Le RGPD: priorités et conseils pratiques

A présent, la plupart des entreprises sont conscientes que le RGPD et la réglementation relative à la vie privée dans le secteur des communications électroniques - lesquels font actuellement l’objet de négociations - apporteront des changements importants dans le domaine de la protection de la vie privée. Traduire le contenu théorique de la réglementation en une mise en œuvre pratique qui soit adaptée à l'entreprise constituera un défi majeur pour de nombreuses organisations. Cet article présente les priorités en la matière et des conseils pratiques. 

Priorités

Commencer par aborder le concept même de données à caractère personnel est primordial. Le RGPD ne s'applique que lorsque des données à caractère personnel sont traitées. Les données à caractère personnel sont des données qui permettent d'identifier, directement ou indirectement, une personne physique. La plupart des gens savent que, par exemple, un nom, une adresse physique ou électronique sont des données à caractère personnel. Mais ce n'est pas tout. Une adresse IP ou l’identifiant d’un appareil sont également considérés comme des informations personnelles.

De plus, une distinction est faite entre les données à caractère personnel «ordinaires» et les «catégories particulières de données à caractère personnel». Une photo qui révèlerait l’origine ethnique de quelqu’un ou l'enregistrement du motif du congé de maladie d'un employé relèveraient de ces dernières catégories. Les organisations doivent éviter de collecter ce type de données, sauf si l'une des exceptions autorisant leur traitement s’applique.

Un troisième facteur vient compliquer la situation: le RGPD s'applique également lorsque les données peuvent mener indirectement à une personne. De prime abord, on pourrait penser qu’il ne s'agit pas de données à caractère personnel, mais en combinaison avec d'autres données ou dans un contexte particulier, elles peuvent mener à un individu et sont donc, de fait, des données à caractère personnel. Le champ d'application du RGPD est donc très large.

On pourrait supposer que ces données “pseudonymisées” ou rendues anonymes ne sont pas des données à caractère personnel, ce qui permettrait de simplifier les choses et de dire que le RGPD ne s'applique plus à ces données. Malheureusement, cette hypothèse est fausse.

Le RGPD s'applique explicitement aux données pseudonymisées. Les données pseudonymisées sont des données dont les attributs ont été remplacés par des pseudonymes lors d'un enregistrement. Le RGPD considère la pseudonymisation comme une forme de sécurité appropriée.

Et qu'en est-il de l'anonymisation? Si un ensemble de données est anonymisé, le RGPD n'est plus applicable. Mais la barre a été placée haut. Les données doivent être cryptées, la clé doit être supprimée et toutes les données pouvant être redirigées vers une personne en particulier doivent avoir disparu. Il y’a donc une obligation de rendre le cryptage irréversible. Ce dernier critère n'est presque jamais rempli. Dans la plupart des cas, pour qu'il soit utile ou intéressant, un ensemble de données contient des combinaisons de données. Souvent, c'est cette combinaison qui peut encore mener à un individu. 

Responsable du traitement, sous-traitant, traitement et personne concernée

Dans le RGPD, le responsable du traitement, le sous-traitant, le traitement et la personne concernée sont des concepts clés. Le responsable du traitement détermine quoi faire avec les données à caractère personnel et la manière de les traiter. Le sous-traitant traite les données uniquement pour le compte du responsable du traitement. La personne concernée est la personne dont les données à caractère personnel sont traitées.

Beaucoup de nos clients se posent des questions sur les exigences liées à un accord de traitement. En voici quelques exemples: Quand est-il obligatoire de conclure un contrat de traitement? A quel moment une organisation est-elle considérée comme responsable du traitement ou comme sous-traitant?

Un contrat de traitement est nécessaire lorsqu'une autre partie est impliquée dans le traitement des données à caractère personnel dont votre organisation détermine les moyens et les finalités. Dans les limites de cet accord de traitement, le sous-traitant peut traiter les données en votre nom. Cependant, lorsqu'un sous-traitant agit au-delà des limites prévues par le contrat de traitement, il devient automatiquement responsable de l'activité de traitement. Toutes les obligations découlant du RGPD s'appliquent alors directement à cette partie. Par exemple, le sous-traitant devra se fonder sur une base légitime pour traiter les données. Cela peut s'avérer problématique, surtout lorsqu'il s'agit de traiter des données à caractère sensible. En outre, cela peut engager la responsabilité du responsable du traitement initial. 

Délégué à la protection des données (Data Protection Officer ou DPO)

Toutes les organisations n'ont pas l'obligation de nommer un DPO. Une organisation gouvernementale, une grande organisation qui traite des données à caractère personnel à grande échelle et une organisation principalement responsable du traitement de données à caractère sensible sont notamment tenues de désigner un DPO. Cependant, le RGPD laisse une marge d’interprétation. Quand peut-on considérer que vous traitez des données à caractère personnel à grande échelle, ou que vous êtes «responsable principalement» du traitement des données à caractère personnel? Prenez l'exemple d'un hôpital. Le traitement des données sensibles à caractère personnel est, pour une telle structure, une activité essentielle. Dans le cas d'une entreprise de marketing et de publicité souhaitant utiliser par exemple des données de localisation, la nomination d'un DPO pourrait être obligatoire. Un DPO ne doit pas nécessairement appartenir à votre organisation. Il peut également s'agir d'une personne externe.

Règlement relatif à la protection de la vie privée dans le secteur des communications électroniques

Outre le RGPD, le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques apportera également de nombreux changements. Le projet de règlement traverse actuellement le processus législatif de l'UE. Ce règlement est destiné à devenir exécutoire en même temps que le RGPD, en mai 2018. La question est de savoir si cette ambition est réaliste.

La directive actuelle relative à la protection de la vie privée dans le secteur des communications électroniques énonce des règles visant à garantir la confidentialité des communications (notamment l'interdiction des interférences) et l'utilisation de cookies. Elle régit la protection du droit à la vie privée et se concentre sur les opérateurs de télécommunication traditionnels, tels que les fournisseurs d'accès à Internet.

Le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques sera également axé sur les services «over the top» (OTT) tels que WhatsApp, Facebook Messenger, Gmail, Skype et Snapchat, en plus des opérateurs traditionnels. Cela signifie que ces fournisseurs de services doivent également garantir la confidentialité des communications des citoyens et empêcher toute perturbation, interception ou surveillance. Cela s'applique également à la communication de machine à machine et, par conséquent, la communication liée à l'Internet des objets (IOT-Internet of Things) est également couverte. La portée du règlement relatif à la protection de la vie privée dans le secteur des communications électroniques est plus large parce que les consommateurs et les entreprises dépendent de plus en plus des nouveaux services Internet pour communiquer. Les appels téléphoniques et les lettres papier sont maintenant remplacés par des services téléphoniques en ligne et des emails via des services de voix sur IP, de messagerie instantanée et de messagerie Web.

Outre le contenu des communications, les «métadonnées» sont également protégées par le règlement. Il s'agit notamment des données de localisation, de l'heure et de la durée de la communication mais aussi de l'expéditeur. En utilisant les technologies actuelles, ces données fournissent presque autant d'informations sur la vie privée d’un individu donné que le contenu même de la conversation. 

Cookies

De nombreuses organisations se posent des questions sur les changements que le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques apportera concernant l'utilisation des cookies. Il semble que le règlement ne simplifiera pas nécessairement cette utilisation.

On peut utiliser des cookies lorsque (1) cela est nécessaire pour transférer les données, (2) cela est nécessaire pour fournir les services demandés, (3) cela est nécessaire pour mesurer les statistiques Web (“first-party” cookies), ou (4) le consentement a été donné par la personne concernée.

Pour que le consentement obtenu soit valide, des exigences strictes s'appliquent. La demande de consentement doit être présentée sous une forme compréhensible et facilement accessible et dans un langage clair et simple. En outre, la personne concernée doit être en mesure de retirer le consentement donné à tout moment et le consentement doit être donné librement. Le responsable du traitement doit être en mesure de démontrer qu'il a obtenu le consentement. Si les consommateurs ou les utilisateurs ne donnent pas explicitement leur consentement au traitement de leurs données, les entreprises doivent, conformément au règlement proposé, anonymiser ou supprimer les données.

Les cookies nécessaires au bon fonctionnement d'un site Web ou d'un service et les cookies qui gèrent les statistiques Web (“first-party” cookies) ne nécessitent pas de consentement. C'est déjà le cas en droit néerlandais; cependant, pour les cookies de traçage, le consentement est requis avant le placement de ces cookies tiers. Les mêmes exigences de consentement que celles du RGPD s'appliquent: le consentement doit être donné librement, de manière spécifique et en connaissance de cause. Le RGPD contient également une disposition interdisant le regroupement. Cela signifie que vous ne pouvez pas, par exemple, demander le consentement pour accéder au site et, en même temps, demander le consentement pour des services qui ne sont pas directement nécessaires pour fournir cet accès. La question est de savoir si l'utilisation de cookies de traçage (= recettes publicitaires) est nécessaire pour maintenir les sites Web en ligne. Cette discussion se poursuivra dans les mois à venir.

Pour les entreprises qui utilisent la capture d'empreintes digitales, la question du consentement sera également pertinente. La capture d'empreintes digitales est la collecte de données transmises par un appareil (par exemple un téléphone ou un ordinateur portable) lors de l'utilisation d'Internet via un navigateur Internet. Cela comprend des données telles que le système d'exploitation, les polices définies, l'adresse IP et la taille de l'écran, ce qui permet de reconnaître l'appareil et l'utilisateur. Ces informations ne peuvent être recueillies que lorsqu’il est nécessaire de se connecter au site Web et que le visiteur est clairement informé de la collecte et de la possibilité de la refuser. Cela créera un défi supplémentaire pour les fournisseurs de services qui utilisent la capture d'empreintes digitales. 

Amendes

Les lourdes amendes qui peuvent être imposées en vertu du RGPD sont bien connues. En vertu du règlement relatif à la protection de la vie privée dans le secteur des communications électroniques, les mêmes amendes peuvent être imposées par l'autorité chargée de la protection des données. En vertu du projet actuel de règlement relatif à la protection de la vie privée dans le secteur des communications électroniques, l'amende pour l'utilisation incorrecte des cookies et le déploiement d'autres canaux de marketing s'élève à 10 millions d'euros, ou 2% du chiffre d'affaires mondial total annuel de l'exercice précédent. Un amendement a déjà été déposé pour porter l'amende à 20 millions d'euros, ou 4% du chiffre d'affaires mondial total annuel de l'exercice précédent. Nous devons attendre de voir si cette proposition fera partie du règlement final.

Pour de nombreuses organisations, il reste encore beaucoup de travail à faire avant que le RGPD ne soit correctement mis en œuvre. Et la proposition de règlement relatif à la protection de la vie privée dans le secteur des communications électroniques représente un nouveau défi. Nous vous tiendrons au courant de tous les nouveaux développements concernant le RGPD et le règlement relatif à la protection de la vie privée dans le secteur des communications électroniques. Nous continuerons à vous apporter un éclairage en la matière et à vous fournir des conseils et des astuces pour leur mise en œuvre.