Deux types d'acteurs sont responsabilisés par le règlement européen sur la protection des données : les responsables de traitement et les sous-traitants.

Pour rappel, le responsable de traitement détermine la(les) finalité(s) et les moyens du traitement appliqués aux données personnelles.

Par la suite, il peut faire appel à un ou plusieurs sous-traitant(s) intervenant à des étapes spécifiques du traitement des données selon les objectifs désirés, agissant pour son compte et selon ses instructions. Avec le RGPD, les sous-traitants peuvent être amenés à engager leur responsabilité.

Exemple

Vous êtes chargé(e) de marketing, responsable de communication, commercial(e), responsable opérationnel, administrateur IT, assistant juridique, spécialiste eCommerce - développement web, en charge des Ressources Humaines ?

Vous êtes certainement impliqué(e) au premier degré dans la finalité et les moyens du traitement appliqués aux données personnelles dans votre entreprise. Pour autant, c'est votre entreprise, personne morale, et non vous-même, personne physique, qui est le Responsable de traitement. Sauf s'il est démontré que vous, professionnel(le) de cette entreprise, avez agi seul(e) dans la détermination des finalités et des moyens du traitement appliqués auxdites données.

Formalités préalables

Depuis le 25 mai 2018, la grande majorité des déclarations à la CNIL prévues par la directive européenne de 1995 sur la protection des données à caractère personnel (et la loi Informatique et Liberté la transposant en droit français) sous le nom de “formalités préalables” disparaissent mais deux principes majeurs sont désormais à prendre en compte : privacy by design and by default et accountability.

Privacy by design and by default

Le privacy by design and by default (ou encore “protection des données dès la conception et par défaut”) est la nécessité d'intégrer de manière systématique les mesures nécessaires à la protection des données personnelles lors de la création d'un produit ou d'un service. En tant qu'acteur de la création d'un produit ou d'un service, qu'elle qu'en soit l'étape, vous êtes donc concerné par ce principe.

Principe d'accountability

A ceci s'ajoute le principe d'accountability. Les responsables de traitement des données personnelles et les sous-traitants doivent tout à la fois mettre en œuvre les processus permettant la protection des données personnelles, et dans le même temps être en capacité perpétuelle de fournir la preuve de leur conformité au règlement européen (en d'autres termes, pouvoir tracer en permanence l'efficacité de ces processus par de la documentation et des mesures internes).

Le champ d'application est fixé de la manière suivante : sont concernés les responsables de traitement et les sous-traitants basés dans l'Union européenne (UE), et ceux situés hors UE mettant en œuvre des traitements visant à fournir des biens et services à des personnes au sein de l'Union européenne ou visant à suivre leurs comportements au sein de l'UE.

Les droits et obligations prévues par le règlement européen concernent notamment :

La portabilité des données

Votre client sera en mesure d'exiger que vous lui fassiez parvenir toutes ses données sur un support lisible pour les fournir à votre concurrent s'il choisit de changer de fournisseur.

La notification de violation des données

En cas de violation de données (faille, accès non autorisé, etc), le responsable de traitement a l'obligation d'informer l'autorité de protection des données dans les 72H, voire les personnes dont les données ont été violées si le risque d'atteinte aux droits et libertés desdites personnes est élevé.

La tenue d'un registre des traitements de données

Sous conditions, mais vivement recommandée.

La nomination d'un Data Protection Officer (DPO)

Sous conditions. Il doit être le garant de la protection des données personnelles.

L'analyse d'impact

Avant mise en place de nouveau traitement, la réalisation d'analyses d'impact en cas de risque élevé d'atteinte à la protection des données personnelles est obligatoire. Elle est particulièrement conseillée pour un traitement déjà en place présentant un risque élevé.

En cas de non-conformité au règlement européen de protection des données personnelles, une nouvelle échelle de sanctions a été définie. L'amende émise pourra atteindre 4% du chiffre d'affaires mondial du contrevenant ou 20 millions d'euros, le montant le plus élevé des deux étant retenu.

En tant que communicant, ce ne sont pas tant les messages (nature, signification) que vous transmettez qui devront changer avec l'application du RGPD, mais votre manière de traiter les données personnelles de vos cibles : les informer en amont du traitement avec plus de transparence ; dans le cas où la justification légale du traitement repose sur le consentement, vous devez être en mesure de fournir la preuve de leur consentement valide.

Une donnée personnelle est une information permettant d'identifier directement ou indirectement une personne physique. Une adresse mail nom.prénom@nomdedomaine.com est un moyen d'identifier directement une personne physique tandis qu'un numéro de client peut être un moyen d'identification indirect d'une personne physique.

A contrario, une adresse générique seule ne permet pas a priori d'identifier une personne physique (à moins d'être en possession d'informations permettant d'en identifier une par recoupement). contact@nomdelasociété.com sont des coordonnées de personnes morales. Ce type de données n'étant pas considérées comme des données personnelles, elles ne rentrent pas dans le cadre du RGPD.

Les règles applicables en matière de communication électronique ne sont pas remises en cause par le RGPD. Vous pouvez retrouver ces règles sur le site internet de la CNIL.

Notez toutefois que le projet de règlement européen e-privacy, en cours de discussion à l'échelle européenne, lance le débat sur des thématiques mêlant communication digitale et consentement de l'utilisateur. Cette thématique reste donc à suivre dans les prochains mois.

Lorsque l'on évoque les données personnelles, on pense forcément à un moment ou à un autre au consentement des personnes dont on traite les données. Or les amalgames concernant la notion de consentement dans le cadre du RGPD sont légion sur internet...

Le texte européen rappelle que le consentement est l'une des justifications légales sur lesquelles peut s'appuyer le traitement des données. Mais il n'est pas la seule justification possible au traitement des données (ex : exécution d'un contrat) et en ce sens, il est erroné d'affirmer que le consentement est rendu systématiquement obligatoire par le RGPD et qu'il devient la règle.

Par contre, le RGPD renforce les conditions applicables lorsqu'un traitement de données repose sur le consentement. En pratique, lorsque le consentement est exigé (dans le cas par exemple de la prospection commerciale BtoC) ou lorsque vous choisissez de justifier le traitement des données par le biais du consentement, vous devez obtenir un consentement valide :

Déclaration ou acte positif clair et univoque de la personne

Les cases pré-cochées par défaut, les consentements passifs ou implicites sont à proscrire définitivement !

Le consentement doit être éclairé

Informer la personne concernée avec des mots simples de l'usage qui serait réalisé de ses données, la personne doit avoir conscience du consentement donné et de sa portée. N'utilisez pas de négation.

Le consentement doit être libre et spécifique

Le consentement doit être libre et spécifique : il doit être donné pour une finalité précise (pour l'envoi de vos propositions commerciales et non pas pour VOS propositions et celles de vos partenaires). Il ne doit pas être forcé (l'associer avec une réduction, un cadeau ou encore à l'exécution d'un service alors qu'il n'est pas nécessaire). Vous devez également distinguer entre le consentement à un traitement de données et le consentement à des CGU par exemple.

Le droit de retirer son consentement à tout moment

Vous devez informer la personne qu'elle a le droit de retirer son consentement à tout moment, en précisant qu'il est aussi simple de retirer son consentement que de le donner.

Conserver la preuve du consentement obtenu

Prévoir de conserver la preuve du consentement obtenu (c'est à vous de le prouver !) : ce à quoi la personne a consenti, le moment où elle a consenti, qui a consenti. Une traçabilité des actions relatives au consentement doit être mise en œuvre : sur le consentement, les finalités et les consentements révoqués.

Retrait du consentement aisé

Prévoir de manière effective que le retrait du consentement soit aisé pour la personne. (Paramètres modifiables dans son compte client par exemple)

Par ailleurs, le droit d'information au traitement des données se trouve renforcé par le règlement européen. Les utilisateurs doivent être notamment clairement informés de l'utilisation de leurs données, des destinataires, de la durée de conservation, de la possibilité de rectifier, effacer ou limiter leurs données, ou encore de s'opposer au traitement.

Le responsable de traitement doit uniquement faire appel à des sous-traitants démontrant les garanties suffisantes dans la mise en œuvre de mesures techniques et organisationnelles appropriées pour la protection des données, de manière à ce que le traitement réponde aux exigences du RGPD.

En tant que client d'une solution d'email marketing par exemple, vous êtes à première vue en position de responsable de traitement faisant appel à ce sous-traitant pour le routage de vos newsletters ou campagnes d'email envoyées en votre nom, pour votre compte et sous vos instructions. Il relève donc de votre responsabilité de vous assurer que cette solution d'email marketing met en œuvre les moyens nécessaires et adaptés à la protection des données personnelles.