Guide de survie au Règlement Général sur la Protection des Données

Le RGPD - 25 mai 2018

Dans moins de 2 mois, dès le 25 mai 2018 le RGPD entrera en vigueur, il est actuellement facile de constaté qu’une majorité d’entreprises, faisant ou non partie de l’Union européenne ne sont pas encore prêtes.

Le monde entier est concerné :

Nombreuses sont les entreprises extérieures à l’UE qui ne savent pas encore qu’elles peuvent être concernées par le RGPD. Dès lors qu’elles détiennent des données de ressortissants européens, elles doivent s’y conformer. De par la nature globale du web, ce règlement visant à protéger la confidentialité des données des Européens s’applique en effet dans le monde entier, que ce soit pour leur collecte, leur stockage ou leur traitement.

Objectif : Protéger les données de l’individu

Si le RGPD fournit une protection pour un simple nom ou une adresse email, il donne sa pleine mesure pour les données personnelles et sensibles telles que celles relatives à la santé, à la politique ou à la religion. Même dans nos démocraties ces données peuvent être utilisées à l’encontre de cette dernière. Si le RGPD avait été appliqué 2 années plus tôt, l’exploitation des données de Facebook par des entreprises comme Cambridge Analytica aurait été impossible et certaines élections ou référendums n’auraient sans doute pas livrés les mêmes résultats…

Pourquoi le RGPD est-il nécessaire ?

Outre l’exemple malheureux cité en paragraphe précédent, une des raisons principales à la création du au Règlement Général sur la Protection des Données de l’UE est que les données personnels sont aujourd’hui le carburant du web et des réseaux.

Le commerce en ligne, les réseaux sociaux, la publicité en ligne sont des consommateurs actifs de ces données et jusqu’à présent ils bénéficient d’une réglementation très laxiste pour le respect de la vie privée des utilisateurs.

GDPR assurera bientôt que de bonnes pratiques dans la gestion et l’utilisation des données privées soient respectées.
La plupart des lois sur la vie et les données privées datent d’un bon quart de siècle et ne sont pas adaptées à la révolution numérique que nous avons connue depuis.

Les gains de la mise en conformité :

  • La RGPD et son application permettra à terme de :
  • De restaurer la confiance entre les utilisateurs et fournisseurs de services.
  • De rendre le web et les réseaux plus sûrs.
  • De développer de nouvelles applications dans des secteurs où les données privées sont essentielles.

La mise en conformité : Pas de recette unique !

Cet article ne doit pas être interprété comme un avis juridique, pour cela la consultation de la CNIL ou d’un avocat spécialisé devra être menée. En effet, la mise en conformité RGPD d’une entreprise dépend de son activité, des données qu’elle détient, de ses pratiques d’acquisition, de stockage et d’utilisation…

Par ailleurs, Valnaos vous propose actuellement plusieurs formations RGPD pour comprendre et mettre en application le RGPD au sein de votre organisation :

  • Délégué à la Protection des Données (DPO)
  • Sensibilisation aux nouvelles règles relatives à la protection des données – 2 jours
  • Sensibilisation aux nouvelles règles relatives à la protection des données  -1 jour

Quelles sont les données protégées ?

Il existe 2 types principaux de données protégées par le RGPD :

  • Les données personnelles : Sont considérées comme « personnelles » toutes les données telles que le nom, l’adresse email, l’adresse physique, les données de géolocalisation, les données biométriques, les identifiants en ligne et noms d’utilisateurs.
  • Les données sensibles : Sont considérées comme « sensibles » toutes les données telles que l’origine ethnique, la religion, les préférences sexuelles, les opinions politiques, les données relatives à la santé ou au judiciaire. Ces données sont plus protégées par le RGPD et les sanctions seront plus lourdes en cas de manquement à leur protection.

Parfois certains « flous » existent lorsque des données personnelles deviennent « sensibles » par le fait qu’elles permettent de déduire une orientation ou une appartenance.

Le recoupement et la liaison de données distinctes qui permettrait des déductions sont aussi visés par des dispositions particulières du RGPD.

En règle générale la première des meilleures pratiques à appliquer consiste à ne jamais demander plus de données que nécessaire au besoin. Plus les données sont légères et moins il y a à perdre.

Quels sont les droits de l’utilisateur avec le RGPD ?

Les propriétaires de données personnelles ou sensibles (l’utilisateur) est prioritairement protégé par le RGPD. Ceci est important et doit amener à la réflexion avant toute demande d’information aux utilisateurs et quels en sont les droits qui en seront affectés ?
Les droits des propriétaires de données spécifiés par le RGPD :

  • Le droit à l’information
  • Le droit d’accès aux données
  • Le droit à la correction
  • Le droit à la suppression des données
  • Le droit à la limitation du traitement
  • Le droit à la portabilité
  • Le droit d’objecter
  • Le droit de ne pas être soumis à une décision automatisée.

Les collecteurs de données disposent eux aussi de droits :

Par exemple, imaginons qu’un utilisateur s’est abonné à notre newsletter.  Après quelques mois, il décide de se désabonner et se désinscrit. Nous devons obligatoirement supprimer définitivement son adresse email, cependant lorsqu’il s’est abonné, son IP à été enregistrée afin de vérifier son consentement. Il est alors possible de conserver ces données afin de démontrer la conformité RGPD de notre entreprise.

A qui s’applique le Règlement Général sur la Protection des Données ?

Le RGPD s’applique à toutes les données stockées collectées ou traitées en Europe.

Le transfert de données personnelles en dehors de l’Union Européenne nécessite un consentement explicite de l’utilisateur.

Un point important est l’interdiction de tout transfert de données vers un pays hors UE que l’UE ne considère pas comme ayant des lois en adéquation avec la protection des données. Cela compliquera l’utilisation de certaines technologies web tels que les CDN qui permettent de délivrer au plus près de l’utilisateur les données d’un site ou d’une application. Si certains pays tels que l’Argentine ou la Nouvelle-Zélande respectent la norme, d’autres comme les États-unis ou le Canada par exemple, ne la respectent que partiellement.

RGPD pour les TPE PME :

Il semblerait que la CNIL sera plus indulgente à l’égard des TPE-PME et de leur mise en conformité au RGPD. Elle a prévu de publier une série de documents appelée « Pack PME-TPE » dédié aux entreprises de moins de 250 salariés afin de les accompagner dans cette adaptation.

Cette tolérance vis-à-vis des petites entreprises est une bonne nouvelle, cependant, on ne connait à cette heure, rien de sa durée.

Les étapes d’une mise en conformité au RGPD :

Notre devoir légal est désormais de prouver que l’on est conforme au RGPD, ne pas le faire constitue une infraction, le régulateur de l’UE n’a donc pas la responsabilité de prouver l’infraction.

Les principes fondamentaux du RGPD sont définis par l’approche « Privacy By Design » (PBD). Le concept de « Privacy by Design » a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leur conception. Pour chaque nouvelle application, produit ou service traitant des données à caractère personnel, les entreprises et autres responsables du traitement doivent offrir à leurs utilisateurs ou clients le plus haut niveau possible de protection des données. PBD soutient que la vie privée, une fois perdue, ne peut être rétablie et que par conséquent, les menaces à la vie privée doivent être anticipées et évitées.

PDB est défini par 7 principes :

  • Être proactif : PBD est préventif, pas correctif. En bref, il est inutile de verrouiller la porte de la bergerie une fois que le loup est à l’intérieur.
  • La confidentialité par défaut : un utilisateur ne devrait pas avoir à prendre de mesures pour assurer la confidentialité. Si un utilisateur ne fait rien, alors ses données sont traitées comme privées.
  • Intégration de la confidentialité dans la conception : la confidentialité n’est pas ajoutée à un système après coup, elle fait partie intégrante de tout produit ou système.
  • La confidentialité ne limite pas la fonctionnalité : PBD rejette l’idée que toute utilisation légitime des données doit compromettre la confidentialité.
  • Vie privée totale : PBD couvre tout le cycle de vie d’une donnée, depuis le moment où elle est collectée, pendant son stockage, jusqu’à sa destruction permanente.
  • Confidentialité transparente : les normes de confidentialité sont totalement transparentes, de sorte que toute personne utilisant le produit ou le système comprend clairement comment ses données sont protégées.
  • La vie privée est centrée sur l’utilisateur : PBD est sur le respect de la vie privée de l’individu, le propriétaire des données doit être la première priorité.

L’un des concepts de base du RGPD est que non seulement PBD devrait être mis en œuvre, mais qu’il faut documenter complètement le processus PBD. Si vous avez la malchance de devoir signaler une violation de données à votre organisme de réglementation, la documentation de votre approche PBD est à la base de l’enquête de l’organisme de réglementation et de sa décision concernant votre culpabilité. Une partie substantielle de cette documentation est l’Évaluation des Facteurs relatifs à la Vie Privée (EFVP).

RGPD DPIA

Rédaction d’une Évaluation des Facteurs relatifs à la Vie Privée

L’évaluation des facteurs relatifs à la vie privée (EFVP) est une composante essentielle de la PBD et une exigence de la conformité au RGPD.

Tout produit numérique doit avoir une PIA (Privacy Impact Assessment). Idéalement, le PIA est un document évolutif qui se développe à mesure qu’un produit est conçu (conformément au troisième principe de PBD), mais vous pouvez les écrire rétrospectivement pour des produits existants.

Le but de l’EFVP est de documenter les menaces à la vie privée dans votre système, et les mesures que vous avez prises pour les combattre. Il s’agit essentiellement d’une liste de contrôle personnalisée des problèmes de confidentialité et peut être considérée comme une feuille de route pour la protection de la vie privée de vos utilisateurs.

Chaque projet ou organisation étant unique Il n’y a pas de liste de contrôle standard pour une EFVP, mais certaines pratiques recommandées peuvent être suivies. N’ayez pas peur d’ajouter des détails supplémentaires si votre projet le justifie.

  • Identifier le besoin d’une EFVP : Pourquoi rédigez-vous une EFVP ? Décrivez la portée de votre projet. Décrivez quelles données sont susceptibles d’être requises. Décrivez à quel point vous pensez que les données sont sensibles.
  • Documenter les flux de données attendus : Comment les utilisateurs vont-ils divulguer les données, comment seront-ils transmis et stockés, seront-ils traités et, si oui, comment ? Identifiez tous ceux qui utiliseront les données, y compris la direction et les développeurs. Spéculer sur les utilisations futures des données, pour quoi pourrait-elle être utilisée à l’avenir ? Combien de temps les données seront-elles stockées ? Comment l’utilisateur peut-il modifier ou supprimer ses données ?
  • Documenter les processus de consentement : Comment allez-vous enregistrer le consentement de l’utilisateur? Comment allez-vous vérifier le consentement? Si le consentement n’est pas expressément donné, existe-t-il une base légale justifiable pour la collecte des données?
  • Identifier les risques : Quel est le risque pour les individus à partir des données collectées ? Des données inutiles sont-elles collectées ? Si les données sont sauvegardées, les sauvegardes ont-elles le même niveau de sécurité ? Qui a accès aux données, qu’en est-il des stagiaires, qu’en est-il des tiers ? Que faire si les données sont perdues, modifiées, divulguées, mal utilisées ? Évaluer tous les risques, y compris les complications juridiques et la perte de réputation.
  • Identifier les solutions : Concevoir des moyens de réduire et, si possible, d’éliminer les risques d’atteinte à la vie privée. Évaluer le coût des solutions en termes de temps et d’investissement. Comment les solutions affectent-elles la confidentialité des utilisateurs et le projet ? Existe-t-il des procédures appropriées pour gérer une violation de données ? Existe-t-il des procédures adéquates pour se conformer aux procédures légales, telles que l’ordonnance du tribunal de divulguer des informations ?
  • Documenter l’intégration des solutions dans le projet : S’assurer que les solutions identifiées sont intégrées dans le projet. Mettre à jour l’EFVP pour tenir compte des changements techniques requis.

Continuer de développer l’interface PIA tout au long de la vie de votre produit.

Conformément au principe quatre de la norme PBD, la protection de la vie privée ne compromettra pas l’utilisation légitime des données de l’utilisateur. Si, à travers le développement de l’EFVP, un risque inacceptable ou insoluble pour la vie privée apparaît, alors vous devriez remettre en question la viabilité du projet.

Nommer un délégué à la protection des données

Les grandes organisations, et tout traitement de certains types de données (banques par exemple) sont tenus de désigner un délégué à la protection des données (DPO) dont le rôle est de s’assurer que l’organisation est conforme GDPR.

Les petites entreprises sont exemptées de la désignation d’un DPO formel. Par exemple, si vous gérez un restaurant, vous n’avez normalement pas besoin de nommer un DPO. Toutefois, si vous exploitez une entreprise de livraison depuis ce restaurant, vous conservez des données sensibles telles que les allergies (qui constituent des données médicales) ou diététiques, des préférences (surtout si ces préférences sont religieuses) vous aurez surement besoin d’un DPO.

Indépendamment de l’exigence légale, il est toujours conseillé d’avoir un seul point de contact qui peut coordonner les efforts de confidentialité au sein de l’organisation.

Le RGPD et le consentement :

Il est en 2018 étonnant d’avoir encore à préciser que l’absence de « non ne signifie pas « oui » !  Conformément au 2ème principe de la norme PBD, le souhait de confidentialité doit être le choix par défaut.

Conformément au 4ème principe de PBD, le choix de la confidentialité ne peut empêcher l’utilisation d’une application ou d’un service. L’utilisateur doit rester libre de son choix. Le GDPR signe aussi la fin des petites lignes illisibles et de toutes tentatives de tromperies. L’information et les modalités doivent être claires, simples et explicites. Dans le cadre du GDPR, le consentement est soigneusement défini pour garantir la protection des droits des utilisateurs :

  • Le consentement devrait être explicite, vérifiable et donné librement : Vous ne pouvez pas tromper ou faire pression sur un utilisateur pour qu’il y consente. Une case à cocher pré-cochée ne constitue pas un consentement.
  • Le consentement doit être demandé en langage clair : Vous devez avoir des motifs raisonnables de croire que vos utilisateurs comprendront le consentement qu’on leur demande de donner.
  • Le consentement aux services numériques d’un enfant de moins de 16 ans nécessite le consentement des parents : certains États de l’UE réduiront ce chiffre à 13, mais ils font preuve de prudence. Notez que si vous obtenez le consentement des enfants, la demande de consentement doit être écrite dans la langue de l’enfant et de son tuteur.
  • Le consentement doit être granulaire : les utilisateurs peuvent être disposés à conserver et à utiliser leurs données, mais ne pas être disposés à le transmettre à des tiers. Ne nécessite jamais d’autorisations générales. Vous ne pouvez pas utiliser le texte classique « En visitant ce site, vous êtes d’accord et autorisez … ».

Si le consentement que vous obtenez de vos utilisateurs ne répond à aucune de ces exigences, il sera considéré que vous n’avez pas obtenu de consentement, quelles que soient les intentions de vos utilisateurs.

Le RGPD et la conception des sites internet :
Pour la mise en conformité d’un site internet avec le Règlement Général sur la Protection des Données, il n’est pas nécessaire de les modifier radicalement, souvent, de simples changements (de mentalité) seront suffisants.

  • Introduire l’information « juste-à-temps ». C’est l’habitude de dire aux utilisateurs la nature des données que vous collectez, au moment de la collecte. Exemple : sous un champ d’abonnement à une newsletter, expliquer que l’adresse mail collectée est destinée à l’envoi de courrier marketing et que l’IP est enregistrée pour vérifier le consentement. Cela garantit que, conformément au principe 6 de PBD, les utilisateurs sont conscients des données que vous détenez, dans quel but, et ne doivent pas aller à la recherche d’une politique de confidentialité. (Toujours inclure un lien vers une déclaration de confidentialité publique complète au cas où l’utilisateur veut plus d’informations.)
  • Afin de se conformer au principe 2 de PBD, lors de la collecte du consentement, les cases à cocher ne doivent pas être présélectionnées.
  • Réduction des données collectées. Exemple : les données de localisation sont fréquemment enregistrées avec plus de précision que nécessaire. Si l’on a besoin de connaître la région dans lequel se trouve quelqu’un, il n’est pas nécessaire de connaître la ville ou la banlieue. Si vous collectez des données de longitude et de latitude, tronquez quelques chiffres avant de l’enregistrer.
  • Lorsque l’on enregistre des données utilisateur, il faut s’assurer d’enregistrer la manière dont le consentement a été donné, la date et l’heure. Inclure l’option pour marquer le consentement comme annulé, au cas où vous devriez supprimer les données à l’avenir.
  • « Pseudonymiser » les données si possible en remplaçant les données identifiables telles qu’un nom, ou une adresse e-mail, avec un identifiant anonyme.
  • Compartimenter les données lorsque cela est possible, afin que les données personnelles, telles que les préférences d’application, ne soient pas stockées à côté des données de sécurité telles que les noms d’utilisateur et les mots de passe.
  • Depuis quelques années, il est de pratique courante de s’appuyer sur une adresse e-mail en tant que nom d’utilisateur. Il est question de savoir si ce modèle de conception a du sens pour les utilisateurs. Il va certainement simplifier la connexion, mais expose également les données privées à une divulgation potentielle ou une mauvaise utilisation.
  • Assurez-vous qu’aucune partie de l’interface utilisateur n’affiche de données personnelles. Si l’interface utilisateur indique que quelqu’un est connecté avec un message de bienvenue, utiliser les données les moins sensibles possibles. Exemple : un avatar de l’utilisateur est moins sensible que son nom, qui est moins sensible que son adresse e-mail. Supposons que quelqu’un lise l’écran de l’utilisateur par-dessus son épaule, à son insu ; quelles sont les données affichées superflues ?
  • Un utilisateur malveillant pourrait-il compromettre des données en déclenchant une erreur ? Exemple : si un utilisateur entre des adresses e-mail dans un formulaire « Email oublié », le formulaire confirmera-t-il que le rappel du mot de passe a été envoyé (et par conséquence, confirme-t-on que l’utilisateur a un compte)?
  • L’expérience utilisateur (UX) est souvent une source d’étude. Si l’on effectue des recherches ou des études sur les utilisateurs, comment sont stockées les données ? Sont-elles sensibles ? Sont-elles profilées ?

Les premières étapes vers la mise en conformité RGPD :

  • La première étape de la conformité au GDPR pour les petites et moyennes entreprises est de s’assurer que toutes les parties prenantes sont conscientes et impliquées dans le processus ; il est beaucoup plus facile de mettre en œuvre des changements de procédure lorsque vous avez l’adhésion de la direction.
  • L’étape suivante consiste à déterminer quel État membre est votre organisme de réglementation. Si vous opérez au sein de l’UE, ce sera normalement l’État membre dans lequel se trouve votre siège. Si vous êtes au Royaume-Uni, alors GDPR s’applique à vous comme un règlement de l’UE jusqu’à la fin de la période de transition Brexit en Décembre 2020, après quoi le gouvernement britannique prévoit d’inscrire GDPR en droit.
  • Ensuite, effectuez un audit complet des données que vous détenez actuellement. D’où viennent-elles ? Est-ce courant d’en collecter ? Avec qui sont-elles partagées ? Sont-elles nécessaire ? Leur sécurité est-elle assurée ? Si vous ne pouvez pas répondre à toutes ces questions à la satisfaction de tous les intervenants (ou à votre DPO si vous en avez nommé un), effacez les données.
  • Faire le ménage. Si un utilisateur ne s’est pas connecté au site depuis 1997, il est juste de penser qu’il ne s’agit plus d’un client et que les données détenues à leur sujet ne sont ni nécessaires ni à jour. Envoyer un email poli demandant s’il souhaite que le compte reste ouvert, si aucune réponse n’est obtenue, le compte et les données associées devront être supprimées.
  • Informer toute tierce partie avec laquelle des données sont partagées et s’assurer qu’ils sont conscients de l’échéance du 25 mai 2018 et de leur engagement à la respecter. Les grandes entreprises, y compris Google et Twitter, ainsi que d’autres sociétés de niche comme MailChimp et Mailjet, sont toutes engagées à respecter la conformité GDPR.
  • C’est une idée fausse et partagée que le RGPD impose de supprimer les listes de diffusion et de demander aux gens de se réabonner. Ce n’est pas nécessairement le cas : si vous l’avez construit de façon éthique et respectueuse des bonnes pratiques, il se peut qu’elle soit déjà conforme. Si vous avez un consentement explicite pour conserver une adresse e-mail pour tout ce que vous utilisez en marketing, vous pouvez légitimement conserver cette adresse dans votre base de données. Certaines entreprises trouveront qu’il est moins onéreux d’effacer leur liste de diffusion et de recommencer, même si elles peuvent démontrer un consentement approprié.
  • Enfin, vérifiez auprès de quiconque héberge votre site pour vous assurer que son infrastructure est correctement sécurisée pour le stockage des données de vos utilisateurs.

Pour conclure :

GDPR est un ensemble de bonnes pratiques depuis longtemps attendu pour la vie privée dans les affaires, le commerce, et tout particulièrement sur le Web. Ce nouveau règlement nous demande de traiter les données de nos utilisateurs avec le même soin et le même respect que nous traiterions les nôtres.

Les pénalités pour non-conformité avec GDPR sont échelonnées. Le premier niveau est de 10 millions d’euros ou de 2% du chiffre d’affaires mondial (le plus élevé des deux); Le deuxième niveau est de 20 millions d’euros ou de 4% du chiffre d’affaires global (le plus élevé des deux).
Ces éventuelles pénalités dépendront des facteurs auxquels l’entreprise s’est conformée avec succès.

Bien que cela puisse paraître sévère, les sanctions élevées faciliteront l’adoption du rôle de défenseurs des utilisateurs.

La conformité GDPR concerne la protection des utilisateurs. Devenir leur défenseur, lutter pour la défense de la vie privée en inscrivant ces droits dans chaque produits ou services réalisés, il en résultera de meilleurs produits, des utilisateurs fidèles et un réseau plus fiable et sécurisé.

publié le 04 avril 2018