Conformité au RGPD : en quoi consiste-t-elle ?

Être conforme au RGPD, ou Règlement général sur la protection des données, consiste pour les organisations qui y sont soumises à répondre à ses exigences pour le traitement des données à caractère personnel.

Le RGPD décrit certaines obligations que les organisations doivent respecter et qui limitent la façon dont les données à caractère personnel peuvent être utilisées. Il définit également huit droits des personnes concernées sur leurs données à caractère personnel. Au bilan, le RGPD confère aux individus plus d’autonomie sur leurs informations personnelles et sur la manière dont elles sont utilisées.
 

Présentation générale du RGPD

Le RGPD est la loi la plus robuste en matière de protection des données personnelles en vigueur aujourd’hui dans le monde. Créé par l’Union européenne (UE) pour réglementer la façon dont les organisations collectent, traitent et protègent les données à caractère personnel des résidents de l’UE, le RGPD est entré en vigueur le 25 mai 2018 et constitue une réglementation contraignante écrite directement dans les lois des États membres. Il est conçu pour renforcer les droits sur la protection des données en donnant aux personnes concernées le contrôle de la manière dont leurs données à caractère personnel sont obtenues, utilisées et partagées.

Le RGPD a trois objectifs principaux :

1. Établir et protéger les droits fondamentaux à la vie privée des individus.
   
2. Unifier les lois sur la protection de la vie privée dans l’ensemble de l’UE en se substituant aux 28 lois différentes des États membres de l’UE qui existaient précédemment et la directive sur la protection des données personnelles de 1995.
   
3. Adapter les lois sur la protection de la vie privée à l’évolution que le contexte technologique a provoqué sur les données à caractère personnel au cours des 25 dernières années.
   

Terminologie du RGPD

Avant d’aller plus loin, voici la terminologie de référence du RGPD :

• Une personne concernée est toute personne résidant officiellement dans l’UE et dont les données sont recueillies, conservées ou traitées par un responsable du traitement ou un sous-traitant.
  
• Un responsable du traitement désigne toute entité responsable de déterminer la finalité et la base légale du traitement des données à caractère personnel.
  
• Les sous-traitants, qui collaborent avec le responsable du traitement, sont en charge du traitement des données à caractère personnel pour le compte de ce dernier.
  
• Un traitement est toute opération automatisée ou manuelle ou tout ensemble d’opérations effectuées sur des données à caractère personnel ou des ensembles de données à caractère personnel, notamment la collecte, l’enregistrement, l’organisation, la structuration, le stockage, l’adaptation ou la modification, la récupération, etc.
  
• Une donnée à caractère personnel (ou donnée personnelle) désigne toute information liée à une personne physique (« personne concernée ») qui peut directement ou indirectement identifier cette personne dans le cadre de sa vie privée, professionnelle ou publique, notamment un nom, une adresse électronique, des photos ou même des relevés bancaires.
  
• Selon le RGPD, le consentement de la personne concernée doit être donné de façon « libre, précise, éclairée et sans ambiguïté » pour indiquer que la personne concernée accepte le traitement des données à caractère personnel qui la concernent. Les personnes concernées doivent donner leur consentement avec une déclaration ou une action affirmative explicite.
   

Votre organisation est-elle soumise au RGPD ?

Pour établir si vous êtes soumis au RGPD, vous devez tenir compte à la fois du « champ d’application matériel » (c.-à-d. du fait que votre traitement est réglementé par le RGPD ou non) et du « champ d’application territorial » (c.-à-d. si vous êtes dans une juridiction où le RGPD s’applique ou non).
 

Les entreprises américaines sont-elles soumises au RGPD ?

Il est possible pour les organisations américaines de se trouver dans le champ d’application du RGPD. Pour déterminer si votre organisation doit se conformer ou non, la même analyse doit être appliquée en examinant les champs d’application matériel et territorial de la loi. En résumé, si votre organisation traite (c.-à-d. collecte, enregistre, structure, stocke, modifie, utilise, divulgue, efface, etc.) des informations personnelles de personnes résidant dans l’UE dans le cadre d’échange de biens ou de services ou aux fins de surveiller le comportement de citoyens de l’UE, il est très probable que vous entrez dans le champ d’application du RGPD.
 

Champ d’application matériel

Le RGPD s’applique aux traitements des données à caractère personnel effectués entièrement ou partiellement par des moyens automatisés. Il s’applique également aux traitements qui n’utilisent pas de moyens automatisés mais qui contribuent ou sont destinés à contribuer à des systèmes de classement. Cela couvre la plupart des activités que les organisations effectuent sur les données personnelles, notamment la collecte, l’enregistrement, le stockage, l’accès ou la consultation, l’utilisation, l’analyse, la combinaison, la divulgation ou la suppression.
 

Champ d’application territorial : le RGPD s’applique-t-il en dehors de l’UE ?

Le RGPD s’applique au traitement des données à caractère personnel par les responsables du traitement ou les sous-traitants établis dans l’UE, que le traitement ait lieu dans l’UE ou non.

Il peut également être applicable de façon extraterritoriale pour les responsables du traitement ou les sous-traitants qui ne sont pas établis dans l’UE, s’ils proposent des biens ou des services à des personnes concernées dans l’UE ou s’ils surveillent le comportement de personnes concernées dans l’UE. Par exemple, le RGPD sera applicable à un site Web d’achat en ligne américain qui attire et offre des marchandises à des clients dans l’UE. Le RGPD s’applique même si les biens et les services sont proposés gratuitement. Les agences gouvernementales étrangères et les organisations à but non lucratif sont également couvertes. Par exemple, le RGPD s’applique à une page d’informations de voyage gérée par le gouvernement d’un État américain qui recueillerait des informations personnelles telles que des adresses IP quand les visiteurs du site résidant dans l’UE accèdent à des informations de voyage gratuites.
 

Quels droits le RGPD confère-t-il aux personnes concernées ?

Le RGPD définit huit droits fondamentaux pour les personnes concernées, auxquels s’ajoute le droit de retirer leur consentement. Passons-les en revue :

1. Le droit d’être informé (articles 12 à 14 du RGPD)
   Les personnes concernées ont le droit d’être informées de la collecte et de l’utilisation de leurs données à caractère personnel.
2. Le droit d’accès (article 15 du RGPD)
   Les personnes concernées ont le droit de consulter et de demander des copies de leurs données à caractère personnel.
   
3. Le droit de rectification (article 16 du RGPD)
   Les personnes concernées ont le droit de demander que leurs informations personnelles inexactes ou obsolètes soient mises à jour ou corrigées.
   
4. Le droit à l’oubli/droit à l’effacement (article 17 du RGPD)
   Les personnes concernées ont le droit de demander la suppression de leurs données à caractère personnel. Notez qu’il ne s’agit pas d’un droit absolu et qu’il peut faire l’objet d’exemptions basées sur certaines lois.
   
5. Le droit à la portabilité des données (article 20 du RGPD)
   Les personnes concernées ont le droit de demander que leurs données soient transférées à un autre responsable du traitement ou qu’elles leur soient fournies. Elles doivent alors être fournies dans un format électronique lisible par machine.
   
6. Le droit à la limitation du traitement (article 18 du RGPD)
   Les personnes concernées ont le droit de demander la restriction ou la suppression de leurs données à caractère personnel.
   
7. Le droit de retirer son consentement (article 7 du RGPD)
   Les personnes concernées ont le droit de retirer leur consentement précédemment donné pour traiter leurs données à caractère personnel.
   
8. Le droit d’opposition (article 21 du RGPD)
   Les personnes concernées ont le droit de s’opposer au traitement de leurs données à caractère personnel.
   
9. Le droit d’opposition au traitement automatisé (article 22 du RGPD)
   Les personnes concernées ont le droit de s’opposer aux décisions concernant leurs données prises uniquement sur la base d’une automatisation ou d’un profilage.
    

Check-list pour la conformité au RGPD en 11 étapes

Les bases étant posées, il est temps de passer aux mesures que votre organisation peut prendre pour être conforme au RGPD. La conformité au RGPD peut différer légèrement en fonction de votre organisation, mais toutes peuvent prendre certaines mesures immédiatement pour créer un programme de protection des données personnelles conforme au RGPD :

1. Créer un plan d’action en utilisant les 7 principes du RGPD
   
2. Générer un registre des traitements selon l’article 30
   
3. Opérationnaliser les analyses d’impact relatives à la protection des données (AIPD) et la protection des données personnelles dès la conception (Privacy by Design)
   
4. Créer un cadre de référence pour la gestion du consentement
   
5. Respecter les exigences de conformité en termes de protection des données personnelles de l’UE pour les cookies
   
6. Créer un portail pour les demandes d’exercice de droits des personnes concernées
   
7. Passer en revue et atténuer les risques associés aux sous-traitants
   
8. Préparer un workflow pour la gestion des signalements des incidents et le traitement des violations de données
   
9. Passer les mécanismes de transfert de données transfrontaliers en revue
   
10. Mettre en place une formation sur la conformité au RGPD
    
11. Nommer un délégué à la protection des données (DPO)

Examinons chacune de ces étapes plus en détail.
 

Étape 1 : Créer un plan d’action en utilisant les 7 principes du RGPD

Le RGPD définit sept principes clés qui doivent être au cœur de votre approche du traitement des données à caractère personnel :

• Licéité, équité et transparence : chaque traitement doit reposer sur une base légale. Le traitement des données n’est pas fait de façon inattendue et la personne concernée en est informée.
  
• Limitation de la finalité  : soyez clair sur les finalités du traitement et enregistrez-les et précisez-les dans vos mentions d’information. Limitez le traitement aux finalités identifiées.
  
• Minimisation des données : traitez les données à caractère personnel uniquement dans la mesure où cela est nécessaire.
  
• Exactitude : assurez-vous que les données à caractère personnel que vous traitez sont exactes et à jour. Corrigez ou effacez les données à caractère personnel inexactes dès que possible.
  
• Limitation du stockage : conservez les données à caractère personnel uniquement si vous en avez besoin.
  
• Intégrité et confidentialité (sécurité) : mettez en place des mesures de sécurité appropriées pour protéger les données à caractère personnel contre le traitement non autorisé ou illégal et la perte, la destruction ou les dommages accidentels.
  
• Responsabilité : assumez la responsabilité de ce que vous faites avec les données à caractère personnel et mettez en place des mesures appropriées et des registres pour démontrer que vous êtes conforme aux principes de traitement des données.
  

Le RGPD exige la mise en œuvre de mesures techniques et organisationnelles appropriées pour appliquer efficacement les principes de protection des données et garantir les droits des personnes concernées. C’est ce qu’on appelle la « protection des données dès la conception et par défaut ». Cela signifie que vous devez intégrer la protection des données dans vos traitements et dans vos pratiques d’entreprise depuis la phase de conception tout au long du cycle de vie du traitement des données.
 

Articles du RGPD :

• Article 5 : Principes relatifs au traitement des données à caractère personnel
  
• Article 24 : Responsabilité du responsable du traitement
   

Étape 2 : Générer un registre des traitements selon l’article 30

Le RGPD exige des organisations qu’elles conservent des registres de leurs traitements et qu’elles garantissent que ces registres sont toujours à jour. La cartographie des données décrit le processus opérationnel permettant de générer un inventaire central des flux de données de l’organisation et de les tenir à jour.

Bien que le RGPD ne parle pas spécifiquement de cartographie de données, il exige à la fois des responsables du traitement et des sous-traitants (B2B et B2C) qu’ils tiennent un inventaire des traitements. L’article 30 du RGPD est extrêmement précis dans ses exigences et même si une organisation a déjà effectué une cartographie de données, elle devra être mise à jour ou refaite pour satisfaire aux exigences du RGPD.
 

Articles du RGPD :

• Article 6 : Licéité du traitement
  
• Article 30 : Registre des activités de traitements (principal)
  
• Article 32 : Sécurité du traitement
   

Étape 3 : Opérationnaliser les analyses d’impact relatives à la protection des données (AIPD) et la protection des données personnelles dès la conception (Privacy by Design)

Le RGPD exige des responsables du traitement qu’ils effectuent une analyse d’impact relative à la protection des données (AIPD) lorsque les traitements sont susceptibles d’entraîner un risque élevé pour les individus. De nombreux éléments dans le GDPR rendent cette analyse plus complexe qu'un questionnaire standard ; par exemple, en exigeant l'implication d'un délégué à la protection des données (DPO) dans certains workflows, en suivant les activités d'atténuation, en documentant le risque en termes de préjudice pour l'individu, en consultant les personnes concernées, etc.

En pratique, les organisations mettent en général en place un questionnaire de cadrage initial pour analyser les risques, puis déterminer si une AIPD complète est nécessaire. Ces exigences en matière de workflow et de documentation, ainsi que l’expérience utilisateur et les attentes en matière d’intégration des utilisateurs métier, nécessitent des outils conçus par finalité pour rendre le RGPD opérationnel.

Correctement mises en œuvre, les AIPD peuvent constituer une approche efficace pour répondre aux exigences de protection des données dès la conception et par défaut.
 

Articles du RGPD :

• Article 25 : Protection des données dès la conception et protection des données par défaut
  
• Article 35 : Analyse d'impact relative à la protection des données
  
• Article 36 : Consultation préalable
   

Étape 4 : Créer un cadre de référence pour la gestion du consentement

Le RGPD établit un standard plus élevé pour les organisations qui traitent les données sur la base du consentement. Par exemple, le consentement doit être spécifique, clair et exprimé dans un langage simple, ne pas être noyé dans des mentions juridiques, ne pas être regroupé avec d’autres mentions, être facile à retirer, etc. En outre, les organisations doivent être en mesure de démontrer que le consentement a été reçu de manière granulaire.
 

Articles du RGPD :

• Article 7 : Conditions applicables au consentement
   

Étape 5 : Respecter les exigences de conformité en termes de protection des données personnelles de l’UE pour les cookies

En vertu de la directive ePrivacy, les organisations doivent dire aux personnes si elles utilisent des cookies et expliquer ce qu’ils font et pourquoi. Le consentement de l’utilisateur doit être obtenu par un processus qui permet à l’organisation de démontrer qu'il a été donné par une action positive et claire. Les utilisateurs doivent également être informés des différentes fonctions des cookies utilisés sur le site Web, ainsi que de l’identité des organisations qui les déploient et utilisent les données collectées par leur intermédiaire. Les cookies essentiels pour offrir un service en ligne à la demande de la personne - par exemple pour se souvenir de ce qui se trouve dans son panier en ligne ou pour assurer la sécurité de services bancaires en ligne - bénéficient d’une exception. Les mêmes règles s’appliquent pour les autres types de technologies utilisées pour stocker ou accéder aux informations sur les appareils des individus (par exemple, les SDK pour les applications mobiles).

Les exigences de la directive ePrivacy s’appliquent de la même façon, que les cookies traitent des données anonymes ou personnelles. Même lorsque les données recueillies par les cookies sont anonymes, le consentement de l’utilisateur à leur collecte doit respecter les exigences du RGPD. Si elles ne sont pas anonymes, l’organisation devra respecter des règles du RGPD supplémentaires pour la protection des données à caractère personnel, telles que la conduite d’une AIPD et l’enregistrement du traitement dans des registres.

Le RGPD a influencé la rédaction du règlement e-Privacy qui remplacera la directive actuelle et s’alignera encore plus étroitement avec lui. Les organisations seront confrontées à des pénalités augmentées et à une action réglementaire plus ciblée dans le règlement e-Privacy.
 

Articles du RGPD :

• Article 7 : Conditions applicables au consentement
  
• Article 21 : Droit d’opposition
  
• Directive ePrivacy / Règlement ePrivacy (version préliminaire)
   

Étape 6 : Mettre en place un portail de demande d’exercice de droits pour les personnes concernées (DSR)

Le RGPD accorde aux personnes concernées des droits spécifiques, tels que : la portabilité des données, l’accès, l’effacement ou « droit à l’oubli », la rectification, etc. De plus, il existe des exigences spécifiques en matière de conservation des registres concernant le délai de réponse, la possibilité de demander une prolongation, l'obligation de valider l'identité, la transmission sécurisée de la réponse à l'individu, pour n'en citer que quelques-unes. Disposer d’un portail automatisé qui peut aider à prendre en charge et à trier ces demandes est une étape essentielle dans la gestion, le suivi et le reporting de vos demandes d’exercice de droits.
 

Articles du RGPD :

• Article 7 : Conditions applicables au consentement
  
• Article 12 : Transparence des informations et des communications et modalités de l'exercice des droits de la personne concernée
  
• Article 13 : Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée
  
• Article 14 : Informations à fournir lorsque les données à caractère personnel n'ont pas été collectées auprès de la personne concernée
  
• Article 15 : Droit d'accès de la personne concernée
  
• Article 16 : Droit de rectification
  
• Article 17 : Droit à l'effacement («droit à l'oubli»)
  
• Article 18 : Droit à la limitation du traitement
  
• Article 19 : Obligation de notification en ce qui concerne la rectification ou l'effacement de données à caractère personnel ou la limitation du traitement
  
• Article 20 : Droit à la portabilité des données
  
• Article 21 : Droit d’opposition
   

Étape 7 : Passer en revue et remédier aux risques associés aux sous-traitants

Le RGPD stipule que le responsable du traitement est responsable des actions du sous-traitant ou des violations dans lesquelles il pourrait être impliqué. Il est essentiel d’analyser les transferts de données et les obligations contractuelles du sous-traitant avec le même niveau de diligence que les traitements internes pour avoir une posture défendable dans l’éventualité où une violation de données aurait lieu chez un sous-traitant. De plus, les organisations peuvent ainsi savoir rapidement quelles données ont été affectées par toute violation de données.
 

 Articles du RGPD :

• Article 28 (1)-(3) : Sous-traitant
  
• Article 24 (1) : Responsabilité du responsable du traitement
  
• Article 29 : Traitement effectué sous l'autorité du responsable du traitement ou du sous-traitant
  
• Article 46 (1) : Transferts moyennant des garanties appropriées
   

Étape 8 : Préparer un workflow pour la gestion des signalements des incidents et le traitement des violations de données

Le RGPD exige strictement de notifier l’autorité de contrôle sous 72 heures lorsqu’une violation de données se produit. Dans le cas où elle est susceptible d’entraîner un risque élevé pour les droits et libertés des personnes physiques, les personnes concernées doivent également être averties. Il est essentiel pour les organisations de mettre en place un processus systématique pour répondre à ces exigences.
 

Articles du RGPD :

• Article 33 : Notification à l'autorité de contrôle d'une violation de données à caractère personnel
  
• Article 34 : Communication à la personne concernée d'une violation de données à caractère personnel
   

Étape 9 : Passer les mécanismes de transfert de données transfrontaliers en revue

Le RGPD exige que les données à caractère personnel transférées en dehors de l’EEE bénéficient du même niveau de protection que les données traitées dans l’UE. Les organisations sont donc tenues de vérifier et de garantir qu’elles ont mis en place des mécanismes appropriés pour le transfert de données transfrontalier.

Le premier élément à vérifier lors du transfert de données à caractère personnel vers un pays tiers est l’existence d’une « décision d’adéquation ». Il s’agit d’une décision prise par la Commission européenne quand elle considère qu’un pays tiers ou qu’une organisation internationale garantit un niveau de protection des données adéquat. Ce type de décision est soumis à révision par la Commission et peut être annulé (par ex., EU-US Privacy Shield). On peut également citer le cas où la Commission européenne a accordé deux décisions d’adéquation au Royaume-Uni suite au Brexit.

En l’absence de décision d’adéquation, le RGPD autorise les transferts si le responsable du traitement ou le sous-traitant fournit des « garanties appropriées ». La protection la plus couramment utilisée est les « clauses contractuelles types », qui imposent des obligations à l’exportateur et à l’importateur de données et accordent des droits aux personnes concernées.

Le transfert de données est possible même s’il n’y a pas de décision d’adéquation ni de garanties appropriées. Dans ce cas, les organisations peuvent s’appuyer sur une dérogation, comme le consentement explicite de la personne concernée ou la nécessité du transfert pour exécuter un contrat. Cependant, cela n’est pas recommandé, car sans garanties appropriées, le risque de violation de données est plus élevé.
 

Articles du RGPD :

• Article 44 : Principe général applicable aux transferts
  
• Article 45 : Transferts fondés sur une décision d'adéquation
  
• Article 46 : Transferts moyennant des garanties appropriées
  
• Article 47 : Règles d’entreprise contraignantes
  
• Article 49 : Dérogations pour des situations particulières
   

Étape 10 : Mettre en place une formation sur la conformité au RGPD

Le RGPD exige qu’un délégué à la protection des données surveille la conformité de l’organisation au RGPD, ce qui inclut la sensibilisation et la formation du personnel. Les organisations doivent dispenser à leur personnel des formations initiales et des remises à niveau. Pour prouver la conformité, il faut aussi mettre en place un dispositif pour tenir des registres des formations.
 

Articles du RGPD :

• Article 39 : Missions du délégué à la protection des données
  
• Article 47 : Règles d’entreprise contraignantes
   

Étape 11 :  Nommer un délégué à la protection des données (DPO)

Le RGPD exige des organisations qu’elles désignent un délégué à la protection des données (DPO) s’il s’agit d’une autorité ou d’un organisme public, si leurs activités principales nécessitent une surveillance régulière et systématique à grande échelle des individus (par exemple, pour le suivi du comportement en ligne) ou si leurs activités principales consistent en un traitement à grande échelle de catégories particulières de données ou de données relatives aux condamnations pénales et aux infractions.

Le DPO est chargé de garantir la conformité au RGPD. Il aide l’organisation à surveiller la conformité interne, à informer et à conseiller sur les obligations de protection des données, à donner des conseils concernant les analyses d’impact sur la protection des données (AIPD) et à servir de point de contact pour les personnes concernées et les autorités de protection des données.
 

Articles du RGPD :

• Article 37 : Désignation du délégué à la protection des données
  
• Article 38 : Fonction du délégué à la protection des données
  
• Article 39 : Missions du délégué à la protection des données
  
  

Comment OneTrust vous aide à être conforme au RGPD

OneTrust Privacy Automation vous fournit les outils dont vous avez besoin pour créer un programme holistique de conformité au RGPD. Avec la solution Privacy Automation de OneTrust, vous pouvez :

• Opérationnaliser les analyses d’impact sur la vie privée (PIA) et les analyses d’impact sur la protection des données (AIPD) spécifiques au RGPD, la protection des données personnelles dès la conception (Privacy by Design) et d’autres évaluations internes sur la protection de la vie privée et la sécurité.
• Maintenir une cartographie constamment à jour des flux de données, des transferts transfrontaliers, des registres complets des traitements et tirer parti des modèles prédéfinis pour le respect de l’article 30.  
• Opérationnaliser votre plan de réponse aux incidents, gérer le cycle de vie des incidents et obtenir des conseils automatisés sur les notifications de violation de données pour des centaines de lois. 
• Gérer des workflows complets de demandes d'exercice de droits depuis la prise en compte jusqu’à la finalisation avec des workflows prédéfinis et des lignes directrices pour respecter les exigences du RGPD et d’autres réglementations sur la protection de la vie privée. 
• Analyser vos sites Web pour identifier les cookies et les traceurs et générer des bandeaux de cookies, des centres de préférences et des politiques de cookies géospécifiques. 
• Recueillir, centraliser et synchroniser les données de consentement de l’utilisateur sur tous les canaux, plateformes et systèmes.

Demandez une démonstration pour en savoir plus sur la manière dont OneTrust Privacy Automation peut vous aider à élaborer votre programme de conformité au RGPD.