RGPD : Les devoirs d'information du responsable des traitements
Le Règlement Européen sur les Données Personnelle (RGPD/GDPR) est souvent présenté comme quelque chose de compliqué, qui nécessiterait une lecture complète de la règlementation, des publications du G29 et du Code Pénal pour en comprendre la substantifique moelle…
Cela peut donner lieu à des synthèses qui se veulent plus ou moins exhaustives, comme celle du CLUb de la sécurité de l’Information Français (CLUSIF) :
A forces de vouloir trop détailler le RGPD, on perd de vue les principes de bon sens qui sont à son origine; or le RGPD peut être présenté de façon très simple, en se rappelant de son principe fondateur : la réappropriation des données personnelles que vous et moi confions à des tiers, qui nous appartiennent et dont nous pouvons par conséquent contrôler les usages (traitements).
Ces tiers, ce sont aussi bien les Google, Apple, Facebook, Amazon et Microsoft (GAFAM) que de plus petits acteurs qui vous appellent sur votre ligne téléphonique personnelle entre midi et deux pour savoir si vous avez bien reçu le courrier machin qui vous donnait l’avantage bidule… alors que vous vous êtes inscrit sur BLOCTEL pour éviter ces désagréments. Cette réappropriation passe par des obligations d’information du responsable des traitement en amont lors de la collecte des données personnelles, mais aussi lors du traitement avec en particulier une obligation d’information en cas de violation de ces données personnelles.
Premier pilier du RGPD : devoir d’information sur les traitements
La transparence, c’est d’abord l’information par le responsable des traitements (le tiers) des personnes concernées (vous et moi), des traitements de données personnelle effectués au sein de son organisme.
La transparence, c’est ensuite le rappel par le responsable des traitements que les personnes concernées ont des droits qu’elles peuvent exercer à tout moment : droit d’accès, droit à la rectification, droit à l’effacement etc.
La transparence, c’est enfin le rappel qu’en cas de réponses insatisfaisantes suite à leurs demandes auprès du responsable des traitements, les personnes concernées peuvent s’adresser à leur autorité compétente (la CNIL en France) pour faire respecter leurs droits.
Cette transparence inclut des informations sur les sous-traitances des traitements de données personnelles, les traitements en dehors de l’Union Européenne (pays adéquats, clauses contractuelles types etc.) – et plus généralement tout ce qui concerne la licéité des traitements, comme par exemple la suppression d’un compte client qui n’implique pas immédiatement la suppression de ses factures (obligations légales).
Enfin, pour conserver une certaine fluidité dans les interactions entre personnes concernées et responsables des traitements, des mentions légales « contextuelles » limitées aux informations essentielles peuvent être mises en place, par exemple lors de la mise en place d’un formulaire : identité du responsable des traitements, finalités du traitement, droits des personnes
Voir à ce sujet la page dédiée de la CNIL.
Second pilier du RGPD : devoir d’information sur les violations
Les données personnelles, si elles sont immatérielles, n’en ont pas moins de la valeur – y compris pour des organisations criminelles.
Le responsable des traitements a donc pour obligation légale de protéger ces données personnelles, et le cas échéant en cas de violations avérées, de les signaler à l’autorité de contrôle (la CNIL) et aux personnes concernées.
Afin que les personnes concernées puissent prendre des mesures de sécurisation adaptées (changement de mot de passe etc.).
Pour limiter ces risques de violations de données personnelles, en plus d’une classique Politique de Sécurisation des Systèmes d’Information (PSSI) le RGPD recommande de mettre en place une protection des traitements de données dès la conception (« privacy by design »), ainsi que d’offrir le meilleur niveau de protection possible (« privacy by default »).
Le privacy by design implique par exemple de traiter le moins d’informations personnelle possible pour une finalité donnée (par exemple a-t-on besoin de l’année pour fêter un anniversaire ?), de masquer autant que possible l’identité de la personne concernée par rapport à ses données personnelles traitées (« pseudonymisation »), ou de procéder à un chiffrement de bout en bout des données lors des échanges de données personnelles avec la personne concernée.
Le privacy by default implique par exemple d’être à l’état de l’art en termes de PSSI, de pouvoir gérer de façon très fine les droits accès aux données personnelles des personnes concernées (i.e. uniquement ceux pour qui c’est nécessaire), ainsi qu’une parfaite traçabilité de ces accès.
En France, les devoirs d’information sur les traitements et les violations n’ont rien de nouveau, puisqu’ils existaient depuis les débuts de la Loi Informatique et Liberté de 1978 – ce qui est nouveau avec le RGPD, c’est le niveau des sanctions en cas de non respect de ces obligations : jusqu’à 10 millions d’euros en dessous de 500 millions d’euros de CA mondial, 10% du CA mondial au-delà…
Vous avez des problématiques RGPD? Les solutions sont par ici !