Données personnelles et RGPD
La numérisation grandissante des sites publics (CAF, Impôts…) ainsi que l'accroissement prépondérant de l'e-commerce nous conduisent aujourd'hui à laisser sur internet de plus en plus de renseignement personnels. De plus, avec l'avènement des Big Data, on peut alors s'interroger sur la façon dont ces données sont exploitées et surtout protégées. Comment ces organismes qu'ils soient privés ou publics sécurisent ils nos données ?
Le Règlement Général sur la Protection des Données apporte une part de réponse à cette question. Mais tout d'abord voyons ce qu'est exactement une donnée à caractère personnel.
Les DCP : c'est quoi exactement?
« Les données à caractère personnel sont des informations se rapportant à une personne vivante identifiée ou identifiable. »
Les données personnelles sont directement identifiantes si elles sont associées à un élément indiquant clairement l’identité de la personne. Il peut s’agir d’un nom, d’un prénom, d’un email nominatif, d’une photo… (Fiche de paie, relevé de compte bancaire, devis, factures, fichiers clients…)
Dans certains fichiers, les noms et prénoms des personnes sont remplacés par un identifiant : numéro client, numéro de tel… Prises isolément, ces données ne permettent pas de savoir immédiatement à qui correspondent les informations. En revanche lorsqu’elles sont associées à une autre base de données détenues en interne ou par tout autre tiers, comme le fichier client de l’entreprise ou l’annuaire téléphonique, il est possible de retrouver l’identité de la personne.
Par contre, il faut savoir que « Les données à caractère personnel rendues anonymes de telle manière que la personne ne soit pas ou plus identifiable ne constituent plus des DCP. Pour qu’une donnée soit véritablement rendue anonyme, le processus d’anonymisation doit être irréversible. »
La première loi contenant les grands principes que l’on retrouve aujourd’hui dans le RGPD est la loi de 1978, loi « informatique et liberté ». Cette loi fait toujours référence aujourd’hui mais la technique évoluant, le texte se devait lui aussi de s’adapter à de nouvelles contraintes.
C’est quoi le RGPD ?
Le RGPD signifie « règlement général sur la protection des données », expression simplifiée de « Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE » [1] … A vos souhaits !!!
Le règlement est entré en application le 25 mai 2018. Il s’agit donc d’une règlementation européenne dont le périmètre d’application s’exerce sur les états membres de l’UE, dont la France. Il a pour vocation d’être un guide proposant des mesures concrètes pouvant être mises en place dans une organisation afin d’assurer la libre circulation des données à caractère personnel tout en les sécurisant.
Le RGPD encadre la mise en œuvre des traitements de données à caractère personnel. Il fixe les conditions dans lesquelles de telles données peuvent légalement être collectées, conservées et exploitées par les organismes. Ces conditions visent à éviter que l’utilisation des informations en cause ne porte atteinte aux droits et libertés des personnes qu’elles concernent.
A qui s’applique le RGPD ?
Il concerne tous les organismes publics et privés, quelque soient leur taille ou leur secteur d’activité :
- Les entreprises (TPE, PME, ETI et GE)
- Les administrations
- Les collectivités
- Les associations
D’après l’article 3 du RGPD, la réglementation s’applique aux traitements de données personnelles effectuées par :
- Un organisme établi sur le territoire de l’UE, que le traitement ait lieu ou non dans l’UE (critère de l’établissement)
- Un organisme dont l’activité cible des personnes qui se trouvent sur le territoire de l’UE (critère du ciblage). Les organismes sont concernés lorsque le traitement vise à offrir des biens ou des services à telles personnes ou a suivre leur comportement au sein de l’union.[2]
Les différents types de Traitement
« Est un traitement toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractères personnel… »
Sont ainsi concernées les opérations suivantes :
- La collecte
- L’enregistrement
- La structuration
- La conservation
- La transmission
- La modification
- L’extraction
- La communication
- La mise à disposition
- Le rapprochement…
Tout organisme est amené à traiter des données personnelles pour pouvoir correctement fonctionner et/ou assurer la gestion de ses activités. Dans une organisation, deux types de traitements peuvent coexister :
- Les Traitements liés au fonctionnement interne comme les fichiers de gestion RH, de gestion administrative et comptable, les dispositifs de sécurisation des locaux (contrôle d’accès par badge, vidéosurveillance)
- Les Traitements liés aux activités qui permettent aux entreprises d’accomplir leur mission : gestion des fichiers de prospection commerciale, gestion de la liste des donateurs d’une association, gestion de l’état civil d’une commune…
Qui sanctionne les manquements au RGPD ?
C’est le rôle de la Commission Nationale Informatique et Liberté (CNIL), autorité administrative et indépendante.
« En cas d’anomalies constatée lors du contrôle, elle peut faire des recommandations, des mises en demeure de faire cesser le manquement, voir infliger des sanctions telles que : avertissement, injonction d’arrêter le traitement, sanction pécuniaire, avec ou sans publicité dans la presse. En cas de violation grave, elle peut également dénoncer l’organisme au procureur de la république. » [3]
La mise en place du RGPD peut s'inscrire dans une démarche d'amélioration qualité sein d'une entreprise afin par exemple de mieux gérer les relations avec ses clients.
S'interroger sur la protection des données à caractère personnel amène aussi à se poser des questions sur la sécurité des données en général. La sécurisation du système d'information dans une organisation doit faire l'objet de mesures de prévention. A ce titre, pour les collaborateurs qui souhaitent aller plus loin dans la démarche, l'ANSSI a édité sur son site un kit de "sécurité des données" [4]
Sources :
[1] Jacques Foucault, Loïc Panhaleux, Dominique Renaud, Pierre Begasse : « RGPD, le comprendre et le mettre en œuvre », collection Datapro, éditions ENI
[2] L'atelier RGPD de la CNIL : https://atelier-rgpd.cnil.fr
[4] https://www.ssi.gouv.fr/administration/reglementation/rgpd-renforcer-la-securite-des-donnees-a-caractere-personnel/