GDPR : les actions indispensables de conformité (étude longue)

• Thiébaut Devergranne

Le moins qu’on puisse dire c’est que le texte du nouveau règlement européen va profondément changer la donne en matière de protection des données personnelles :

  • 100 pages d’obligations à respecter
  • 99 articles de loi
  • 20 millions d’euros de sanctions en cas d’infraction pour les PME,
  • 4% du CA global du groupe pour les grandes entreprises (soit entre 3 et 5 MILLIARDS d’euros de risques de sanctions pour des entreprises comme Google, Amazon…)
  • de nombreux acteurs ont intérêt à déposer plainte (syndicats, représentants du personnel, salariés licenciés, associations de consommateurs, associations de défense de la vie privée, clients mécontents…)

Avec des montants aussi importants de sanctions – et autant d’intervenants qui ont intérêt à se lancer dans un contentieux, cette règlementation va devenir un contre-pouvoir majeur dont nombre d’organisation va faire les frais.

J’ai eu l’honneur de conseiller les services du Premier Ministre en qualité d’expert en matière de protection des données personnelles pendant l’élaboration du projet, et ce dont je peux activement témoigner est la difficulté pratique qui a été d’adopter une telle réforme. Beaucoup d’acteurs vont découvrir à leurs dépens que le temps où la protection des données personnelles pouvait être facilement ignorée a touché à sa fin. En fait, la réforme est même tellement contraignante qu’il est probable que sur le long terme le règlement soit allégé et considérablement simplifié.

Afin de présenter le texte, et l’ensemble des obligations qui doivent être mises en oeuvre par les organisations, on privilégiera une approche pragmatique afin de comprendre comment se préparer à une mise en conformité au GDPR. On laissera de côté les aspects relatifs aux droits des personnes qui ont moins besoin d’être préparés en raison de leur nature (on peut réagir simplement à une demande de droits d’accès une fois qu’elle arrive), autant qu’en raison de leur fréquence encore rare aujourd’hui (il est fréquent qu’une entreprise du CAC40 n’ait que quelques dizaines de demandes par an seulement alors qu’elle traite les données de millions de personnes en France).

Voici le plan de l’étude (8000 mots) :

  • Le contexte de la réforme
    • Les problèmes posés par la situation antérieure
    • L’affaire très médiatisée de l’audit de Facebook
    • Le règlement est parti pour sanctionner majoritairement les entreprises européennes
    • La réaction de la Commission
  • Synthèse des principaux changements
    • Des évolutions technologiques substantielles depuis 1995
    • Un règlement – pas une directive
    • Les principaux apports nouveaux
  • Se mettre en conformité avec le GDPR
    • Minimiser les données personnelles collectées
    • S’assurer du fondement juridique du traitement
    • Éviter de traiter des données sensibles
    • Afficher les mentions légales
    • Respecter le droit à la portabilité des données
    • Mettre en place un registre de conformité
    • Assurer la sécurité des données personnelles
    • Maintenez un registre de violations de données personnelles
    • Nommer un DPO
    • Mettre en place une PIA pour les traitements les plus sensibles
    • Assurez-vous de ne pas transférer des données personnelles hors UE

Bien que déjà conséquent cet article n’est qu’une introduction au process de mise en conformité ; si vous souhaitez entrer sérieusement dans le sujet, il est conseillé de suivre une formation GDPR spécifique et éventuellement vous équiper d’outillage pour vous assister dans la mise en conformité.

Commençons par le contexte de la réforme qu’il est important à comprendre (en particulier au regard des sanctions) avant d’attaquer la mise en conformité d’une organisation.

Le contexte de la réforme

Les problèmes posés par la situation antérieure

Il est difficile de comprendre le texte du GDPR sans comprendre ce qui en a vraiment motivé la réforme. Pour cela, il faut nous replacer entre 2007 et 2011 où les enjeux relatifs à la protection de la vie privée sur Internet avaient été très violemment bousculés par les plus gros acteurs de l’Internet ; Eric Schmidt, alors PDG de Google déclarait notamment que « Seuls les criminels se soucient de protéger leurs données personnelles » – (encore plus violent en anglais: « Only miscreants worry about net privacy« ) :

À l’époque Facebook annonçait 700 millions d’utilisateurs et opérait des changeait réguliers de politique de vie privée, considérant ces aspects comme totalement secondaires aux problématiques de l’entreprise (« pour le fondateur de Facebook, la vie privée est périmée« ). Ces changements suscitaient de très vives réactions (de l’EFF notamment – « Facebook’s Eroding Privacy Policy ») et étaient dénoncés comme un fiasco général par l’industrie tout entière (ex : « The next Facebook Privacy scandal« ).

L’affaire très médiatisée de l’audit de Facebook

C’est dans ce contexte qu’un étudiant en droit décide de mener un audit informatique et liberté de la plateforme de Facebook au regard de la règlementation européenne en matière de protection des données personnelles (dont la base européenne est la directive 95/48). En analysant la plateforme, ce dernier trouve 22 infractions majeures qu’il signale à l’autorité irlandaise de protection des données personnelles (l’équivalent de la CNIL), dont dépend Facebook, et évidemment à la presse.

S’ensuit une déferlante médiatique, autant qu’un gros malaise au sein des CNILs européennes, qui fort de leurs 2000-3000 employés au niveau européen n’ont jamais eu l’idée – ni le courage – de faire de même… Comment ont-elles pu rater un enjeu aussi important que d’imposer à Facebook le respect des lois européennes restera un mystère. Alors pourtant que celles-ci avaient entamé des discussions avec cette entreprise depuis 2007 – du moins pour le cas de la CNIL française. Mais, celles-ci se sont avérées totalement inaptes à s’imposer, là ou un simple communiqué de presse envoyé par un étudiant ayant suivit un semestre de cours « Informatique et libertés », réussit a faire plier l’entreprise américaine : 

Toutes les CNILs tenteront de minimiser l’affaire, mais le coup médiatique renforcera l’attention de la Commission quant à la nécessité d’une réforme en profondeur de ce régime juridique.

Le règlement est parti pour sanctionner majoritairement les entreprises européennes

La version finale du règlement ressortira profondément marquée par son histoire. Nombre de ses dispositions ont été prévues initialement pour sanctionner les grands acteurs du web (GAFA en particulier), un peu comme une arme – à moitié règlementaire – à moitié fiscale, dont l’objectif plus ou moins caché est de ponctionner les profits des plus grosses entreprises qui respectent aléatoirement le droit européen.

Mais cette vision est un peu naïve. Elle méconnait la culture des entreprises américaines qui ont une finesse de compréhension de gestion des risques juridiques considérablement plus importante qu’en Europe (comparativement il y a 1.3 million d’avocats aux États-Unis contre quelques 50.000 en France – et les amendes prononcées aux États-Unis sont de l’ordre de plusieurs milliards – ou dizaines de milliards de dollars là ou en France les autorités règlementaires sanctionnent à hauteur de dizaines de milliers d’euros). En matière fiscale, il n’est pas étonnant de voir que le redressement de Google d’1,6 milliard d’euros – bien qu’annoncé en grande pompe par la France – soit remis en cause par la justice française elle-même quelques mois après l’étude du dossier de fond (cf. pour le rapporteur public, Google n’a pas à subir de redressement fiscal en France).

Ainsi, paradoxalement aujourd’hui, en matière informatique et libertés, le GAFA fait partie des entreprises les moins à risque de subir une condamnation (non pas que cela ne soit pas possible), car elles ont mis en oeuvre des moyens d’action pour éviter ces risques. Les condamnations répétées de Google ou Facebook à 100.000 ou 150.000€ témoignent d’une stratégie juridique à cet égard. En effet, juridiquement les entreprises ayant été condamnées sous l’empire du régime ancien – là où les amendes maximales étaient de l’ordre de 150.000€ – ne peuvent légalement plus être condamnées sur le régime nouveau pour les mêmes faits – là où les amendes auraient été de l’ordre de plusieurs milliards d’euros. En condamnant Facebook et Google, la CNIL a fait à ces entreprises un beau cadeau : payer quelques minutes de chiffre d’affaires, contre la certitude de ne pas pouvoir être condamné pour ces mêmes faits sous le régime du règlement à plusieurs milliards d’euros…

De fait, aujourd’hui, tout est aligné pour que le règlement sanctionne à titre principal les organisations européennes qui ont une culture faible de gestion de risques juridiques (à juste titre d’ailleurs, car les montants des sanctions en Europe étaient jusqu’à présent rarement importants) et qui considèrent encore majoritairement la protection des données personnelles comme une futilité cosmétologique. Celles-ci vont rapidement découvrir que cette réglementation va être utilisée par des salariés, des syndicats, des représentants du personnel, des associations de consommateurs, ou des associations de protection de la vie privée comme un contre-pouvoir extrêmement puissant capable de payer les meilleurs juristes et avocats en ce domaine pour faire plier les plus gros acteurs (l’Etat, grandes entreprises, collectivités…).

Ce n’est plus le cas des entreprises américaines qui ont opéré un changement massif de mentalité à cet égard. Facebook a admis d’importantes erreurs dans son parcours :

Et d’autres entreprises comme Apple ont fait de la vie privée un des enjeux essentiels de leur business modèle – au point même que ses employés avouent aujourd’hui que les contraintes que l’entreprise s’impose à ce sujet nuisent à sa capacité d’innovation (cf. SIRI). Même Google semble aujourd’hui mieux adapter ses services afin d’assurer un respect de la vie privée :

À ce titre, les entreprises américaines ont réagi vite là ou nombre de grandes entreprises européennes en sont encore au stade de découvrir les enjeux relatifs à la vie privée, sont peu ou pas formées pour absorber ces contraintes, et ne disposent que de très peu de compétences en ce domaine. Il y a peut-être 30-50 personnes qui travaillent à plein temps sur les problématiques informatiques et libertés depuis plus de 15 ans… (évaluation personnelle).

La réaction de la Commission

Voici donc pour l’histoire ! S’ensuit en 2011-2012 une proposition de la Commission européenne de changement drastique de la règlementation en assortissant essentiellement la règlementation passée de vraies sanctions .

Il faut dire que de nouvelles pratiques étaient nécessaires ! En matière de sanctions, le laxisme de la CNIL a été tel qu’on pouvait ouvertement et publiquement poser la question « Faut-il vraiment respecter la loi informatique et liberté » – alors même qu’il existe d’importantes dispositions pénales à cet effet.

En fait, à part à servir d’outil de pression politique (la loi informatique et liberté a été  utilisée pour mettre les dirigeants de Uber en garde à vue pendant le conflit social avec les chauffeurs de taxi), son utilité réelle est restée assez relative en pratique. À part des acteurs qui opèrent le traitement de données vraiment sensibles (santé), elle peut aujourd’hui encore être massivement ignorée par les organisations sans craindre de sanctions.

Enfin, jusqu’à l’entrée en vigueur du règlement…

Synthèse des principaux changements

Des évolutions technologiques substantielles depuis 1995

Ce serait peu dire que de constater que la règlementation précédente datait au regard des évolutions technologiques ! La directive avait été adoptée en 1995, et depuis, on a vu apparaître des technologiques qui ont littéralement révolutionné le monde :

  • Internet – qui n’existait quasiment pas en 1995 ;
  • les réseaux sociaux ;
  • les téléphones mobiles ;
  • la géolocalisation ;
  • la biométrie ;
  • le cloud…

Ceci étant – il faut dire que  la règlementation européenne avait été élaborée de sorte d’être indépendante de l’évolution des technologies. Il était donc nécessaire de la toiletter un peu, mais le travail de réflexion avait été suffisamment bien fait pour ne pas nécessiter de refonte totale de ses principes (la France a eu à ce titre une contribution très significative dans l’élaboration de la directive 95/46).

Aussi, le règlement conserve donc énormément de principes posés par la directive de 1995 (« 60-80% ») – la différence étant qu’il va falloir maintenant les appliquer en raison des sanctions !

Un règlement – pas une directive

La principale réforme était déjà de passer d’une directive à un règlement ! La directive impose en effet une transposition dans les 27 pays européens, alors qu’un règlement fait directement office de loi. Ceci explique également la complexité des négociations qui ont été faites entre les 27 états.

Les principaux apports nouveaux

De manière synthétique les objectifs de la réforme étaient les suivants :

  • Mettre en place de véritables sanctions dissuasives (20M€/4% CA global)
  • Utiliser un règlement en lieu et place d’une directive afin d’éviter d’avoir à transposer la règlementation en 27 lois différentes
  • Conserver l’architecture juridique établie par le droit antérieur et la renforcer (une grosse partie des obligations antérieures sont conservées dans le nouveau règlement)
  • Supprimer les déclarations CNIL (en fait pour remplacer cette obligation par une obligation beaucoup plus contraignante de mettre en place un registre interne)
  • Imposer de nouvelles obligations de sécurité comme la notification à la CNIL en cas de violation des données personnelles en 72 heures – et la notification de la violation de sécurité aux personnes dont les données ont été compromises.
  • Imposer une PIA (privacy impact assessment) – une étude d’impact sur la vie privée pour les traitements les plus sensibles.
  • Renforcer les droits des personnes en imposant notamment de recueillir et de retracer le consentement au traitement des données personnelles
  • s’assurer d’une application très large du règlement à toute entité qui traite des données personnelles de personnes en Europe (en résumé – en droit les choses sont plus complexes)

À noter que la règlementation ouvre également une voie importante à la certification qui permet de s’assurer qu’un traitement s’exécute en conformité par rapport à la loi.

Se mettre en conformité avec le GDPR

Le process de mise en conformité au règlement est complexe. On peut dire sans aucune difficulté que l’une des plus grosses ratées du GDPR est d’avoir imposé autant d’obligations aux entreprises – et en particulier aux TPE/PME qui sera quasiment dans l’impossibilité de respecter la loi.

Sans entrer dans un process de conformité à 100% qui impose des coûts majeurs (20.000€ par traitement pour s’assurer qu’on est vraiment en conformité – une TPE mettant en oeuvre a minima 5 à 10 traitements – et probablement plus aux alentours de 150K€ par traitement pour les grandes entreprises) – on peut néanmoins adopter une approche par risques juridiques : autrement dit, mettre en place des actions utiles afin de réduire les risques juridiques portés par le texte. De la sorte, on peut réduire 80% des risques majeurs dans un espace temps raisonnable et avec des coûts relativement restreints.

Voici donc un plan d’action concret à ce titre qui vous permettra d’avancer concrètement.

1. Minimiser les données personnelles collectées

C’est un des changements les plus substantiels opérés par le règlement européen en pratique, qui tient au fait que celui-ci impose de ne collecter que les données strictement nécessaires. L’article 5 du règlement européen précise à ce titre que les données personnelles doivent être :

« adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données)»

Ce principe a un impact pratique majeur quant aux données collectées que l’on va voir en prenant un exemple pratique.

L’exemple d’une newsletter

Prenons un exemple concret afin d’illustrer notre propos : la mise en place d’une newsletter. Le règlement impose, dans un tel cas, de ne collecter que les données qui sont strictement nécessaires à cette newsletter. Quelles sont donc les données susceptibles de pouvoir être collectées à cet égard ?

Réponse : l’email.

Clairement : ni le prénom, ni le nom, ni le adresse, ni le fait que la personne soit un homme, ou une femme, ni les coordonnées physiques de la personne. Aucune de ces données ne serait en effet strictement nécessaire pour l’envoi de la newsletter (sauf justification particulière – évidemment si vous envoyez une lettre papier – auquel cas vous justifiez alors du besoin de collecter ces informations dans vos finalités).

Il y a là une évolution importante de la règlementation par rapport au texte ancien, qui prévoyait simplement que les données ne soient pas excessives. Sous l’empire de la loi informatique et libertés (version 1978 et version 2004), il était légalement possible de collecter de telles données simplement, car elles n’étaient pas excessives.

Deux process devront donc être mis en oeuvre à ce titre :

  • purger l’ensemble des données qui ne sont pas strictement nécessaires au sein des applications existantes
  • s’assurer de limiter les données collectées à l’avenir

Attention donc à bien veiller à mettre ces principes en place pour les traitements tels que :

  • Site Internet
  • Paie
  • Plan de continuité
  • Liste de partenaires
  • Contrôle d’accès aux locaux
  • Cantine
  • Monétique
  • Vidéo surveillance
  • Géolocalisation de véhicules
  • Postes de travail
  • Facturation
  • Embauche (CV…)
  • Outils de prospection commerciale
  • Traçabilité des actions informatiques
  • Gestion d’accès des sauvegardes
  • Logs de serveurs
  • Centrale téléphonique

Chaque traitement doit être analysé et l’on doit définir une liste de données qui sont nécessaires par rapport aux besoins relatifs à ce traitement – le reste devant être purgé. Il est nécessaire de tenir à jour une liste des traitements de données personnelles mis en oeuvre par l’organisation (cf. ci-après le registre)- éventuellement constitué à partir de listes types comme illustré ci-dessous :

2. S’assurer du fondement juridique du traitement

Un des éléments clé de la réforme a été de renforcer les droits de personnes au regard de leurs données, et notamment de s’assurer qu’elles donnent leur consentement à leur traitement. En fait c’était déjà le cas de la loi informatique et liberté (article 7 : « Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée« ), mais le législateur a encore plus insisté sur ce point :

Article 6  – 1. Le traitement n’est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie:

a)  la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;

b)  le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci;

c)  le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;

d)  le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;

e)  le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;

f)  le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Par principe, donc, une personne doit matériellement consentir à ce que ses données puissent être traitées pour être dans la légalité. Le consentement est défini par le règlement de la manière suivante (article 4) :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il existe évidemment une série de cas dans lesquels il est cohérent d’opérer un traitement de données personnelles quand bien même une personne n’y aurait pas consenti. C’est le cas par exemple lorsqu’une personne victime d’un accident de voiture est dans le coma et qu’il est nécessaire de procéder à une greffe (et donc, traiter des données personnelles sans pouvoir lui demander son consentement). D’où l’exception « d » : lorsque le traitement des données est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée.

Le rôle du responsable est alors de s’assurer que chaque traitement s’inscrit bien dans le respect de ces conditions.

Voici quelques exemples :

  • newsletter -> consentement
  • Cantine -> consentement
  • Paye -> obligation légale (noter l’obligation ou les obligations en question)
  • Vente en ligne (cgv) -> mesures contractuelles / précontractuelles et obligations légales

Jusque là, rien de vraiment compliqué.

3. Éviter de traiter des données sensibles

Le règlement s’inscrit ici encore dans la continuité de la loi informatique et libertés et de la directive de 1995 qui ont adopté une démarche pragmatique centrée autour des risques relatifs au traitement de certaines données, dites sensibles. Celles-ci font l’objet de contraintes juridiques plus importantes que les autres en raison des risques qui leur sont associés.

L’article 9 définit cette notion de données sensibles :

« Le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits »

Attention toutefois à ne pas confondre les données sensibles au sens du GDPR et « les données qui sont sensibles pour l’organisation » – qui n’ont rien à voir (ex : pour une entreprise les données financières sont sensibles alors que celles-ci n’entrent même pas dans le cadre de cette règlementation).

Le règlement apporte cependant une nouveauté par rapport à la règlementation ancienne, en ajoutant 3 catégories nouvelles :

  • 3 nouveaux types :
    • Les données génétiques
    • Biométriques
    • Orientation sexuelle des personnes

Il existe 10 exceptions permettant d’opérer le traitement de telles données qui sont énumérées à l’article 9.2 et que l’on résumera simplement ici :

  1. la personne concernée a donné son consentement
  2. le traitement est réalisé en matière de droit du travail, de sécurité sociale…
  3. le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée
  4. le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philoso­phique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme
  5. le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
  6. le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice
  7. le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un ‘État membre
  8. le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail
  9. le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique
  10. le traitement est nécessaire à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques

Le régime juridique des données sensibles est contraignant et va imposer une série de précautions particulières (ex : PIA, sécurité renforcée…). Il est donc très important – soit d’éviter le traitement de ces informations – soit de mettre en place des moyens juridiques adaptés (étude juridique spécifique et mise en conformité). Il n’y a pas vraiment de solution simple en ce domaine.

4. Afficher les mentions légales

Le règlement (comme la loi informatique et libertés d’ailleurs) impose au responsable de traitement d’informer la personne dont les données sont traitées d’un certain nombre de mentions (les mentions légales).

La mise en place de ces mentions est importante pour plusieurs raisons. La principale est qu’elle permet de cerner ouvertement le niveau de maturité informatique et libertés d’une organisation. Ainsi, lorsque l’on procède à un audit, ou lorsque la CNIL procède à un contrôle, l’absence de mentions légales est un indicateur qui permet de déterminer immédiatement l’existence de problèmes majeurs au sein de l’organisation.

L’article 13 du règlement définit les informations à indiquer lors de chaque collecte de données personnelles :

  • l’identité et les coordonnées du responsable du traitement et, le cas échéant, du représentant du responsable du traitement
  • coordonnées du DPO si DPO
  • finalités du traitement – ainsi que la base juridique du traitement (consentement, obligation légale… – art. 6)
  • si le traitement est fondé sur « les intérêts légitimes du responsable du traitement » (art. 6.1. f), les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers
  • les destinataires ou les catégories de destinataires des données à caractère personnel
  • le cas échéant, le fait que le responsable du traitement a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale, et l’existence ou l’absence d’une décision d’adéquation rendue par la Commission ou, dans le cas des transferts visés à l’article 46 ou 47, ou à l’article 49, paragraphe 1, deuxième alinéa, la référence aux garanties appropriées ou adaptées et les moyens d’en obtenir une copie ou l’endroit où elles ont été mises à disposition;

De même que les éléments suivants (art. 13.2) :

  • la durée de conservation des données à caractère personnel ou, les critères utilisés pour déterminer la durée
  • l’existence du droit de demander au responsable du traitement l’accès aux données à caractère personnel, la rectifi­cation ou l’effacement de celles-ci, ou une limitation du traitement relatif à la personne concernée, ou du droit de s’opposer au traitement et du droit à la portabilité des données
  • lorsque le traitement est fondé sur l’article 6, paragraphe 1, point a), ou sur l’article 9, paragraphe 2, point a), l’existence du droit de retirer son consentement à tout moment, sans porter atteinte à la licéité du traitement fondé sur le consentement effectué avant le retrait de celui-ci
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle
  • des informations sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données
  • l’existence d’une prise de décision automatisée, y compris un profilage, visée à l’article 22, paragraphes 1 et 4, et, au moins en pareils cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement pour la personne concernée.

À noter que ces mentions doivent être affichées au moment ou les données sont obtenues (art. 13, alinéa 1).

Il n’y a rien de très complexe ici – autre que de rédiger un texte indiquant l’ensemble des éléments imposés par la loi et de l’afficher pour chaque traitement.

5. Respecter le droit à la portabilité des données

Une nouveauté importante introduite par le règlement est le droit à la portabilité des données ! Celui-ci impose au responsable du traitement de mettre en place des moyens pour donner la possibilité à la personne dont les données sont traitées d’exporter ses données personnelles dans un format structuré (xml…).

Google nous donne un bon exemple ici d’un service permettant aux utilisateurs d’exporter l’intégralité de leurs informations :

 

Ce droit est défini par l’article 20 du règlement (qui définit également certaines exceptions et limites) :

1. Les personnes concernées ont le droit de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et ont le droit de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement auquel les données à caractère personnel ont été communiquées y fasse obstacle (…)

Ce droit à la portabilité fait l’objet des droits qui doivent être anticipés lors du choix d’un système informatique : par exemple si vous fournissez des services en ligne, il est nécessaire d’anticiper la possibilité pour les utilisateurs d’exporter leurs données. LinkedIn en donne un bon exemple également à ce titre :

À défaut il est toujours possible de réagir à une demande de droit à la portabilité, mais autant que faire se peut si l’on peut automatiser les choses et donner à l’utilisateur un système clé en main pour qu’il puisse réaliser lui-même un export de ses données, autant le prévoir avant.

6. Mettre en place un registre de conformité

Le règlement impose aux organisations de tracer l’ensemble des traitements de données personnelles mis en oeuvre afin de s’assurer que ceux-ci soient en conformité avec la loi. Cette obligation est complexe, car elle est éparse dans le règlement et ressort de 3 dispositions différentes.

La première est tirée de l’article 5 qui impose l’obligation aux organisations de démontrer que le règlement est bien respecté :

«Le responsable du traitement est responsable du respect du paragraphe 1 et est en mesure de démontrer que celui-ci est respecté (responsabilité) »

Cette obligation est ensuite reprise à l’article 24, qui prévoit que :

le responsable « met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ».

Or, pour cela, il faut non seulement tracer les traitements mis en oeuvre, mais également tracer le fait qu’ils sont bien conformes à l’ensemble des obligations imposées par le règlement.

La troisième mention est tirée de l’article 30.1 qui mentionne ici spécifiquement la tenu d’un registre de conformité :

Chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité.

D’un point de vue strictement juridique, le règlement prévoit une exception pour les petites organisations en dessous de 250 salariés (art. 30.5), toutefois, ce registre a une fonction essentielle qui permet de lister les traitements mis en oeuvre au sein de l’entreprise et s’assurer qu’ils sont en conformité par rapport à la loi. Cette obligation étant imposée par l’article 5 et l’article 24, on ne voit pas trop comment s’assurer que les traitements de données personnelles sont bien conformes à la loi si on ne les a pas listés, puis audités ensuite et enregistrés sur un registre d’une manière ou d’une autre… En d’autres termes, on peut dire que si l’article 30.5 autorise les PME à ne pas tenir de registre, la combinaison des articles 5 et 24 impose de facto sa mise en oeuvre… Cela fait partie des contradictions du règlement !

Le plus simple est, pour ce faire, de recourir à un logiciel qui retrace les traitements mis en oeuvre ainsi que les actions de conformité qui devront être menées par la suite et l’état réel de ces actions.

Conformément aux prescriptions de l’article 30, chaque mention du registre doit indiquer :

  • 1. Nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données
  • 2. Finalités du traitement
  • 3. Description des catégories de personnes concernées et des catégories de données à caractère personnel
  • 4. Catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales
  • 5. Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées
  • 6. Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données
  • 7. Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1

Dans tous les cas, lister les traitements mis en oeuvre et suivre l’évolution de leur conformité est un minima (feuille Excel / logiciel spécifique sinon).

7. Assurez la sécurité des données personnelles

De longue date, imposer la sécurité des donnée personnelles a été une préoccupation importante du législateur. Dès le départ, des obligations ont été imposées dans la loi informatique et libertés V1 (1978) et V2 (2004), et le règlement européen ne procède, pour l’essentiel, qu’à des mises à jour de ce côté.

Dès les premiers articles, le règlement rappelle que la SSI est un enjeu fondamental :

Art. 5. f (principes essentiels) : les données sont « traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle, à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) »

Le coeur de l’obligation de sécurité est ensuite défini par l’article 32, qui impose:

Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:

a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique;

d) une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures techniques et organisation­nelles pour assurer la sécurité du traitement.

Le texte n’entre évidemment pas dans les détails techniques des mesures qui doivent être mises en oeuvre, sinon que de dire qu’une étude de risque doit être entreprise, de laquelle doivent ressortir des mesures de sécurité appropriées aux besoins.

En termes opérationnels, cela signifie d’analyser les besoins de sécurité de chaque traitement mis en oeuvre et mettre en place les mesures adéquates.

Il est important néanmoins dans cette classification de conserver une visibilité sur les impacts que peut avoir le traitement et utiliser une grille de classification en termes de risques afin de prévoir les mesures adéquates :

Impact négligeable

Impact limité

Impact important

Impact critique

Les personnes ne sont pas impactées ou ne connaissent que quelques désagréments surmontables sans difficulté. Ex. : perte de temps, réception de spam, réutilisation d’une adresse pour de la publicité. Les personnes impactées connaissent des désagréments significatifs qui sont surmontables malgré des difficultés. Ex : frais financiers, refus d’accès à des services ou des prestations commerciales, opportunités perdues, comptes bloqués, augmentation de coûts, dysfonctionnements de comptes, profilage abusif – par exemple sur des données sensibles. Les personnes impactées subissent des désagréments significatifs surmontables, mais avec des difficultés réelles. Ex : interdiction bancaire, dégradation de biens, perte d’un emploi, séparation ou divorce, pertes financières significatives, interdiction d’examen. Les personnes impactées subissent des conséquences très significatives et irréversibles, ou insurmontables. Ex : décès, dettes très importantes, impossibilité de retravailler, impossibilité de se reloger, affectation psychologique de longue durée, perte d’un lien familial

 

8. Maintenez un registre des violations de données personnelles et des procédures de notification à la CNIL et à personne concernée

Une innovation importante opérée par le règlement réside dans la nouvelle obligation de notification des violations de données personnelles à la CNIL. Sauf cas exceptionnels, le responsable du traitement doit notifier à la CNIL toute violation de données personnelles sous 72h :

33.1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance

La notion de violation de données personnelles est (heureusement) définie à l’article 4 :

«violation de données à caractère personnel», une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données;

Cette obligation est calée sur la même obligation qui était imposée aux opérateurs de communications électroniques dans l’article 34 bis de la loi informatique et libertés, à la différence notoire qu’elle s’applique aujourd’hui à l’ensemble des responsables de traitements.

En cas de violation des DCP le responsable du traitement devra communiquer à la CNIL les éléments d’informations suivants :

3.   La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

La seconde obligation notable à ce sujet est l’obligation de notifier la violation de sécurité à la personne concernée elle-même. Le législateur a assurément souhaité taper là ou cela fait le plus mal en cas d’incident de sécurité, à savoir à imposer à l’organisation défaillante de communiquer directement aux victimes elles-mêmes.

L’obligation est imposée par l’article 34 :

Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

Il y a deux éléments importants à retenir ici :

  • la nécessité de solliciter la CNIL en cas de violation de DCP
  • la tenue d’un registre à cet effet (même vide au départ)

9. Nommez un DPO

Pierre angulaire de la conformité, le règlement européen a conservé la fonction du DPO (data privacy officer) qui existait déjà dans la loi française (CIL) autant que la directive européenne. Le responsable du traitement est tenu de désigner un DPO dans 3 cas :

1. Le responsable du traitement et le sous-traitant désignent en tout état de cause un délégué à la protection des données lorsque:

  1. a)  le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
  2. b)  les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
  3. c)  les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condam­nations pénales et à des infractions visées à l’article 10.

Ces dispositions ont beaucoup fait l’objet de modifications pendant la période de négociation du règlement européen (au départ toute organisation de moins de 250 personnes devait nommer un DPO). Aujourd’hui le scope de la nomination obligatoire a été substantiellement réduit, mais considérant les sanctions et le travail nécessaire pour se mettre en conformité il est très vivement conseillé d’en disposer (en témoignent les nominations massives de postes ces six derniers mois).

Les missions du délégué à la protection des données sont les suivantes:

informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du présent règlement et d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;

contrôler le respect du présent règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant;

dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35;

coopérer avec l’autorité de contrôle;

faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.

À l’exception des TPE il est donc vivement conseillé d’avoir une personne en charge de la conformité au règlement dans son organisation.

10. Mettez en place une PIA pour les traitements sensibles

La PIA est intéressante, car elle permet de mesurer la complexité à laquelle on est confronté lorsque l’on entre dans les détails du texte. Le règlement a prévu d’augmenter le niveau de protection du traitement de données personnelles dans les cas qui présentent le plus de risques pour les droits et libertés des personnes, ce qui, en soi, fait complètement sens. Dans ces termes, l’article 35 impose au responsable du traitement de réaliser une étude d’impact sur la vie privée (une PIA pour « Privacy Impact Assessment« ) afin de s’assurer que l’ensemble des risques spécifiques à la vie privée ont bien été maîtrisés.

Le règlement prévoit les dispositions suivantes :

1. Lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

En pratique, une telle étude peut être menée pour un ensemble d’opérations qui présentent des risques identiques (« une seule et même analyse peut porter sur un ensemble d’opérations de traitement similaires qui présentent des risques élevés similaires« ). Par exemple, si le responsable du traitement met en place un traitement relatif à la paye pour 50.000 employés, celui-ci peut potentiellement acheter une PIA clé en main, réalisée par un cabinet spécialisé qui a effectué une analyse de risques spécifiques vie privée quant à ces aspects (à distinguer d’une étude de risques de sécurité – qui n’a rien à voir). Seconde option, il est également possible de regrouper plusieurs entreprises dans une situation identique et mutualiser l’étude de risque vie privée. Par principe, le règlement l’autorise.

Dans quels cas est-on tenu de mener une PIA ?

Le règlement prévoit la mise en place d’une PIA « lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Ce critère à la vertu d’être relativement clair (pour les juristes…), néanmoins le règlement est venu le préciser à plusieurs égards.

Tout d’abord, en imposant une PIA dans un certain nombre de cas spécifiques – pour des traitements qui présentent par nature des risques importants pour les droits et libertés des personnes. 3 cas sont visés en particulier par l’article 35.3 :

a)  l’évaluation systématique et approfondie d’aspects personnels concernant des personnes physiques, qui est fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative de façon similaire;

b)  le traitement à grande échelle de catégories particulières de données visées à l’article 9, paragraphe 1, ou de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10; ou

c)  la surveillance systématique à grande échelle d’une zone accessible au public.

La seconde précision donnée par le règlement quant aux risques spécifiques nécessitant une PIA a été de conférer aux autorités nationales de contrôle l’établissement d’une liste spécifique de traitements à risque, ce qui a au moins la vertu d’éliminer les points de discussion. Celle-ci est prévue par les dispositions des articles 35.4. et 35.5 :

L’autorité de contrôle établit et publie une liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise conformément au paragraphe (…)

L’autorité de contrôle peut aussi établir et publier une liste des types d’opérations de traitement pour lesquelles aucune analyse d’impact relative à la protection des données n’est requise (…)

Traitements présentant un risque élevé pour les droits et libertés des personnes ?

Au-delà de la liste établie par la CNIL et des trois cas spécifiques prévus par le règlement, tout traitement susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques est soumis à PIA.

Ce critère juridique peut sembler délicat à appréhender au premier abord. Il faut cependant le lire au regard des dispositions prévues par le règlement – à savoir déjà, les cas expressément appréhendés par le texte comme étant des situations à risque et justifiant des garanties supplémentaires afin de protéger les droits et libertés des personnes.

Citons donc quelques exemples :

  • tous les traitements mettant en oeuvre des technologies de scoring, d’évaluation ou de profilage des personnes ; les traitements opérant une analyse des performances au travail ou de la situation économique des personnes, de leurs comportements, de leurs centres d’intérêts, de localisation (ex : scoring bancaire, traçage publicitaire…)
  • tous les traitements de surveillance – physiques ou informatiques – quels qu’ils soient (vidéo surveillance)
  • tous les traitements relatifs aux données sensibles
  • tous les traitements à grande échelle
  • les interconnexions de fichiers
  • les traitements relatifs à des personnes vulnérables (enfance en danger, mineurs, majeurs protégés…)
  • les technologies innovantes – essentiellement en raison du fait que leur impact est par nature mal maîtrisé
  • tous les traitements opérant des transferts de données hors UE
  • les traitements limitant l’exercice d’un droit ou d’un contrat

La procédure du PIA

Dans le cas ou une PIA est imposée, le responsable du traitement a l’obligation  de demander conseil à son DPO si celui-ci a été désigné. On peut synthétiser la procédure de la manière suivante :

L’analyse doit ensuite contenir a minima (art. 35.7) :

une description systématique des opérations de traitement envisagées et des finalités du traitement, y compris, le cas échéant, l’intérêt légitime poursuivi par le responsable du traitement;

une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités;

une évaluation des risques pour les droits et libertés des personnes concernées conformément au paragraphe 1; et

les mesures envisagées pour faire face aux risques, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel et à apporter la preuve du respect du présent règlement, compte tenu des droits et des intérêts légitimes des personnes concernées et des autres personnes affectées.

La PIA doit donc être documentée et conduire à la mise en place de mesures permettant de limiter les risques pour les droits et libertés des personnes. Il est vivement recommandé de suivre une formation spécifique ou de vous faire assister si vous devez mener une PIA.

11. Assurez-vous de ne pas transférer des données personnelles hors de l’UE

De la même manière que la règlementation ancienne, la mise en oeuvre de traitements de données personnelles hors de l’UE est strictement encadrée par le règlement européen. En pratique, la loi  va limiter la fourniture de services informatiques par des entreprises hors de l’UE, car elles vont devoir sérieusement se plier à la culture européenne de régulation si elles souhaitent pouvoir vendre à des clients européens :

Un transfert, vers un pays tiers ou à une organisation internationale, de données à caractère personnel qui font ou sont destinées à faire l’objet d’un traitement après ce transfert ne peut avoir lieu que si, sous réserve des autres dispositions du présent règlement, les conditions définies dans le présent chapitre sont respectées par le responsable du traitement et le sous-traitant, y compris pour les transferts ultérieurs de données à caractère personnel au départ du pays tiers ou de l’organisation internationale vers un autre pays tiers ou à une autre organisation internationale. Toutes les dispositions du présent chapitre sont appliquées de manière à ce que le niveau de protection des personnes physiques garanti par le présent règlement ne soit pas compromis.

Côté obligations, la loi fait l’objet de modifications assez substantielles et prévoit un mécanisme en cascade afin d’autoriser ou d’interdire un transfert hors UE :

  • soit le transfert bénéficie d’une décision d’adéquation
  • soit de garanties juridiques appropriées (spécialement définies par le règlement)
  • soit de règles d’entreprise contraignantes
  • soit le transfert fait l’objet d’une situation particulière (encore une fois spécialement énumérés)

Encore une fois les transferts hors UE font partie des éléments qui peuvent revêtir un haut niveau de complexité et qui peuvent présenter un haut niveau de risques, et donc qui ne doivent faire l’objet d’une étude juridique spécifique avant d’être mis en oeuvre. Réaliser un transfert qui s’opère en vertu d’une décision d’adéquation peut être très simple à mettre en place – mais encore faut-il avoir étudié la question.

Conclusion

Mettre en conformité les traitements de données personnelles au sein d’une organisation au regard du GDPR est une tâche complexe et longue. Nous avons au travers de cet article à peine abordé le sujet tant les dispositions du règlement sont vastes (ex: le  droit à l’oubli), mais il faut bien commencer quelque part et rester pratique !

Si vous devez mettre en conformité les traitements réalisés au sein de votre organisation il est conseillé de se former au préalable afin de suivre un processus pas à pas de conformité et – de recourir à des logiciels de conformité GDPR qui vous assisteront dans la tâche de mise en place d’un registre.


Commentaires...

Au paragraphe 5, je pense que vous souhaitiez écrire "portabilité" en lieu et place de "probabilité"...

Sinon, merci pour l'article!

Fabien.R

LAURENT BLANDIN

Très intéressant, je regrette que le traitement de documents sur support papier soit peu évoqué dans les différentes publications sur la gdpr, car les imprimantes et surtout les multifonctions représentent dans leur utilisation des risques pour les données personnelles.

Patrice Lallement

merci pour cet excellent article très complet et précis. J'ai toutefois une question concernant le traitement des données. Dans la partie consacrée aux traitements constitués à partir de listes types vous indiquez pour Site Internet : site, newsletter, espace emploi, réseaux sociaux, forum, flux rss ... et j'imagine que l'on peut en ajouter facilement (sondage en ligne par ex). S'agit-il d'un seul traitement (site internet) avec des sous-finalités (newsletter, contact etc.) ou bien est-ce autant de traitements distincts ?

Célia Aphaule

Bonjour,

Je trouve vos articles réellement intéressant et instructif.

Je rédige un mémoire de fin d'études qui analysera l'impact du RGPD sur le marketing client.

Dans le cadre de mes recherches, je souhaiterai avoir plus amples informations sur les sanctions prévues en cas de non-conformité avec le règlement. A savoir, avez-vous eu des avis de chefs d'entreprises concernant ses amendes ? (trouvent-ils ces sanctions trop importantes, peuvent-elles les mettre en difficulté financière ?)

Merci d'avance

MORIN Frédéric

Pour le titre de la partie 5 si je ne me trompe pas, on parle de portabilité des données et non de probabilité, non ?

Thiébaut Devergranne

Merci Frédéric pour m'avoir signalé la coquille ! C'est corrigé

Thiébaut Devergranne

Bonjour Patrice,

Les listes sont données à titre indicatif mais elles sont très utiles pour faire un premier recensement des traitements opérés. La question que vous posez - relativement à la définition des finalités - est complexe car fondamentalement c'est à vous de faire le choix : vous pouvez choisir de faire un traitement générique (ex : CRM), ou créer un traitement qui soit lié à une application (ex : Mailchimp - pour une newsletter), la loi autorise les deux cas. En formation c'est une question qui revient souvent, j'ai fait une vidéo à ce sujet qui vous aidera peut-être : https://youtu.be/qii8W_mV9JQ

Thiébaut Devergranne

En particulier les disques durs qui sont dans les imprimantes qui conservent les données parfois très très très longtemps (ce que peu de personnes savent) !

difficilepourlespetits

L'objectif de l'Europe serait de se venger de Facebook, google et tous ces géants américains que l'Europe n'a pas su créer.

Mais les législateurs ne savent pas ce qu'est une PME...

Au final les vendeurs de tapis se déchainent pour leur vendre leur solution soit disant conforme RGPD.

Richard Lapo

Mais qu'en est-il des mails professionnels récupérés sur un site de pros par exemple ?

Le mail est fourni mais pas de consentement ... Bref, on peut leur envoyer un mail ou pas ?


Les commentaires sont fermés
Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit. Il travaille en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus.

formation RGPD

VOS CGV (gratuit)