécurité des DCP. Les entreprises doivent pouvoir démontrer leur conformité avec la réglementation en cas de contrôle de la CNIL. Cette mesure se traduit par l’obligation de tenue d’un registre des traitements. Ce registre permet de constituer une base de données des traitements, mais peut aussi servir à centraliser et à suivre toutes les démarches de conformité mises en œuvre par l’entreprise.
  • Le renforcement des mesures de sécurité. Les entreprises sont responsables de la sécurité des données qu’elles traitent et doivent mettre en place les mesures adéquates pour la garantir (pseudonymisation des données, analyses d’impact, tests d’intrusion…).
  • La mise en avant du principe de « Privacy By Design ». Les entreprises doivent prendre toutes les mesures permettant de protéger les droits des personnes en amont (= dès la conception d’un produit ou d’un service) et tout au long du cycle de vie des données (de leur collecte à leur suppression).
  • L’encadrement des sous-traitants. Les entreprises doivent choisir des sous-traitants présentant des garanties suffisantes. En cas de faille de sécurité au niveau du sous-traitant, ce sera l’entreprise cliente (= le responsable des traitements) qui sera tenue pour responsable. En conséquence, les entreprises doivent revoir les contrats signés avec les sous-traitants en intégrant des clauses concernant les DCP. Le GDPR instaure en fait un régime de co-responsabilité des sous-traitants.
  • La notification en cas de faille de sécurité (data breach). Les entreprises ont pour obligation de mettre en place des actions en cas de violation de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de DCP. En cas de faille de sécurité, l’entreprise doit la notifier à l’autorité de régulation compétente (en France, la CNIL) dans un délai de 72h. Les personnes physiques concernées doivent être informées « dans les meilleurs délais » si la faille ou la violation de données comporte un risque élevé pour les droits et libertés.
  • L’obligation de désignation d’un Data Protection Officer(en français : « Délégué à la Protection des Données »). Doté d’un rôle très important, le DPO est chargé de piloter la gouvernance des données, de contrôler la conformité de l’entreprise avec le GDPR et de conseiller le responsable des traitements. Cette obligation de désignation d’un DPO ne s’applique qu’aux entreprises réalisant des traitements sur des données sensibles et/ou à grande échelle.
  • La suppression de l’obligation de déclaration préalable à la CNIL. Cette mesure traduit le principe qui gouverne le GDPR : responsabiliser les entreprises, en développant l’auto-contrôle.

Le GDPR a opéré de grands changements dans le paysage réglementaire relatif à la protection des données à caractère personnel. La conformité au GDPR est devenue l’une des clés de réussite de la performance CRM.

6 mots clefs pour comprendre le GDPR

Voici les définitions de quelques termes importants pour une bonne compréhension du GDPR :

  • DPO – Data Protection Officer : personne dont le rôle est de contrôler la conformité à la RGPD et de conseiller le responsable des traitements. Les entreprises traitant des données sensibles et/ou à grande échelle ont obligation de désigner un DPO.
  • DCP – Données à caractère personnel, sensible : il s’agit, selon le GDPR, de « toute information se rapportant à une personne physique identifiée ou identifiable » : noms et prénoms, identifiants, numéros d’identification, téléphones, emails, données comportementales dès lors qu’elles peuvent être rattachées à un individu…
  • CNIL – Commission nationale de l’Informatique et des Libertés : autorité de contrôle et de régulation française chargée de veiller à la bonne application par les acteurs économiques de la Loi Informatique et Libertés, et bientôt du GDPR.
  • Traitement des données : désigne la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données. Le GDPR a une compréhension très large du traitement des données.
  • Profilage : forme de traitement automatisé de DCP visant à évaluer certains aspects personnels relatifs à une personne physique (sa productivité au travail, son état de santé, etc.). Le RGPD prévoit un encadrement renforcé de cette pratique.
  • Privacy by Design : démarche consistant à prendre des mesures visant la protection des droits des personnes dès la phase de conception d’un produit ou d’un service. Démarche promue par le GDPR, liée au principe de responsabilisation des entreprises.

Pour aller plus loin dans votre compréhension des conséquences du GDPR / RGPD, vous pouvez consulter notre article sur les impacts sur votre entreprise de la General Data Protection Regulation.

Partager :
Antoine Coubray accompagne les organisations dans l’amélioration de la Performance Commerciale via une meilleure exploitation des Données Clients.

Antoine Coubray accompagne les organisations dans l’amélioration de la Performance Commerciale via une meilleure exploitation des Données Clients.

Besoin d'échanger sur le RGPD ? Rencontrons-nous !

Indiquez-nous vos coordonnées et éventuellement quelques mots sur votre besoin, nous vous contacterons dans les plus brefs délais pour un échange.