Le Règlement général sur la protection des données (RGPD) est une loi de l’Union européenne qui régit la façon dont les organisations collectent et utilisent les données personnelles. Toute entreprise opérant dans l’UE ou traitant des données de résidents de l’UE doit respecter les exigences du RGPD.
Cependant, se conformer au RGPD n’est pas toujours simple. La loi décrit l’ensemble des droits des utilisateurs en matière de confidentialité des données et une série de principes à appliquer au traitement des données personnelles. Les organisations doivent respecter ces droits et principes, mais le RGPD leur laisse une certaine latitude dans les méthodes employées.
Les enjeux sont de taille et le RGPD inflige des sanctions importantes en cas de non-conformité. Les infractions les plus graves peuvent entraîner des amendes atteignant parfois 20 000 000 EUR, ou 4 % du chiffre d’affaires mondial de l’organisation de l’année précédente. Les régulateurs du RGPD peuvent également mettre fin aux activités de traitement de données illicites et obliger les organisations à apporter des changements.
La liste de contrôle ci-dessous couvre les principales réglementations du RGPD. Les méthodes utilisées par les organisations pour se conformer à ces réglementations dépendent de leur situation spécifique, notamment des types de données qu’elles collectent et de la manière dont elles les utilisent.
Le RGPD s’applique à toutes les organisations basées dans l’Espace économique européen (EEE). L’EEE comprend les 27 États membres de l’UE ainsi que l’Islande, le Liechtenstein et la Norvège.
Le RGPD s’applique également aux organisations situées en dehors de l’EEE dans les cas suivants :
Le RGPD ne concerne pas seulement les entreprises qui utilisent les données client à des fins commerciales. Il s’applique à la quasi-totalité des organisations qui traitent les données des résidents de l’EEE à quelque fin que ce soit. Les établissements scolaires, les hôpitaux et les organismes publics sont tous soumis au RGPD.
Les seules activités de traitement des données exemptées du RGPD sont les activités de sécurité nationale ou d’application de la loi et les utilisations exclusivement personnelles des données.
Le RGPD utilise une terminologie spécifique. Pour bien saisir ces exigences de conformité, les organisations doivent comprendre la signification des termes utilisés dans ce contexte.
Le RGPD définit les données personnelles comme toute information relative à une personne identifiable. Tout, des adresses e-mail aux opinions politiques, est considéré comme une donnée personnelle.
La personne concernée est l’être humain à qui les données appartiennent. Autrement dit, il s’agit de la personne à laquelle les données se rapportent. Supposons qu’une entreprise collecte des numéros de téléphone pour envoyer des messages marketing par SMS. Dans ce contexte, les propriétaires de ces numéros de téléphone sont les personnes concernées.
Lorsque le RGPD y fait référence, il désigne les personnes concernées qui résident dans l’EEE. Les personnes concernées ne doivent pas nécessairement être citoyens de l’UE pour bénéficier des droits relatifs à la confidentialité des données du RGPD. Ils doivent simplement être résidents de l’EEE.
Un responsable du traitement des données est toute organisation, tout groupe ou toute personne qui obtient des données personnelles et détermine la façon dont elles sont utilisées. Pour revenir à l’exemple précédent, une entreprise collectant des numéros de téléphone à des fins de marketing serait un responsable du traitement des données.
Le traitement des données englobe toute action effectuée sur des données, y compris leur collecte, leur stockage ou leur analyse. Un sous-traitant de données est toute organisation ou tout acteur qui effectue de telles actions.
Une entreprise peut être à la fois un responsable du traitement des données et un sous-traitant, comme une entreprise qui collecte des numéros de téléphone et les utilise pour envoyer des messages marketing. Les sous-traitants comprennent également des tiers qui traitent les données pour le compte des responsables du traitement des données : un service de stockage cloud hébergeant la base de données des numéros de téléphone d’une autre entreprise, par exemple.
Les autorités de contrôle sont les organismes de réglementation qui veillent à l’application des exigences du RGPD. Chaque pays de l’EEE dispose de sa propre autorité de contrôle.
À un niveau général, une organisation est conforme au RGPD si elle :
La liste de contrôle suivante détaille ces exigences. Les mesures pratiques prises par une organisation pour répondre à ces exigences dépendront de sa localisation, de ses ressources et de ses activités de traitement des données, entre autres facteurs.
Le RGPD établit un ensemble de principes que les organisations doivent suivre lorsqu’elles traitent des données personnelles. Ces principes sont les suivants.
Le RGPD définit les circonstances dans lesquelles les entreprises peuvent légalement traiter des données personnelles. L’organisation doit établir et documenter sa base juridique avant de collecter des données. L’organisation doit communiquer cette base aux utilisateurs au moment de la collecte des données. Elle ne peut pas modifier la base a posteriori, à moins d’avoir le consentement de l’utilisateur.
Les bases juridiques possibles sont les suivantes :
En vertu du principe de limitation de la finalité du RGPD, les responsables du traitement doivent identifier et documenter la finalité de la collecte des données. Le responsable du traitement des données doit communiquer cette finalité aux utilisateurs au moment de la collecte, et il ne peut utiliser les données qu’à cette fin.
Les responsables du traitement ne peuvent collecter que le minimum de données nécessaires pour atteindre l’objectif déclaré.
Les responsables du traitement doivent prendre des mesures raisonnables pour s’assurer que les données personnelles qu’ils détiennent sont exactes et à jour.
Le RGPD impose des politiques strictes de conservation et de suppression des données. Les entreprises ne peuvent conserver les données que jusqu’à ce que l’objectif spécifié pour leur collecte soit atteint, et elles doivent les supprimer lorsqu’elles n’en ont plus besoin.
Les responsables du traitement des données et les sous-traitants doivent appliquer des protections supplémentaires à certains types de données personnelles.
Les données de catégorie spéciale comprennent les données très sensibles telles que l’origine ethnique et les données biométriques d’une personne. Les organisations ne peuvent traiter des données de catégorie spéciale que dans des circonstances très limitées, par exemple pour prévenir des menaces graves pour la santé publique. Les entreprises peuvent également traiter les données de catégorie spéciale avec le consentement explicite de la personne concernée.
Les données relatives aux condamnations pénales ne peuvent être contrôlées que par les autorités publiques. Les sous-traitants ne peuvent traiter ces informations que sur instruction des autorités publiques.
Les responsables du traitement des données doivent obtenir le consentement d’un parent avant de traiter les données d’un enfant. Ils doivent prendre des mesures raisonnables pour vérifier l’âge des personnes concernées et l’identité des parents. Si des données sont collectées auprès d’enfants, les responsables du traitement des données doivent présenter des avis de confidentialité dans un langage adapté aux enfants.
Chaque État de l’EEE établit sa propre définition d’un « enfant » en vertu du RGPD. Ces définitions vont de « toute personne de moins de 13 ans » à « toute personne de moins de 16 ans ».
Les organisations de plus de 250 employés doivent tenir des registres du traitement des données. Les organisations de moins de 250 employés doivent tenir des registres si elles traitent des données très sensibles, si elles traitent régulièrement des données ou si elles traitent les données d’une manière qui présente un risque important pour les personnes concernées.
Les responsables du traitement des données doivent documenter des éléments tels que les données qu’ils collectent, ce qu’ils en font, les mappages de flux de données et les mesures de protection mises en place. Les sous-traitants doivent indiquer les responsables du traitement pour lesquels ils travaillent, les types de traitement qu’ils effectuent pour chacun et les contrôles de sécurité qu’ils utilisent.
En vertu du RGPD, la responsabilité finale de la conformité incombe au responsable du traitement des données. En d’autres termes, il doit s’assurer, et être en mesure de prouver que ses sous-traitants tiers répondent à toutes les exigences pertinentes du RGPD.
Le RGPD accorde aux personnes concernées certains droits sur leurs données. Les responsables du traitement des données et les sous-traitants doivent les respecter.
Les organisations doivent permettre aux personnes concernées de faire valoir simplement leurs droits sur leurs données. Ces droits incluent :
En général, les organisations doivent répondre à toutes les demandes d’accès des personnes concernées dans un délai de 30 jours. Les entreprises doivent généralement répondre à la demande d’une personne concernée, sauf si elles peuvent prouver qu’elles ont une raison légitime et impérieuse de ne pas le faire.
En cas de rejet d’une demande, l’organisation doit en expliquer le motif. L’organisation doit également indiquer à la personne concernée comment faire appel de la décision auprès du délégué à la protection des données de l’entreprise ou de l’autorité de contrôle compétente.
En vertu du RGPD, les personnes concernées ont le droit de ne pas être soumises à des processus décisionnels automatisés qui pourraient avoir un impact significatif sur elles. Cela inclut le profilage, que le RGPD définit comme l’utilisation de l’automatisation pour évaluer certains éléments, comme les performances professionnelles de la personne.
Si une organisation utilise des décisions automatisées, elle doit donner aux personnes concernées un moyen de contester ces décisions. Les personnes concernées peuvent également demander à un employé humain d’examiner toutes les décisions automatisées qui les concernent.
Les responsables du traitement des données et les sous-traitants doivent informer les personnes concernées de leurs activités de traitement de manière proactive et claire : données collectées, utilisation de ces dernières et moyens pour les personnes d’exercer leurs droits dessus.
Ces informations doivent généralement être communiquées par le biais d’une notice de confidentialité présentée à la personne concernée au moment de la collecte de ses données. Si l’entreprise ne collecte pas de données personnelles directement auprès des personnes concernées, des avis de confidentialité doivent leur être envoyés dans un délai d’un mois. Les entreprises peuvent également inclure ces informations dans les politiques de confidentialité accessibles publiquement sur leurs sites web.
Le RGPD impose aux responsables du traitement des données et aux sous-traitants de prendre des mesures pour empêcher l’utilisation abusive des données personnelles et protéger les personnes concernées contre tout préjudice.
Les responsables du traitement des données et les sous-traitants doivent déployer des mesures de sécurité pour protéger la confidentialité et l’intégrité des données personnelles. Le RGPD n’impose aucun contrôle particulier, mais il stipule que les entreprises doivent mettre en place des mesures techniques et organisationnelles.
Les mesures techniques comprennent des solutions technologiques, telles que des plateformes de gestion des identités et des accès (IAM), des sauvegardes automatisées et des outils de sécurité des données. Bien que le RGPD n’impose pas explicitement le chiffrement des données, il recommande aux organisations de recourir à la pseudonymisation et à l’anonymisation dans la mesure du possible.
Les mesures organisationnelles comprennent la formation des employés, l’évaluation continue des risques et d’autres politiques et processus de sécurité. Les entreprises doivent également suivre le principe de la protection des données dès la conception et par défaut lors de la création ou de la mise en œuvre de nouveaux systèmes et produits.
Si une entreprise prévoit de traiter des données d’une manière qui présente un risque significatif pour les personnes concernées, elle doit d’abord réaliser une analyse d’impact relative à la protection des données (DPIA). Les types de traitement susceptibles de donner lieu à une DPIA sont notamment le profilage automatisé et le traitement à grande échelle de catégories particulières de données à caractère personnel.
Une DPIA doit décrire les données utilisées, le traitement prévu et l’objectif de ce traitement. Elle doit identifier les risques liés au traitement et les moyens de les atténuer. S’il existe un risque important non atténué, l’organisation doit consulter une autorité de contrôle avant de poursuivre.
Une organisation doit nommer un délégué à la protection des données (DPO) si son activité principale consiste à surveiller des personnes concernées à grande échelle ou à traiter des données de catégorie spéciale. Toutes les autorités publiques doivent également désigner des DPO.
Le DPO est chargé de veiller à ce que l’organisation reste conforme au RGPD. Ses principales tâches incluent la coordination avec les autorités de protection des données, le conseil à l’organisation sur les exigences du RGPD et la supervision des DPIA.
Le DPO doit être un agent indépendant sous l’autorité directe du plus haut niveau de la direction. L’organisation ne peut pas exercer de représailles contre un DPO dans l’exercice de ses fonctions.
Les organisations doivent signaler la plupart des violations de données personnelles à l’autorité de contrôle compétente dans un délai de 72 heures. Si la violation présente un risque pour les personnes concernées, l’organisation doit également les en informer. Les organisations doivent informer les personnes concernées directement, sauf si une communication directe ne serait pas raisonnable. Dans ce cas, un avis public est acceptable.
Les sous-traitants victimes d’une violation doivent en informer les responsables du traitement concernés sans délai injustifié.
Toute entreprise hors de l’EEE qui traite régulièrement les données de résidents de l’EEE ou qui traite des données particulièrement sensibles doit nommer un représentant au sein de l’EEE. Le représentant se coordonne avec les autorités gouvernementales au nom de l’entreprise et sert de point de contact pour les questions de conformité au RGPD.
Le RGPD établit des règles sur la manière dont les organisations peuvent partager les données personnelles avec d’autres sociétés à l’intérieur et à l’extérieur de l’EEE.
Un responsable du traitement des données peut partager des données personnelles avec des sous-traitants et d’autres tiers, mais ces relations doivent être régies par des accords formels de traitement des données. Ces accords doivent décrire les droits et les responsabilités de toutes les parties en vertu du RGPD.
Les sous-traitants ont l’obligation de traiter les données conformément aux instructions du responsable du traitement. Ils ne peuvent pas utiliser les données d’un responsable à leurs propres fins. Le sous-traitant doit obtenir l’approbation du responsable du traitement avant de partager des données avec un sous-traitant ultérieur.
Les responsables du traitement des données ne peuvent partager des données avec un tiers situé en dehors de l’EEE que si le transfert répond au moins à l’un des critères suivants :
Rester en conformité avec le RGPD est un processus continu, et les exigences de l’organisation peuvent changer avec la collecte de nouvelles données ou la mise en place de nouveaux types d’activités de traitement.
Les solutions de gestion de la sécurité et de la conformité des données comme IBM Security Guardium peuvent vous aider à rationaliser le processus de mise en place et de maintien de la conformité au RGPD. Guardium peut découvrir automatiquement les données réglementées par le RGPD, y appliquer des règles de conformité, surveiller l’utilisation des données et donner aux organisations les moyens de répondre aux menaces pesant sur la sécurité des données.
Découvrir les solutions de sécurité et de protection des données
En savoir plus sur la suite de produits de gestion de la sécurité et de la conformité des données d’IBM.