RGPD, quelles sont les obligations des entreprises en termes de protection de données personnelles ?

Le Règlement Général sur la Protection des Données (« RGPD ») est entré en vigueur depuis le 25 mai 2018. A la différence d’une directive européenne, ce règlement s’est appliqué directement dans tous les Etats de l’Union, sans qu’il soit besoin de le transposer. Il a été voté en vue d’harmoniser au plan européen la législation en matière de protection de données personnelles : un texte identique s’applique depuis cette date dans les 28 Etats membres de l’Union européenne. 

Désormais, toute entité établie en Europe ou amenée à manipuler les données personnelles de personnes se trouvant sur le territoire de l’Union européenne est dans l’obligation de s’y conformer. Les avocats implid en droit du numérique vous présentent dans cet article tout ce qu’il faut savoir sur les obligations des entreprises pour une mise en conformité RGPD.

Une donnée personnelle, qu'est-ce que c'est exactement dans le cadre du RGPD ?

Les organisations qui entrent dans le champ d’application du RGPD ont à leur charge des contraintes plus ou moins fortes en fonction de leur typologie et activité. Une entreprise vendant en ligne à des consommateurs devra ainsi fournir des efforts plus conséquents pour respecter le RGPD qu’une TPE avec deux salariés œuvrant uniquement en B2B. Néanmoins toutes deux sont tenues de s’y conformer.

Le RGPD a pour vocation de protéger les personnes contre une utilisation abusive de leurs données personnelles.

Selon la CNIL (Commission Nationale de l’Informatique et des Libertés : autorité de contrôle française chargée de veiller au respect du RGPD), une donnée personnelle est « une information se rapportant à une personne physique identifiée ou identifiable ». Cette personne peut être identifiée directement (à partir de son nom, son prénom, etc.) mais aussi - et il faut y être attentif - indirectement.

Un numéro de client, un numéro de téléphone, une photo, une plaque d’immatriculation, mais aussi une adresse IP ou une donnée biométrique sont également considérées comme des données personnelles. Cette identification peut être issue d’une seule donnée ou du croisement d’un ensemble de données permettant de remonter jusqu’à une personne physique.

En revanche, ne sont pas concernés les traitements de données relatifs à des personnes morales (dénomination sociale, objet social, numéro de TVA, SIRET, etc.). Il convient dans ce cas de figure de veiller aux données relatives aux représentants des personnes morales qui elles sont soumises au RGPD en ce qu’elles désignent une personne physique (nom, prénom, adresse mail professionnelle nominative, …).

Parmi les données personnelles, certaines se voient accorder plus de protection que les autres : il s’agit des données sensibles c’est-à-dire des données portant atteinte à la vie privée des individus et ne devant pas être divulguées aux personnes n’ayant pas à en connaître.

Parmi elles les données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l'appartenance syndicale, ainsi qu’au traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, aux données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.

Leur traitement est par principe interdit sauf exceptions prévues à l’article 9 du RGPD (en ce compris le consentement de la personne concernée).

Qu'est-ce qu'un traitement de données personnelles ?

Le RGPD n’encadre pas les données personnelles en tant que telles mais leur traitement. Un traitement de données personnelles est une opération, ou un ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé. La notion de traitement a été élargie par le RGPD et couvre désormais : la collecte, l’accès, le stockage, la manipulation, la destruction et la consultation à distance des données.

⚠️ Attention : lorsqu’une entreprise sous-traite à un tiers le traitement de données et même si elle se limite à les consulter, elle réalise un traitement et est dès lors soumise au RGPD.

Pour être licite, le traitement devra s’appuyer sur l’une des bases suivantes : une exécution du contrat, une obligation légale, l’exécution d’une mission d’intérêt public, un intérêt vital, un intérêt légitime. A défaut, si aucune de ces bases légales ne trouve à s’appliquer, seul le consentement de la personne permettra de justifier le traitement envisagé.

Au surplus, le traitement de données personnelles doit s’inscrire dans le cadre d’une finalité déterminée, autrement dit dans un objectif précis. En dehors du caractère déterminé, la finalité doit également être :

• Explicite (énoncée de manière simple et intelligible)
• Légitime au regard de la législation applicable au traitement mis en œuvre

💡 Bon à savoir : le détournement de finalité est sanctionné pénalement !

Enfin, la finalité du traitement permet à l’entreprise de fixer la durée de conservation des données. Ces dernières doivent en effet être conservées pendant la seule durée nécessaire à la réalisation de l’objectif. A l’issue de cette durée, elles devront être supprimées ou anonymisées. Elles peuvent également être archivées de manière intermédiaire si nécessaire.

Des obligations communes à toutes les entreprises 

Le RGPD est venu renforcer l’information des personnes concernées et leurs droits.

Une information renforcée

L’entreprise qui collecte les données s’assure de fournir préalablement à la personne concernée (les collaborateurs, les clients, les fournisseurs…) les informations listées à l’article 13 du RGPD quant au traitement réalisé, aux droits de la personne concernée et à la manière de les exercer concrètement. Cette information doit être adaptée au contexte.

Le respect des droits des personnes concernées (collaborateurs, clients, fournisseurs…)

Les clients, fournisseurs, tout comme les collaborateurs de l’entreprise peuvent notamment demander l’accès à leurs données personnelles, leur rectification et leur suppression. L’entreprise a alors un mois pour répondre à cette requête, sous peine de s’exposer à une sanction.

En pratique, des obligations pour les entreprises, plus ou moins contraignantes selon leur activité

En interne

Dans le cadre de son activité, il est nécessaire pour une entreprise de collecter de nombreuses données personnelles sur ses collaborateurs : leur nom, leur âge, leur adresse, leur famille, leur numéro de sécurité sociale, leur détention du permis de conduire, leurs coordonnées bancaires, leur temps de travail, leur compte épargne temps, etc.

Ces informations ne doivent pouvoir être consultées que par les personnes dont la mission nécessite d’utiliser ces données et habilitées pour ce faire.

Le collaborateur, qu’il soit ou non salarié, doit tout d’abord être informé que ces données sont collectées et connaître la finalité du traitement pour lequel la collecte est opérée. Celle-ci ne doit être ni déloyale, ni excessive.

L’entreprise doit limiter sa collecte de données à ce qui est strictement nécessaire à son fonctionnement (c’est le principe de minimisation). Il n’est pas question par exemple de demander - et encore moins de stocker et d’utiliser - des informations sur les orientations politiques ou sexuelles des collaborateurs ni de surveiller ces derniers de manière trop intrusive.

Enfin, sur demande des personnes dont les données ont été collectées, celles-ci doivent pouvoir être consultées par elles et être modifiées si besoin.

La même vigilance est de mise dans le cadre du recrutement. Seules les données personnelles nécessaires au regard du poste peuvent être collectées et traitées. Les informations concernant les candidats non retenus doivent être supprimées sauf s’ils ont expressément accepté que leur candidature soit conservée dans le fichier de profils potentiels de l’entreprise en vue d’être recontactés ultérieurement pour un autre poste.

En externe

Si les entreprises doivent protéger les données personnelles de leurs salariés, elles sont également dans l’obligation de respecter les données personnelles de leurs clients, prospects et prestataires.

Seules les données personnelles en rapport avec le business doivent être collectées et traitées. Les partenaires/clients doivent être informés de l’utilisation qui est faite de leurs données personnelles (par mail, sur un contrat, etc.).

Les obligations complémentaires du responsable de traitement 

En sus des obligations listées ci-dessus, il convient pour le responsable de traitement de :

Tenir un registre des activités de traitement

Que ce soit pour les données personnelles de ses collaborateurs ou pour les données personnelles de ses clients et fournisseurs, toutes les entreprises ont l’obligation aux termes du RGPD de tenir un registre de leurs activités de traitement. Celui-ci a pour vocation de recenser toutes les activités de traitement de données personnelles faites par l’entreprise et de mentionner notamment pour chaque traitement, sa finalité, les destinataires des données, les éventuels sous-traitants intervenant dans ce traitement (prestataires par exemple), les catégories de données concernées, leur utilisation, la durée de conservation et les moyens de leur sécurisation.

Pour les entreprises de moins de 250 salariés, l’obligation se limite aux traitements suivants :

• les traitements de données réguliers,
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (par exemple les caméras de vidéosurveillance, la géolocalisation des véhicules ou les enregistrements téléphoniques),
• Les traitements de données sensibles notamment celles concernant la santé des collaborateurs.

Pour les entreprises de taille plus importante, le registre doit mentionner tous les traitements de données personnelles, y compris ceux occasionnels ou uniques.

Sécuriser les données détenues

Il s’agit de l’un des axes majeurs du RGPD : la sécurisation physique et logique du système d’information hébergeant les données.

Limiter au strict nécessaire la collecte des données, recenser leur traitement, prévenir les clients et collaborateurs concernés est une bonne chose qui reste pourtant insuffisante si les données ne sont pas suffisamment sécurisées. Le détournement par des tiers de certaines de ces données pourrait en effet générer des dommages conséquents. Il est donc important de mettre à l’abri d’un éventuel détournement les données personnelles disponibles sur supports physiques et de mettre à jour les dispositifs de sécurité informatique.

Le contrôle des droits d’accès au SI, le suivi des identifiants et mots de passe est par conséquent plus que nécessaire et vérifié avec minutie par la CNIL lors des contrôles. D’ailleurs, parmi les sanctions prononcées par la CNIL, de nombreuses condamnations portent sur des manquements relatifs à la sécurité des données.

Nommer un DPO

Le data protection officer (DPO), ou en français le délégué à la protection des données (DPD), est en charge de l’application du RGPD au sein des organisations. Sa désignation est obligatoire pour celles y compris publiques, qui réalisent un suivi régulier et à grande échelle des personnes (les assurances ou opérateurs téléphoniques par exemple) et pour ceux traitant à grande échelle des données sensibles.

Dans les autres cas, la désignation d’un DPO est seulement recommandée par la CNIL.

Réaliser une étude d’impact

Un responsable de traitement doit réaliser une analyse d'impact (autrement appelée « AIPD ») lorsqu'un traitement est susceptible d'entraîner un risque élevé pour les droits et libertés des personnes concernées.

Afin d'évaluer la probabilité qu’un traitement présente un "risque élevé" pour les droits et libertés des personnes physiques, le responsable de traitement doit :

• Vérifier si le traitement remplit un ou plusieurs des critères listés par le G29 (devenu Comité Européen de la Protection des Données / CEPD) ou est susceptible de bénéficier d’une exception à l’obligation d’effectuer une AIPD 
• Vérifier si le traitement correspond à l’un des traitements listés par la CNIL comme nécessitant une AIPD.

Pour en savoir plus sur l’analyse d’impact sur la vie privée (AIPD), consultez notre livre blanc « RGPD, je me mets en conformité ».

Quels risques en cas de non-respect des obligations ?

En l’absence de respect des obligations d’une entreprise au regard du RGPD, plusieurs niveaux de sanctions sont mobilisables par la CNIL :

• L’avertissement : lorsque la CNIL estime, avant que le traitement de données soit opérationnel, que celui-ci ne sera pas conforme au RGPD
• Le rappel aux obligations légales (dispositif mis en place depuis 2022)
• La mise en demeure de se mettre en conformité dans un délai imparti. Ces mises en demeure peuvent être publiques. En 2022, la CNIL a effectué 147 mises en demeure dont 22 publiques
• La procédure de sanction simplifiée avec une amende administrative de 20 000 euros maximum et une astreinte de 100 euros par jour de retard dans la mise en conformité au RGPD
• La sanction ordinaire (possiblement publique) qui peut s’élever jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise. En 2022, la CNIL a prononcé 21 sanctions
• Les sanctions pénales existant antérieurement et qui, contrairement à ce que certains pourraient croire, n’ont pas disparues au profit des amendes administratives lesquelles peuvent aller jusqu’à 300 000 euros et 5 ans d’emprisonnement