Qu’est-ce que le RGPD ?

RGPD : Un règlement européen

Le Règlement général sur la protection des données, communément appelé RGPD, est le texte européen de référence en matière de protection des données à caractère personnel. Applicable depuis le 25 mai 2018 sur l’ensemble du territoire européen, il vient renforcer et compléter les principes établis par la Loi Informatique et Libertés de 1978.

Le cadre réglementaire fixé par RGPD permet ainsi : d’assurer la transparence de garantir les droits des personnes concernées de responsabiliser les entreprises dans le traitement des données personnelles au travers, notamment, des autorités de contrôle.

Le RGPD s’applique par défaut à tout organisme public ou privé (entreprise, associations, administration publiques) qui se situe sur le territoire de l’Union Européenne, mais peut également s’appliquer pour des entreprises situées en dehors de l’UE sous certaines conditions.

Privacy by Design / Privacy by Default

La protection des données dès la conception

L’actualité relative à la protection des données personnelles révèle de plus en plus les fuites massives de données. Pour éviter cette problématique, le concept de Privacy By Design, littéralement le principe de protection dès la conception, prend de plus en plus d’importance en tant que pratique saine pour le traitement et le stockage des données à caractère personnel.

Qu’est ce que le Privacy By Design ?

Mis en place dans l’article 25 du Règlement Général de la Protection des Données, ce principe implique pour chaque entreprise de réfléchir en amont aux mesures de protection mises en œuvre pour chaque traitement et ce en fonction de la nature de la donnée traitée et des différents acteurs prenant part au traitement (sous-traitants, DPO, chef de projet …).

Ces mesures sont des mesures techniques et organisationnelles permettant d’une part d’être en conformité au RGPD et d’autre part, de garantir la protection de la vie privée des personnes concernées.

L’entreprise se place ici dans une approche préventive pour éviter toute manipulation de données non conforme.

Le Privacy by Default

Pour s’assurer d’avoir un niveau suffisant en matière de protection des données, il ne suffit pas simplement de le concevoir selon les principes du Privacy by Design.

Un autre principe est à prendre en compte, une fois qu’un produit ou services est rendu public : Le Privacy by Default.

Il énonce que le produit ou service doit respecter les standards de protection des données par défaut, sans avoir besoin d’une intervention extérieure une fois rendu public.

Ainsi par exemple, dans le cadre d’une application, l’utilisateur ne doit pas avoir à modifier ses paramètres pour renforcer la protection de ses données. Tout doit être pré-paramétré afin que ses données soient protégées de manière optimale.

Pour aller plus loin – Comment mettre en œuvre le principe de Privacy By Design ?

Le Privacy By Design s’articule autour de 7 principes :

• Prendre des mesures préventives de façon proactive afin d’éviter les violations de données personnelles : prévoir et prévenir les incidents d’atteinte à la vie privée des personnes physiques avant qu’ils ne se produisent
• Prévoir une protection par défaut de la vie privée c’est-à-dire une protection automatisée et implicite : cette protection se présume et doit être automatique sans que la personne concernée n’ait besoin de l’exprimer ou de s’en assurer elle-même.
• Protection de la vie privée dès la conception des systèmes et des pratiques de l’entreprise : autrement dit, il faut intégrer la protection de la vie privée dans l’architecture du système d’information dès le départ et lui prévoir des fonctionnalités à cet égard.
• Assurer la protection pendant toute la période de conservation des données personnelles : autrement dit toutes les mesures nécessaires doivent être mises en œuvre pour assurer cette protection tout au long de la conservation de sorte à assurer la destruction des données au terme de la conservation
• Assurer une protection intégrée de la vie privée : dans ce cas de figure il faut à la fois assurer une protection de la vie privée tout en tenant compte des intérêts légitimes et objectifs poursuivis par l’entreprise.
• Respecter la vie privée des utilisateurs : les intérêts des personnes concernées prévalent et l’entreprise dans sa conception de projet doit prendre ses intérêts en amont conformément aux réglementations relatives à la vie privée.
• Assurer la visibilité et la transparence des pratiques de l’entreprise : chaque élément intégré aux systèmes lié à la protection des données personnelles doit rester visible et transparent en cas de vérification. Cela permet d’instaurer un climat de confiance.

Le principe de Privacy By Design doit être pris en compte à chaque changement dans l’organisation de l’entreprise (nouvelle technologie traitant des données personnelles par exemple).

PIA : Analyse et prévention des risques

Le Privacy Impact Assessment, aussi appelé PIA, est une analyse d’impact sur la protection des données.

Auparavant traduite en Etude d’Impact sur la vie privée (EIVP) par la CNIL, le PIA est désormais consacré par le RGPD.

Qu’est ce qu’un PIA RGPD ?

L’analyse d’impact est un outil permettant de responsabiliser les organismes sur leurs traitements de données personnelles. Précisément, il s’agit d’une analyse des risques de sécurité visant uniquement les données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, lorsque leurs données sont traitées.

Quels sont les traitements qui nécessitent un PIA RGPD ?

L’article 35 et la CNIL dressent une liste non exhaustive des traitements pour lesquels la réalisation d’un PIA est obligatoire :

• Les traitements à grande échelle
• La surveillance systématique
• Les décisions automatiques produisant des effets juridiques
• Le traitement de données à caractère personnel sensibles
• L’évaluation ou la notation basée sur des données personnelles, y compris le profilage et la prédiction
• Le traitement de données biométriques, de données relatives à des infractions et condamnations pénales
• Des traitements relatifs à des technologies nouvelles / technologies innovantes.
• En cas de croisement de données

Le PIA est obligatoire seulement si deux critères précités sont remplis.

Les autorités de contrôle locales, CNIL pour la France, se réservent le droit d’étendre la liste des traitements nécessitant une analyse d’impact.

Cas d’usage

Votre entreprise souhaite mettre en place un système de contrôle des emails sortant de la messagerie, scannant les emails avec comme finalités de détecter des fuites d’informations confidentielles en provenance de vos employés. Votre Délégué à la Protection des Données (DPO) est alerté et recommande la conduite d’un PIA. En effet, un tel système consiste en un traitement répondant à au moins deux critères : surveillance systématique et utilisation de technologies innovantes.

De quelle manière réaliser un PIA RGPD ?

D’une part, c’est au responsable de traitement qu’incombe la réalisation du PIA. L’analyse d’impact doit être effectuée en amont de la mise en œuvre du traitement, avant que l’entreprise ne pense à traiter les données.

Plusieurs méthodes existent pour réaliser un PIA et la CNIL a publié un guide disponible directement sur son site.

En résumé, un PIA consiste à décrire l’ensemble de la justification juridique du traitement et l’ensemble de ses conséquences négatives potentielles pour les personnes concernées. Si les risques pour les personnes concernées sont trop important, il convient de mettre en place et décrire des mesures permettant d’atténuer ces risques. Ce n’est que si les risques sont faibles que le traitement pourra être mis en œuvre.

RGPD : Les 7 facteurs-clés de réussite