Professionnels : 7 clés pour se mettre en conformité avec le règlement européen sur la protection des données
Par Julie Prost - Avocat à la Cour
Le RGPD (Règlement (UE) 2016/679) dont l'entrée en vigueur est prévue le 25 mai 2018, concerne tous les responsables de traitement de données établis sur le territoire de l'Union européenne, ainsi que les traitements visant des résidents européens.
Ce règlement poursuit trois objectifs essentiellement :
- Renforcer les droits des personnes
- Responsabiliser les professionnels
- Renforcer la coopération entre les autorités protectrices de données personnelles.
Voici les 7 clés destinées à se préparer à l'entrée en vigueur de ce règlement.
1. S'assurer d'un consentement sans ambiguïté
Cette obligation nécessite de mettre à la disposition des clients une information "claire, intelligible et aisément accessible", et d'être en mesure de prouver que chaque personne a bien consenti au recueil de ses données sans ambiguïté.
En pratique, sur le formulaire de collecte de données, il est recommandé d'inclure une case à cocher accompagnée (i) d'une description simple de la finalité du traitement, (ii) d'un lien vers la politique de confidentialité du site et (iii) de la précision selon laquelle les données collectées sont ou non partagées avec des tiers.
2. Permettre le droit à la portabilité des données
Chaque personne ayant communiqué des données à caractère personnel à un professionnel pourra exiger de sa part qu'il les lui restitue ou les transfère à un tiers via une demande écrite adressée par email ou par voie postale. Pour ce faire, les adresses électronique et postale du professionnel doivent être intégrées à sa politique de confidentialité.
3. Des dispositions spécifiques pour les enfants
Les mineurs de moins de 16 ans et doivent faire l'objet d'une attention particulière.
Les professionnels devront redoubler de vigilance pour ce public et :
- Rédiger le formulaire de collecte de données en termes clairs et simples "que l'enfant peut aisément comprendre". En pratique, l'on recommandera par exemple d'utiliser le tutoiement dans un formulaire de collecte de données français destiné à des enfants.
- S'assurer que le titulaire de l'autorité parentale est bien à l'origine du consentement lié au recueil des données de l'enfant. Les responsables de traitement devront procéder à cette vérification "compte tenu des moyens technologiques disponibles". Concrètement, cela implique de mettre en place des mécanismes de contrôle, par exemple des messages d'avertissements mentionnant les sanctions applicables en cas de fausse déclaration.
- Permettre aux enfants devenus majeurs de retirer leur consentement.
4. "Privacy by design"
Le RGPD responsabilise les professionnels de la data dès la conception de leur produit en leur imposant de respecter le principe de "privacy by design", c'est-à-dire prévoir de ne collecter que les données personnelles strictement nécessaires à la solution dès l'origine de sa création.
Cela va nécessiter d'adopter de bonnes pratiques et compléter le cahier des charges de chaque projet impliquant un traitement de données personnelles, par des recommandations et des principes conformes au "privacy by design".
5. "Accountability"
Les professionnels devront non seulement garantir la sécurité des données qu'ils traitent mais également pouvoir démontrer qu'ils ont mis en place des mesures de protection en termes de sécurité et de confidentialité et ce, à tout moment.
En pratique, tout professionnel devra :
- tenir à jour un registre des traitements mis en œuvre et des mesures de protection de données mises en place
- notifier toutes failles de sécurité (aux autorités et personnes concernées) dans les 72 heures
- éventuellement adhérer à des codes de conduites.
6. Etude d'impact sur la vie privée (EIVP)
Pour tous les traitements à risque (données sensibles ou profilage), le responsable de traitement devra conduire une EIVP complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
En cas de risque élevé, il devra consulter l'autorité de protection des données avant de mettre en œuvre ce traitement pour obtenir son approbation.
7. Le Délégué à la Protection des données (Data Protection Officer)
Nouvel acteur de la protection des données, le DPO veillera au sein de l'entreprise au respect de la règlementation en matière de traitement de données à caractère personnel.
Chaque professionnel pourra se doter d'un DPO et il sera même obligatoire d'en désigner dans certains cas :
- si le professionnel appartient au secteur public,
- si ses activités principales l'amène à réaliser un suivi régulier et systématique des personnes à grande échelle. La notion de "grande échelle" n'est pas définie dans le règlement mais le G29 souligne que cela pourrait être possible ultérieurement. Par exemple, le traitement des données des clients par une compagnie d'assurance ou une banque peuvent constituer des traitements de données à grande échelle.
- si les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Le DPO peut être désigné parmi les salariés de l'entreprise à condition d'être indépendant et d'être doté des compétences techniques et juridiques nécessaires, ou bien être externe et dans ce cas un avocat pourra certainement endosser cette mission grâce à son indépendance et ses compétences.
Julie Prost - Avocat à la Cour - prostavocat.com