Toute entreprise, association ou collectivité qui est amenée à collecter et traiter des données à caractère personnel, pour son compte ou pour le compte d’une autre entité, doit se conformer à la règlementation sur la protection des données issue de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « Loi Informatique et Libertés »).
Les obligations en la matière ont été renforcées depuis l’entrée en vigueur, le 25 mai 2018, du Règlement général sur la protection des données (« RGPD »).
1. Qui est concerné par la règlementation ?
La règlementation s’applique à toutes les entités, européennes ou non, qui récoltent et traitent les données de personnes physiques situées sur le territoire de l’Union européenne.
Constitue une donnée personnelle toute information se rapportant à une personne physique identifiée ou identifiable, par exemple : nom, prénom, date de naissance, coordonnées bancaires, adresse IP, adresse mail etc…
L'identification d'une personne peut s’effectuer à partir d'une seule donnée ou par le croisement de plusieurs données.
Certaines données sont dites « sensibles » et leur traitement nécessite des mesures de protection supplémentaires. Il s’agit notamment des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses, philosophiques ou l'appartenance syndicale, les données génétiques, biométriques, concernant la santé, la vie sexuelle ou l'orientation sexuelle d'une personne physique (article 9 du RGPD).
Les obligations pèsent sur le responsable des traitements, entendu comme toute personne physique ou morale, autorité publique, service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement des données (article 4 du RGPD).
Certaines obligations pèsent également sur les sous-traitants de données personnelles, qui traitent des données personnelles pour le compte, sur instruction et sous l’autorité d’un responsable de traitement. Sont notamment concernés ici : les prestataires de services informatiques d’hébergement ou de maintenance, les intégrateurs de logiciels, les sociétés de sécurité informatique, les agences de marketing ou de communication, etc.
Le traitement de données personnelles consiste en toute opération, ou ensemble d’opérations, portant sur de telles données, quel que soit le procédé utilisé. Il peut s’agir des opérations suivantes : collecte, enregistrement, conservation, modification, extraction, consultation, utilisation, communication par transmission, verrouillage, effacement ou destruction.
Avant l’entrée en vigueur du RGPD, les responsables de traitement devaient effectuer des déclarations auprès de la Commission nationale pour l’informatique et les libertés (CNIL) préalablement à la mise en œuvre d’un traitement de données. L’entrée en vigueur du RGPD a mis fin à cette logique déclarative. Désormais, les entreprises n’ont plus à effectuer de déclarations préalables (sauf cas d’autorisations particuliers), mais doivent être en mesure de démontrer, à tout moment, que leurs pratiques sont conformes aux obligations en la matière.
2. Quelles sont les obligations pesant sur les entreprises ?
Les principales obligations incombant aux entreprises concernées sont les suivantes :
- Désigner un délégué à la protection des données (DPO) : cette obligation pèse uniquement sur les organismes publics, ainsi que sur les entreprises réalisant un suivi régulier et systématique des personnes à grande échelle, ou traitant à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions. Le DPO est toutefois conseillé pour les autres entreprises. Le DPO a une mission de chef d’orchestre de la conformité : il réalise l’inventaire des opérations de traitement, informe et conseille le responsable de traitement et le sous-traitant, gère les échanges avec la CNIL et sensibilise les équipes sur le sujet.
- Tenir en interne un registre des traitements complet et à jour : ce registre doit lister l’ensemble des traitements effectués, les catégories de données traitées, les objectifs poursuivis par ces traitements, les acteurs impliqués dans les traitements, les durées de conservation des données, ainsi que le flux des données.
- Gérer les risques élevés : certains traitements de données, considérés comme présentant des risques particulièrement graves, nécessitent la réalisation par l’entreprise concernée d’une analyse d’impact, destinée à évaluer les risques pour les droits et libertés des personnes et à déterminer les mesures à mettre en œuvre pour faire face auxdits risques. Sont notamment présumés à risque : les traitements de données sensibles, les traitements de données à grande échelle, le croisement des données, les données concernant les personnes vulnérables, la surveillance systématique etc.
- Garantir les droits des personnes : les personnes dont les données sont traitées bénéficient d’un certain nombre de droits concernant leurs données : droit d’accès aux données, de rectification, d’effacement, de limitation du traitement, droit d’opposition etc. Le responsable de traitement doit informer la personne de ses droits notamment par des mentions à cet effet sur chaque formulaire ou questionnaire de collecte des données et s’assurer de pouvoir répondre de manière effective aux demandes des personnes d’accès, de rectification etc.
- Garantir la sécurité des données : les entreprises doivent prendre les mesures techniques et organisationnelles permettant de garantir la sécurité et la confidentialité des données. Ces mesures consistent par exemple à minimiser les données traitées aux seules données strictement nécessaires, chiffrer, anonymiser, archiver et supprimer les données inutiles, gérer les habilitations et l’authentification des utilisateurs, mettre en place des procédures internes en cas de violation des données etc.
3. Quels sont les sanctions en cas de non-conformité ?
A l’issue d’un contrôle ou d’une plainte, en cas de méconnaissance des dispositions du RGPD, la CNIL peut prononcer les sanctions suivantes à l’encontre de l’auteur des infractions :
- Avertissement,
- Mise en demeure de se conformer au RGPD,
- Injonction de cesser temporairement ou définitivement un traitement,
- Amende administrative d’un montant maximal de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total dans les cas les plus graves de violation des droits.
Par ailleurs, les citoyens disposent également de recours en cas de violation de leurs droits. Ils peuvent ainsi :
- Effectuer une réclamation auprès de la CNIL,
- Intenter un recours juridictionnel à l’encontre d’un responsable de traitement, d’un sous traitant ou en vue d’attaquer une décision de la CNIL,
- Exercer une action de groupe (dans les conditions prévues par la loi du 18 novembre 2016).