Le RGPD en détail

Pour vraiment tout comprendre sur le RGPD

Aux origines

Tout commence en 2012. Cette année-là, la Commission européenne propose une réforme majeure pour l’encadrement de la protection des données. Internet et l’arrivée de nouvelles technologies ont mené à l’explosion de la collecte, du stockage et de l’utilisation des données personnelles des utilisateurs à travers le monde.  
De fait, la question se pose : comment assurer la confidentialité et la sécurité de ces données ? À l’époque, des incidents de violations de données augmentent, tout comme les préoccupations pour y remédier. La mise en place d’une nouvelle loi, adaptée aux réalités numériques de ce début de siècle, devient une priorité. 
 
Avant la création du RGPD, plusieurs lois répondent à des besoins similaires. En France par exemple, la loi « Informatique et Libertés » de 1978 est l’une des premières législations à se pencher sur la protection des données et de la vie privée. Lors de son adoption, l’objectif est simple : réglementer la collecte, le traitement et l'utilisation des informations personnelles. Au cœur de cette loi, le souhait de garantir que la vie privée des citoyens français soit respectée. Au fil des années, elle a donc été mise à jour afin de s'adapter à l'évolution constante des technologies. 
 
Par la suite, la Directive sur la protection des données fait son entrée le 24 octobre 1995. Avec elle, ce sont les fondements de la législation européenne sur la protection des données qui sont posés. L’objectif est ici d’harmoniser les lois nationales existantes des États membres de l'Union Européenne : en plus d’une protection efficace des données personnelles, elle permet aussi de faciliter leur libre circulation au sein de l'Union. 

Définition et usages

Adopté en avril 2016 après plusieurs années de discussions, le Règlement Général sur la Protection des Données remplace la Directive de 1995, imparfaite dans son fonctionnement. Il entre en vigueur le 25 mai 2018.

Le RGPD permet de s’adapter aux inévitables avancées technologiques que nous connaissons ; il offre donc un cadre juridique plus solide pour la protection des données des individus. Grâce à lui, des règles claires ont été établies concernant la collecte, le traitement et la conservation des données personnelles. Mieux encore, il donne le droit à chaque personne d’accéder aux informations qui la concerne, de les modifier ou d’exiger leur suppression. Enfin,les organisations qui traitent des données personnelles sont responsabilisées. 

Pour fonctionner, le RGPD se fonde sur plusieurs principes clefs :

  • Le principe de finalité implique que la personne en charge d’un fichier ne peut ni enregistrer, ni utiliser des informations concernant une personne physique. À moins, bien entendu, de le faire dans un but “précis, légal et légitime”.
  • Le principe de proportionnalité et pertinence concerne directement les données. Ces dernières ne peuvent être utilisées que si elles sont pertinentes et nécessaires à l’entité qui les traite. L’entité doit traiter les données dont elle a besoin – ni plus, ni moins.
  • Le principe de durée de conservation limitée indique que les informations sur des personnes physiques ne peuvent pas être conservées indéfiniment. De fait, il est impératif de déterminer une durée de conservation pour chaque donnée traitée. Celle-ci est notamment pensée en fonction du type de données collectées.
  • Le principe de sécurité et confidentialité requiert de la personne responsable d’une base de données de garantir la sécurité des informations qui s’y trouvent. De la même manière, elle s’assure que seules les personnes autorisées ont accès à cette base de données.

Focus « données personnelles »

D’après la CNIL, une donnée personnelle concerne « toute information se rapportant à une personne physique identifiée ou identifiable ». Il peut aussi s’agir d’un moyen direct ou indirect d’identifier une personne. Le nom, l’adresse postale et le numéro de sécurité sociale sont considérés comme des données personnelles, de la même manière qu’une adresse IP ou un enregistrement vocal.
Certaines données sont dites « sensibles » : ainsi, la religion, l’orientation sexuelle ou les opinions politiques d’un individu sont considérées comme telles. Le règlement interdit la collecte ou l’utilisation de ses données en dehors de situations et d’un encadrement bien spécifiques.

Madame La CNIL

La Commission Nationale de l’Informatique et des Libertés, aussi connu sous le petit nom de CNIL,est la gardienne de la protection des données en France. Créée en 1978 en même temps que la loi « Informatique et Libertés », elle est donc la principale interlocutrice en matière de RGPD.

Les missions de la CNIL sont au nombre de 4 :

  • Informer les personnes et protéger leurs droits en cas de plaintes
  • Accompagner la conformité et conseiller les organismes, privés et publics
  • Anticiper et innover face à la rapide évolution des technologies
  • Contrôler et sanctionner en cas de non-respect de la loi

La CNIL joue avant tout un rôle de sensibilisation auprès des usagers. L’objectif est de permettre à chaque individu de connaître ses droits : sans aucune connaissance, difficile d’agir pour le bien de sa vie privée !

D’un côté, la CNIL guide les particuliers dans l’exercice de leurs droits. De l’autre, elle accompagne les professionnels pour leur processus de mise en conformité. Les notions de contrôle et de sanction, aussi inquiétantes soient-elles, ne sont finalement qu’un dernier recours pour la CNIL : elle préfère que tout se passe bien pour tout le monde.

« Le numérique doit être au service des citoyens. Son développement doit garantir l’identité humaine, les droits de l’homme, la vie privée, et les libertés individuelles ou publiques. »
La CNIL

L’impact du RGPD sur les organismes

L’arrivée du RGPD a été un chamboulement. Dans un premier temps, cette règlementation a été perçue et majoritairement vécue comme une contrainte. Une obligation difficile à mettre en place – à moins de pouvoir débourser une importante somme d’argent pour demander à quelqu’un d’autre de s’en charger à notre place. Beaucoup de structures ont été obligées d’investir pour atteindre un certain niveau de conformité, en espérant ainsi éviter la sanction.

Dans un second temps, le RGPD a été synonyme de réorganisation : pour certains, la création de poste pour accueillir un ou une DPO au sein de leur équipe. Pour d’autres, une mise en place de procédures en interne pour un meilleur traitement des informations à leur disposition. Et pour une bonne partie, une tentative de mise en conformité qui n’a peut-être jamais porté ses fruits…

Le RGPD a d’autant plus impacté les organismes qu’il a représenté un réel tournant dans l’esprit des individus partout en Europe. Sa mise en place a joué un rôle dans la prise de conscience autour de la vie privée et de la protection des données de chacun. Une importante campagne de communication a aidé à sensibiliser les personnes aux enjeux liés aux traitements de leurs données. Ce texte offre aussi un contrôle plus important aux personnes sur leurs données, avec la consécration de plusieurs droits comme le droit d’accès ou encore le droit à l’effacement de leurs données.

Google sanctionné par la CNIL

En décembre 2021, la CNIL sanctionnait Google pour un montant total de 150 millions d’euros. Une sacrée somme, qui s’explique facilement : les cookies. Oui, les fameux. Ce petit pop-up qu’on s’empresse tous de faire disparaître en appuyant sur « Accepter ». Mais voilà : un autre bouton, celui qui permet de « Refuser », devrait toujours être une option pour l’utilisateur. Une option que Google ne proposait pas à l’époque – du moins pas en un seul clic. Cette façon de faire va à l’encontre de la liberté de consentement. Forcément, la CNIL était obligée d’agir.

Et puis, vous vous en doutez bien : Google n’est pas la seule victime sur le tableau de chasse de la CNIL… Facebook, Twitter, LinkedIn ou Apple ont aussi eu droit à leur petite tape sur les doigts.

Autre impact notable : l’arrivée du Cyberscore

Tout le monde connait le Nutriscore ; le petit baromètre coloré sur les emballages, avec ces quelques lettres qui indiquent si ce qu’on s’apprête à acheter est sain pour nous... ou pas du tout. Le Cyberscore reprend le même principe, à la sauce numérique. L’objectif : indiquer aux internautes le niveau de protection de leurs données. Le tout, pour plus de transparence grâce à une information claire, lisible et intelligible.

Le Cyberscore fonctionne donc comme un complément du RGPD. Sa mise en place passe par un audit de cybersécurité, qui mesure trois composants :

  • Le niveau de protection des données personnelles
  • Le niveau d’externalisation relatif à l’hébergement
  • Le niveau de sécurité

La certification est entre les mains de l’ANSSI (l’Agence nationale de la sécurité des systèmes d’information) de façon à garantir l’indépendance de la notation.

La compatibilité de la protection des données avec les autres lois

Vous l’aurez donc compris, le RGPD est d’une importance fondamentale. Mais que faire des autres lois qui, par leur existence, semblent s’opposer à son fonctionnement ? Petit focus sur la loi Sapin II et les lois imposant des conditions d’âge pour l’accès et la fourniture de certains services.

Adoptée le 8 novembre 2016 par le Parlement, la loi Sapin II vient renforcer celle qui existait avant elle: la loi Sapin I. Jusqu'ici, tout est clair. Mais qu’apporte-t-elle de plus ? Contrairement à sa prédécesseuse, elle implique directement les entreprises dans le combat contre la corruption. Un combat qui implique de détecter,prévenir et sanctionner toute atteinte à la probité. Le tout, pour répondre à une attente très claire des Français : celle de la transparence, de l’éthique et de la justice dans le domaine économique.

La loi Sapin II repose sur trois grands piliers :

  • Elle renforce la transparence. En d’autres termes, elle permet aux citoyens français de savoir comment les décisions publiques sont prises. C’est-à-dire qui intervient dans l’élaboration d’une loi ou d’un règlement. Mais aussi de comprendre comment fonctionne l’attribution des marchés publics ou comment est encadré le lobbyisme.
  • Elle permet de mieux agir contre la corruption. C’est notamment possible via la création de l'Agence française anticorruption, ou encore par la mise en place pour les entreprises d’une obligation de prévention contre les risques de corruption.
  • Elle modernise la vie économique. Ce pilier vise à rétablir le pluralisme économique : cela passa par un financement plus diversifié de l’économie en France, tout en protégeant les épargnants et les investisseurs.

Fondamentalement, Sapin II et le RGPD poursuivent un objectif commun : celui d’assurer un comportement éthique au sein de tous les organismes. Soit. Sauf qu’il existe bel et bien des sujets de potentiel désaccord. Simplement dit, il peut être parfois compliqué de concilier protection de la vie privée avec l’obligation d’agir face à des comportements inappropriés dans le milieu professionnel. Pour cela, il est parfois nécessaire de passer par la case « enquête interne »…
Par définition, ce genre d’enquête se déroule de manière confidentielle – vis-à-vis, notamment, de la sensibilité du sujet qu’elle peut couvrir. Pourtant, le RGPD impose qu’un individu soit informé des traitements réalisés sur ses données, tout comme des droits dont il dispose. Si ses données personnelles sont exploitées dans le cadre d’une enquête interne, il doit donc normalement en être averti. Or, que faire si partager de telles informations compromettait le bon déroulement de l’enquête ?

Dans la même veine, comment déterminer au début d’une enquête interne combien de temps elle durera ? ou quelle sera l’étendue des informations collectées ? Le RGPD stipule que les données doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées » ; si bien qu’il convient de constamment se poser la question : « Cette donnée est-elle vraiment nécessaire ? ». Si une donnée personnelle n’est pas à 100 % pertinente à l’enquête, elle ne doit pas être collectée ou doit être supprimée. Le RGPD impose aussi une temporalité précise concernant le stockage de données. Mais que faire si l’enquête interne nécessite de conserver des données personnelles jusqu’à sa résolution ? La vie privée étant au cœur du RGPD, il peut sembler difficile de laisser la main à Sapin II dans ce cas de figure. La CNIL dit qu'il faut supprimer les données qui ne sont plus nécessaires, par exemple quand une enquête ne révèle rien. Mais si l'enquête continue sans aboutir à une action disciplinaire ou judiciaire, il faut être pragmatique. Détruire les données peut compromettre l'enquête, mais les conserver indéfiniment n'est pas justifiable non plus. Une solution peut être d'archiver les données de manière intermédiaire, ce qui protège la vie privée tout en permettant à l'entreprise de mener son enquête.

Plusieurs lois et règlements imposent des conditions d’âge pour l’accès et la fourniture de certains services. On peut notamment citer : le Code de la Santé publique qui interdit la vente d’alcool aux mineurs ; une loi du 30 juillet 2020 qui réaffirme que diffuser un « message à caractère pornographique » susceptible d’être vu par des mineurs est puni pénalement ; et la loi visant à instaurer une majorité numérique à 15 ans qui répond à un objectif clair : celui de protéger les enfants des réseaux sociaux. Pour cela, ces réglementations requièrent que les sites et plateformes concernés établissent une solution technique afin de vérifier les conditions d’âge.
Où est le problème ? La nécessité d’identifier les internautes va à l’encontre de la protection de la vie privée et des données personnelles telle qu’elle est définie par le RGPD. De fait, identifier un individu, c’est chercher à savoir qui se trouve derrière l’écran. C’est aussi avoir accès à son activité en ligne, qui peut contenir des informations parfois sensibles.

Autre problème : les solutions actuelles sont pour beaucoup faciles à contourner, surtout grâce à un VPN (Virtual Private Network). Ce genre de système localise l’internaute dans un pays de son choix qui ne nécessite pas de vérification d’âge pour accéder aux mêmes sites web. On pourrait en vouloir aux VPN : mais ce n’est pas chose facile, alors qu’ils offrent une navigation sécurisée et anonyme, en protégeant les utilisateurs contre la surveillance en ligne.

Jusqu’à présent, les solutions existantes ne couvrent pas tout à la fois les trois sujets suivants :

  • Une vérification dite « suffisamment fiable »
  • Une couverture qui garantit la couverture de toute la population française
  • Un respect réel de la vie privée et de la protection des données

Les solutions évoquées par la CNIL – comme la vérification de l’âge par le biais de la carte bancaire ou le passage par une analyse faciale – présentent toutes un défaut vis-à-vis du RGPD. Ces systèmes sont pour certains trop facilement contournables, ne garantissent pas une sécurité des données personnelles des utilisateurs ou requièrent la création d’organismes de certification qui n’existent pas à ce jour.

La seule solution qui pourrait fonctionner a été proposée par le LINC (Laboratoire d’Innovation Numérique de la CNIL), avec la participation de Olivier Blazy, professeur de l’École polytechnique et chercheur en cryptographie. Le tout repose sur la notion de « preuve à divulgation nulle de connaissance ». Pour ceux qui n’y connaissent pas grand-chose (et c’est normal), laissez-nous vous expliquer : ce système permet à une personne de « prouver qu'une situation est réelle sans avoir à révéler les informations relatives à cette situation ». Cette solution protège donc la vie de chaque internaute en évitant de collecter des données à outrance. Cette solution s’inspire donc de la cryptographie et de la « signature de groupe ». Chaque membre d’un groupe signe pour attester d’une vérité – dans ce cas, le fait d’avoir plus de 18 ans – et cette signature est utilisable individuellement sans divulguer l’identité de qui que ce soit. Pas mal, non ?

Les futures lois sur la protection des données RGPD

Le RGPD n’est en réalité qu’une première étape. D’autres lois et directives trouveront bientôt leur place à ses côtés. Parmi elles, la nouvelle directive « ePrivacy », traduite en français comme le règlement « vie privée et communications électroniques ». Cette loi vient compléter le RGPD à travers des règles spécifiques. Par exemple, elle impose d’obtenir le consentement des utilisateurs pour l’accès ou le stockage d’informations dans un équipement terminal – sauf s’il sert à effectuer techniquement la transmission d’une communication ou est nécessaire pour fournir le service demandé par la personne. Ce genre d’obligation implique que les personnes soient mieux informées et donnent leur consentement en connaissance de cause, notamment pour le ciblage publicitaire. Et cela implique par conséquent des bases de données qualifiées pour l’organisme concerné. En somme, la directive ePrivacy devrait être considérée comme un bonus transparence pour les marques envers les utilisateurs et un bonus qualité pour leurs bases de données.

La législation sur les marchés numériques, ou « Digital Markets Act » en anglais, vise la mise en place d’un environnement commercial plus équitable. Plus simplement, l’objectif est de contrer les pratiques anticoncurrentielles instaurées par les « géants » – incarnés majoritairement par les GAFAM. Au cœur de cette législation, l’envie de laisser la place à l’innovation pour développer des offres alternatives qui profiteront aux utilisateurs. Avec une concurrence loyale entre les acteurs numériques, de nouveaux noms partout en Europe trouveront leur place sur le marché.

Le Digital Markets Act impose de nouvelles obligations à ceux qu’il nomme les contrôleurs d’accès, dont font partie les GAFAM, avec l’interdiction de :

  • classer leurs propres produits ou services de manière plus favorable que ceux des autres acteurs du marché (auto‑préférence) ;
  • réutiliser les données personnelles collectées lors d'une prestation pour les besoins d'une autre prestation ;
  • établir des conditions déloyales pour les utilisateurs professionnels ;
  • préinstaller certaines applications logicielles ;
  • imposer aux développeurs d'application l'utilisation de certains services.

Les sociétés non conformes s’exposent à des amendes pouvant aller jusqu’à 10 % de leur chiffre d’affaires mondial. En cas de récidive, cette amende peut grimper jusqu'à 20 %.  Il s’agit ici de proposer aux utilisateurs des alternatives : en somme, de ne pas se sentir obligé d’utiliser une plateforme ou une application précise sous prétexte que celle-ci a le monopole sur le marché.

À l’heure actuelle, seuls 22 services de plateforme sont concernés par le Digital Market Act : on y retrouve Facebook, LinkedIn, Youtube, Whatsapp ou encore Amazon.

Le règlement européen sur les services numériques, aussi appelé « Digital Services Act », pose un simple constat : « Ce qui est illégal hors ligne doit également être illégal en ligne ». L’objectif est donc de faire face à la désinformation, à la manipulation et à la haine en ligne. Pour cela, cette législation souhaite encadrer les activités des plateformes, des hébergeurs, des réseaux sociaux, des moteurs de recherches – et tout particulièrement celles des GAFAM.

Le Digital Services Act vise à responsabiliser les plateformes numériques, qui deviennent ainsi actrices contre la diffusion de contenus illicites et la désinformation en ligne. Sa mise en place favorise aussi le développement des petites et moyennes entreprises à travers l’Europe. Enfin, l’une de ses grandes missions est d’établir confiance et transparence entre les plateformes en ligne et les internautes.

Protection des données et éthique

Aujourd'hui plus que jamais, chaque structure, peu importe sa taille ou son secteur d’activité, peut être considérée comme une “usine de données”. La production, la collecte ou tout autre traitement d’informations personnelles sont omniprésents dans le fonctionnement actuel de notre société. Dans cette optique, il devient essentiel de se pencher plus sérieusement sur les aspects opérationnels de la gestion des données. Mais comment s’y prendre de façon éthique ? Alowa vous propose quelques pistes.

  • Une durée limitée de la conservation des données : chaque donnée collectée a une utilité propre. Or, une fois que son utilité disparait, la donnée en question se doit elle aussi de disparaitre. Aucune structure n’est en droit de conserver une donnée qui n’est plus utile ou pertinente à son activité ou qu’elle n’est pas dans l’obligation de conserver. Se pose alors la question : quelle est la durée adéquate de conservation d’une donnée ? Plusieurs options :
  1. la durée est imposée par une obligation légale ou règlementaire ;
  2. la durée est définie par les lignes directrices de la CNIL ;
  3. la durée doit être définie par rapport à de potentiels risques : conserver certaines données pour se prémunir en cas de contentieux est vivement recommandé… ;
  4. la durée est définie par rapport à l’atteinte de l’objectif : les données traitées dans le cadre d’un jeu concours doivent être conservées le temps du jeu jusqu’à la remise des prix et le temps des éventuelles contestations de participants ;
  5. la durée est définie à compter de l’exercice d’un droit par une personne : si une personne inscrite à une newsletter demande l’effacement de ses données, il faudra bien évidemment le faire !
  • Les droits des personnes : assurer une bonne gestion des données, c’est notamment mettre à disposition un moyen de contact dédié à l’exercice des droits des personnes, comme un formulaire ou une adresse e-mail, et indiquer la procédure à suivre. En parallèle, il faut à tout prix mettre en place une procédure interne claire, efficace et opérationnelle : cette procédure doit aider à identifier les acteurs de la chaine de traitement des demandes et préciser clairement le rôle de chacun. Les acteurs du traitement de ces demandes doivent être formés, pour pouvoir réagir dès la réception d’une demande. Quoi qu’il arrive, vous devez analyser la demande en question pour vérifier si vous êtes en mesure et en droit d’y faire droit ; vous devez rédiger une réponse dans un délai d’un mois ; et enfin consigner les demandes et leur traitement dans un registre.
  • Sécurité et confidentialité : toutes les données doivent être traitées de manière sécurisée. Mais qu’est-ce que ça implique ? Vous devez, par exemple, les conserver et les stocker sur des serveurs et des supports sécurisés par un mot de passe complexe. Dans le cas de données au format papier, vous devez les conserver dans un  bureau ou du mobilier fermé à clef – clef retirée du mobilier. Les accès aux dossiers, logiciels et serveurs doivent être paramétrés pour autoriser uniquement les personnes habilitées et gérer leurs droits (modification, création, suppression).

En ce qui concerne les données personnelles que des collaborateurs traitent dans le cadre de leur fonction, Alowa vous recommande de leur faire signer un engagement de confidentialité. Pour plus de sécurité, n’hésitez pas à former et sensibiliser l’ensemble de vos équipes à la protection des données. Pourquoi ? Parce qu’ils représentent la première barrière face aux violations de données.

Les mots de passe

Ah, les mots de passe… On nous dit qu’il faut les rendre de plus en plus compliqués, qu’il faut les changer régulièrement, qu’il faut éviter d’utiliser le même pour tous ses comptes… Eh oui, il faut ! On pourrait vous dire, chez Alowa, qu’on a trouvé la formule magique pour rendre ça drôle, mais ce serait vous mentir. Un mot de passe long, complexe et donc impossible à deviner, c’est celui qui protègera les données que vous traitez au quotidien pour votre activité. Néanmoins, chez Alowa, on utilise deux astuces bien connues et facilitées par des outils CNIL ou tiers :

  • Mémorisez une phrase, puis créez votre mot de passe en utilisant la première lettre de chaque mot, en y ajoutant un nombre et un signe de ponctuation ou un caractère spécial. Voilà vous avez un mot de passe en béton et mémorisable facilement ! En panne d’inspiration ? La CNIL met à votre disposition un générateur qui permet de concevoir ce type de mot de passe en quelques secondes !
  • Utilisez un gestionnaire de mots de passe pour y stocker vos mots de passe en toute sécurité. Ces gestionnaires proposent aussi des générateurs de mots de passe forts. Vous n’aurez alors à retenir qu’un seul mot de passe, celui de votre gestionnaire. Ce dernier se chargeant de mémoriser tous vos mots de passe et de se connecter pour vous ! Chez Alowa, c’est notre option favorite !

Pour une mise en conformité en toute simplicité, Alowa est votre meilleur allié ! Imaginé et conçu en France par des professionnels de la protection des données, notre outil vous aide à faire du RGPD un atout pour votre activité.

Suivez-nous
L'offre Alowa
TarifsFaire face à une urgenceComment utiliser l’outil ?Tout savoir sur mon abonnementConnaître mon niveau de conformitéPlanifier une démoTrouver la solution qu’il me faut
Les outils
FAQFiches pratiquesTutorielsActualités RGPDSupport techniqueSuis-je concerné par le RGPD ?Dois-je désigner un DPO ?
À propos
Qui sommes-nous ?RecrutementNous contacterPourquoi choisir Alowa ?
Mentions légalesPolitique de confidentialitéCookiesCGVU