Vos questions, nos réponses
Bienvenue sur
Qu'est-ce que le RGPD ?
Le sigle RGPD signifie « Règlement Général sur la Protection des Données » (en anglais « General Data Protection Regulation » ou GDPR).
Le RGPD encadre le traitement des données personnelles sur le territoire de l’Union européenne.Ce nouveau règlement européen s’inscrit dans la continuité de la Loi française Informatique et Libertés de 1978 et renforce le contrôle par les citoyens de l’utilisation qui peut être faite des données les concernant.Il harmonise les règles en Europe en offrant un cadre juridique unique aux professionnels.
Qui est concerné par le RGPD ?
Tout organisme quels que soient sa taille, son pays d’implantation et son activité, peut être concerné.Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, si :
elle est établie sur le territoire de l’Union européenne,
son activité cible directement des résidents européens.
Exemples :
Une société établie en France, qui exporte ses produits au Maroc doit respecter le RGPD.
Une société établie en Chine, proposant un site e-commerce en français et livrant des produits en France doit respecter le RGPD.
Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes. Ils ont des obligations spécifiques pour garantir la protection des données qui leurs sont confiées.
Qu'est-ce qu'une donnée personnelle ?
La définition du RGPD
Une donnée personnelle ou à caractère personnel se définit comme : « toute information se rapportant à une personne physique identifiée ou identifiable (…) ».
Une personne peut être identifiée de manière :
- directe : nom, prénom, …
- indirecte : numéro de téléphone, identifiant, numéro client, données de localisation …
Toutes les informations, se rapportant à une personne de manière directe ou indirecte, sont des données à caractère personnel.
Exemples de données personnelles
- Des données personnelles « classiques » :
le nom, le prénom, le numéro de sécurité sociale ou encore toutes les informations présentes sur les documents d’identité d’une personne. - Des données personnelles « sensibles » :
les données relatives à la santé, aux opinions politiques ou religieuses d’une personne, à l’origine ethnique. - Autres données personnelles :
l’adresse IP d’un ordinateur , le numéro de châssis d’un véhicule, les cookies figurant sur les sites web.
Comment identifier une personne physique ?
L’identification d’une personne physique peut être réalisée avec :une seule donnée : numéro de sécurité sociale, ADNle croisement de plusieurs données : un homme habitant à telle adresse, né tel jour, exerçant telle activité sportive, membre de tel club et abonné à tel magazine
Qu'est-ce qu'un traitement de données personnelles ?
Un traitement de données doit avoir un objectif, une finalité. Il n’est pas possible de collecter des données personnelles pour une utilisation ultérieur. A chaque traitement de données doit être assigné un but, un objectif ou encore une finalité, qui doit être légal et légitime au regard de votre activité professionnelle.
Exemples :
- Des données personnelles sont collectées lors d’une livraison, de l’édition d’une facture ou, lors d’un programme de fidélité. Toutes ces opérations constituent un traitement de données personnelles ayant pour objectif la gestion de clientèle.
- Un fichier clients, un fichier fournisseurs, des données de prospects via un questionnaire, collectent de coordonnées
Un fichier ne contenant que des coordonnées d’entreprises (nom de l’entreprise, adresse postale, numéro de téléphone du standard et email de contact générique contact@xxx.fr ne constitue pas un traitement de données personnelles.Des fichiers papier sont également considérés comme un traitement de données personnelles et doivent être protégés de la même façon.
Qu'est-ce qu'une donnée sensible ?
Les données personnelles
Une donnée personnelle ou à caractère personnel se définit comme : « toute information se rapportant à une personne physique identifiée ou identifiable (…) ».
Les données sensibles
Certaines données, définies par le RGPD font l’objet de dispositions particulières. Elles sont considérées comme sensibles et nécessitent une protection accrue.Sont recensées comme données sensibles les données concernant :
- L’origine raciale ou ethnique
- Les opinions politiques
- Les convictions religieuses ou philosophiques
- L’appartenance syndicale
- La santé
- La vie sexuelle ou l’orientation sexuelle
- Les données génétiques
- Les données biométriques
Les traitements de données sensibles
Le RGPD interdit tout traitement de ces données ou catégories de données, exceptions faites de certains traitements, notamment si :
- La personne concernée a donné son consentement explicite, de préférence par écrit. : pour, par exemple, la réalisation d’une étude
- Elles concernent les membres ou adhérents d'une association ou d'une organisation politique, religieuse, philosophique ou syndicale.
- Les données sont manifestement rendues publiques par la personne concernée
- Elles sont nécessaires à la sauvegarde de la vie humaine
- Les données sont traitées par un professionnel de santé
- Leur utilisation est justifiée par l'intérêt public et autorisé par la CNIL
Qu'est-ce qu'un DPO ?
Le délégué à la protection des données (DPO) « Data Protection Officer » est chargé de mettre en œuvre la conformité au règlement européen sur la protection des données au sein de l’organisme privé ou public qui l’a désigné ; s’agissant de l’ensemble des traitements mis en œuvre par cet organisme.
Quelles sont les missions du DPO ?
Véritable « chef d’orchestre » de la conformité en matière de protection des données, le DPO est chargé de :
- Informer et de conseiller le responsable de traitement ou le sous-traitant
- Contrôler le respect du règlement RGPD
- Conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution ;
- Etre le point de contact avec la CNIL
- Etre le point de contact des personnes qui exercent leurs droits
Dans quels cas la nomination d’un DPO est-elle obligatoire ?
Il est obligatoire de nommer un DPO dans les cas suivants :
- Toutes les autorités et organismes publics
- Lors de traitement régulier et systématique à grande échelle de données personnelles
- Lors de traitement à grande échelle de données sensibles (données de santé, données biométriques, opinions politiques, convictions religieuses…) et de données à caractère personnel relatives à des condamnations pénales et à des infractions
Qu'est-ce ce que l'anonymisation ?
L’anonymisation consiste à utiliser un ensemble de techniques afin de rendre impossible, toute identification de la personne, de manière irréversible, à partir d’un jeu de données et permet, ainsi, de respecter sa vie privée.Elle est différente de la pseudonymisation qui caractérise les données qui ne peuvent plus être attribuées à une personne précise sans avoir recours à des informations supplémentaires.
Pourquoi anonymiser des données personnelles ?
L’anonymisation permet de traiter des données dans le respect des droits et libertés des personnes, car elle ne s’appuie pas sur des données à caractère personnel. Le RGPD n’est en conséquence plus applicable à ces traitements. Elle permet également de conserver des données au-delà des durées de conservation initialement fixées.
Comment anonymiser tout en conservant une utilité aux données ?
L'exploitation de données anonymisées est limitée à certains types d’utilisation. La CNIL recommande de prendre en compte les contraintes dès le début du projet et conseille de :
- Identifier les informations à conserver selon leur pertinence.
- Supprimer les éléments d’identification directe ainsi que les valeurs rares qui pourraient permettre un ré-identification des personnes. Par exemple, la l’âge des individus peut permettre de ré-identifier très facilement les personnes centenaires
- Distinguer les informations importantes des informations secondaires ou inutiles (c’est-à-dire supprimables) ;
- Définir la finesse idéale et acceptable pour chaque information conservée.
Il s’agit ensuite de déterminer le procédé d’anonymisation à appliquer, qui peut être regroupé en deux familles : la randomisation et la généralisation.
- La randomisation consiste à modifier les attributs dans un jeu de données de telle sorte qu'elles soient moins précises, tout en conservant la répartition globale.
Exemple : les données relatives à la date de naissance des individus sont permutées de manière à altérer la véracité des informations contenues dans une base de données.
- La généralisation consiste à modifier l’échelle des attributs des jeux de données, ou leur ordre de grandeur, afin de s’assurer qu’ils soient communs à un ensemble de personnes.
Exemple : dans un fichier contenant la date de naissance des personnes, cette information est remplacée par la seule année de naissance.
Comment vérifier l’efficacité de l’anonymisation ?
La CNIL et les autorités de protection des données européennes, ont défini trois critères permettant de s’assurer de l’anonymisation d’une donnée :
- l’individualisation : il ne doit pas être possible d’isoler un individu dans le jeu de données
- la corrélation : il ne doit pas être possible de relier entre eux des ensembles de données distincts concernant un même individu ;
- l’inférence : il ne doit pas être possible de déduire, de façon quasi certaine, de nouvelles informations sur un individu.
Si la technique utilisée ne remplit pas parfaitement ces trois critères, le responsable de traitement doit démontrer, par une évaluation approfondie des risques d’identification, que le risque de ré-identification avec des moyens raisonnables est nul.La CNIL précise que la publication de données dites « anonymes » qui contiendraient en réalité des données personnelles constituerait une violation de données, , entraînant toutes les conséquences de l’article 33 du RGPD.
Il serait alors nécessaire de :
- procéder au retrait du jeu de données en question dans les plus brefs délais
- en informer la CNIL si cette violation est susceptible d’engendrer un risque pour les droits et libertés des personnes
- d’en informer les personnes concernées si ce risque est élevé.
Sources : https://www.cnil.fr/fr/lanonymisation-des-donnees-un-traitement-cle-pour-lopen-datahttps://www.cnil.fr/fr/lanonymisation-de-donnees-personnelles
Pour approfondir : https://www.village-justice.com/articles/donnees-personnelles-anonymisation-pseudonymisation,26194.html
Transfert des données vers un autre pays
Le RGPD est un règlement européen. Il s’applique et protège toutes les données à caractère personnel des citoyens européens ainsi que des étrangers en Europe. Si les données de citoyens européens sont transmises dans d’autres pays, afin d’assurer la continuité de la protection des données à caractère personnel, il est nécessaire de s’entourer de garanties.
Ainsi, toute transmission de données hors de l'Union Européenne doit être, selon :
- Fondée sur une décision d’adéquation ( 45 du RGPD)
- Encadrée par des « garanties appropriées » ( 46 du RGPD) :
- des règles d'entreprise contraignantes - « Binding Corporate Rules » - « BCR » -,
- des clauses contractuelles préalablement autorisées par la CNIL
- un code de conduite ou un mécanisme de certification approuvé par la CNIL
- Une réponse à l’une des dérogations prévues à l'article 49 du RGPD (consentement explicite de la personne concernée, exécution d’un contrat dans l’intérêt de la personne concernée, motifs importants d’intérêt public, etc).
Comment encadrer les transferts de données vers les Etats-Unis ou tout autre pays dits non adéquats ?
Depuis le mois de juillet 2020, la Cour de justice de l’Union Européenne (CJUE) ont déclaré l’accord Privacy Shield invalide en raison d’un niveau de protection insuffisamment élevé. Ce « bouclier de protection » permettait le transfert de données entre l’Union européenne et les opérateurs américains adhérant à ses principes de protection des données.
Seules les CCT et les BCR sont valides mais ils doivent être renforcés par des mécanismes permettant d’assurer que le niveau de protection requis et encadré par le RGPD est bien respecté. Il est donc nécessaire de réaliser une analyse de risque afin de déterminer si la législation du pays tiers permet de respecter le niveau de protection exigé par le droit de l’UE.
Les mesures complémentaires
Elles peuvent être d’ordre juridique, technique ou organisationnel. Le Comité a indiqué que si aucune mesure complémentaire ne permettait de transférer des données personnelles avec un niveau de protection satisfaisant, le responsable de traitement devait renoncer au transfert.
Les mesures techniques
- Le chiffrement des données hébergées hors UE ou transitant par un pays tiers
- La pseudonymisation des données exportées si :
- les données sont transférées vers un pays ayant un niveau de protection adéquat
- le destinataire situé dans un pays tiers fait l’objet d’une protection spécifique par le droit
- local tel que le secret professionnel.
- La division des données entre plusieurs sous-traitants
Les mesures juridiques complémentaires
Des mesures contractuelles complémentaires peuvent renforcer les garanties, comme par exemple :
- l’obligation contractuelle de recourir aux mesures techniques spécifiques telles que le chiffrement, la pseudonymisation…
- la documentation de l’importateur des données décrivant le niveau de protection offert par la législation locale
- une clause où l’importateur certifie que son système informatique ne permet pas aux autorités locales d’accéder aux données
- une clause d’audit renforcée dans laquelle l’exportateur des données est autorisé à effectuer des audit du système d’information du sous-traitant pour vérifier si les données n’ont pas été divulguées aux autorités publiques du pays de destination.
Mesures organisationnelles complémentaires
Le CEPD propose notamment des opérations de sensibilisation ciblées du personnel sur les transferts de données et les demandes d’accès.La tenue d’un registre des demandes d’accès par les sous-traitants importateurs de données. Ainsi les demandes d’accès en provenance d’autorités publiques seront consignées et mises à disposition de l’exportateur des données.
Source : https://www.cnil.fr/fr/transferts-de-donnees-hors-ue-le-cadre-general-prevu-par-le-rgpd
Analyse d'impact
Il est nécessaire de réaliser une analyse d’impact ou un PIA (Privacy Impact Assessment) sur la protection des données à caractère personnel lorsqu’un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées (article 35 du RGPD)
L’ objectif de cette analyse d’impact est de déterminer les risques et les actions à mettre en place pour y remédier. En cas de manquement à cette obligation, le montant des amendes peut s'élever jusqu'à 10 000 000 euros ou jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Dans quel cas il est nécessaire de réaliser une analyse d’impact ?
Le RGPD, dans son article 35 prévoit plusieurs situations où il est indispensable de réaliser une analyse d’impact -PIA. :
- « L’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire ;
- Le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1 [données dites « sensibles »], ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10 ; ou
- La surveillance systématique à grande échelle d’une zone accessible au public ».
Par ailleurs, la CNIL a établi la liste des traitements de données personnelles où une analyse d’impact est obligatoire et la liste des traitements ne nécessitant pas d’analyse d’impact.
Une analyse d’impact, un PIA, est donc obligatoire, si le traitement figure dans la liste des traitements fixée par la CNIL ou si il remplit au moins 2 des 9 critères suivants :
- Evaluation/scoring (y compris le profilage)" ;
- Décision automatique avec effet légal ou similaire" ;
- Surveillance systématique" ;
- Collecte de données sensibles ou données à caractère hautement personnel" ;
- Collecte de données personnelles à large échelle" ;
- Croisement de données" ;
- Personnes vulnérables (patients, personnes âgées, enfants, etc.)" ;
- Usage innovant (utilisation d’une nouvelle technologie)" ;
- Exclusion du bénéfice d’un droit/contrat."
Qu’est-ce qu’une analyse d’impact ?
En application de l’article 35 du RGPD, l’analyse d’impact, un PIA, doit contenir au moins :
En application de l’article 35 du RGPD, l’analyse d’impact, un PIA, doit contenir au moins :
- « Une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable de traitement ;
- Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
- Une évaluation des risques pour les droits et libertés des personnes concernées (…) ; et
- Les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées ».
Une seule analyse d’impact, un PIA, suffit en cas de plusieurs traitements similaires, présentant les mêmes risques sont réalisés par une même entité.
Source : https://www.cnil.fr/fr/analyse-dimpact-relative-la-protection-des-donnees-publication-dune-liste-des-traitements-pourhttps://www.cnil.fr/fr/liste-traitements-aipd-non-requise