Plusieurs années se sont écoulées depuis l’entrée en vigueur du Règlement Général sur la Protection des Données (n°2016/679), le 25 mai 2018. Nouvel « or noir » du XXIè siècle grâce à l’avènement du numérique et d’Internet, les plus grandes entreprises ont exploité pendant deux décennies les données personnelles des utilisateurs de leur plateforme, souvent récoltées et utilisées sans leur consentement, et bien souvent sans même qu’ils n’en soient informés.
Suite à une prise de conscience des dangers du web et à la méfiance grandissante des utilisateurs envers ces entreprises (notamment les GAFAM – Google, Apple, Facebook, Amazon, Microsoft), le RGPD est né. Objectif : mettre en place une règlementation pour garantir le respect de la vie privée et la protection des données personnelles des citoyens dans le monde numérique, et mieux réguler cette récolte de données massive opérée par les géants du web.
Applicable à toutes les entreprises traitant des données personnelles depuis le 25 mai 2018, le RGPD a imposé de nombreuses obligations aux entreprises pour redonner plus de pouvoir aux utilisateurs concernant l’utilisation qui est faite de leurs données.
Concrètement, qu’est-ce qui a été mis en place ?
-
Pour les utilisateurs :
Le RGPD a accordé de nombreux droits aux utilisateurs pour leur permettre de se réapproprier leurs données : droit d’accès, droit de modification, droit d’opposition, droit de suppression de leurs données pour les principaux. Ces droits permettent à toute personne physique de contacter n’importe quel organisme traitant des données personnelles à son sujet et de demander, selon les droits : d’avoir accès à la liste complète des données collectées à son sujet, de pouvoir les modifier ou les supprimer, ou encore de pouvoir s’opposer à ce que les données soient utilisées pour une certaine raison (par exemple refuser qu’elles soient utilisées à des fins de démarchage commercial).
-
Pour les entreprises :
Au-delà de mettre en place des solutions externes (notamment via des moyens de contact) et une procédure interne permettant de répondre aux demandes des utilisateurs, plusieurs obligations incombent aux entreprises. Cette liste n’est évidemment pas exhaustive mais reprend les idées majeures du RGPD et son principal objectif : remettre l’utilisateur au cœur de la gestion de ses propres données personnelles.
Le premier changement imposé par le RGPD concerne le consentement. Si le consentement n’est pas la seule possibilité pour pouvoir légalement traiter des des données personnelles, il reste nécessaire pour certains usages, notamment en matière de démarchage commercial. Chaque service en ligne se doit de demander le consentement d’une personne via une action positive (c’est ce qu’on appelle l’opt-in, par exemple une case à cocher par l’utilisateur) pour pouvoir collecter des informations personnelles à des fins de prospection commerciale. Dans ce cas, c’est ce qui permet notamment au responsable de traitement du site internet de pouvoir prouver que l’utilisateur a bien donné son consentement à cette fin. A savoir que chaque traitement des données doit être consenti séparément, c’est-à-dire qu’il faudra une action positive pour chacun des consentements que l’entreprise souhaite recueillir (publicité ciblée, démarchage, etc.).
Le second changement majeur concerne la collecte des données elles-mêmes. Le consentement ne suffit pas toujours pour permettre de récolter n’importe quelle donnée sur un utilisateur. Ainsi, la collecte des données doit être proportionnelle à l’usage qui en est fait : le RGPD impose en effet que les données récoltées soient « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». Les entreprises doivent s’assurer qu’elles ne collectent que les données qui leur semble nécessaires par rapport à l’usage qu’elles souhaitent en faire. Par exemple, il est interdit de récolter des données de santé (dites « sensibles ») si l’entreprise n’en a aucune utilité. Tout repose ici sur la pertinence et donc la justification : si l’entreprise peut correctement justifier qu’elle a besoin de collecter ce type de données pour une finalité précise de son activité, alors elle pourra légalement les collecter, sans forcément avoir besoin du consentement explicite de la personne concernée.
De cette idée découle des durées de conservation limitées des données, qui sont désormais obligatoires et qui doivent être documentées par l’entreprise. Si la collecte et l’utilisation de données personnelles doit pouvoir être justifiée par l’entreprise, la durée de leur conservation au sein des bases de données de l’entreprise doit pouvoir l’être également. Chaque type de données collectées doit donc forcément avoir une « date de péremption » prévue par l’entreprise, notamment en matière RH où les données des salariés doivent être conservées pendant une durée précise définie par le code du travail.
Enfin, le dernier changement majeur concerne les obligations en matière de sous-traitance. Fortement utilisée dans le secteur technologique, le RGPD a fortement renforcé les obligations des entreprises faisant appel à des sous-traitants dans le cadre de leurs activités, notamment en obligeant l’entreprise à s’assurer que l’intégralité de ses sous-traitants respectent les mêmes obligations qu’elle, en matière de protection des données comme au niveau de ses obligations contractuelles. A défaut, elle sera responsable des manquements de ses sous-traitants. De nombreux droits découlent de cette obligation, notamment celui de pouvoir faire un audit de ses sous-traitants pour s’assurer de leur respect à ces obligations.
La désignation d’un DPO permet de faire respecter toutes ces règles. Obligatoire dans certains cas, elle est dans tous les cas recommandée dès lors que l’entreprise récolte des données personnelles, quelles qu’elles soient.
Et la dématérialisation des processus RH dans tout ça ?
Le RGPD rend-il tout ça trop compliqué face à l’utilisation du papier ?
À partir du moment où une entreprise collecte et traite des données à caractère personnel sur un citoyen européen, elle est soumise au RGPD, qu’elle gère des documents papier ou dématérialisés. Finalement, la dématérialisation des documents et plus précisément des documents salariés ne change pas grand-chose face aux obligations RGPD des entreprises, puisque le traitement se fait de la même façon : consentement généralement non obligatoire, données récoltées proportionnelles à leur utilité pour l’entreprise, durées de conservation similaire.
La seule chose qui change réellement en matière de dématérialisation, c’est le format utilisé et donc la conservation des documents dans des conditions permettant de garantir leur intégrité. L’intégrité consiste à pouvoir vérifier que les informations contenues dans le document n’ont pas été modifiées ou ne se sont pas détériorées (notamment par l’usage d’un format de fichier devenu obsolète). Il faut donc utiliser un format permettant de garantir la pérennité du document à travers les évolutions technologiques, afin de pouvoir le conserver aussi longtemps que les durées de conservation le nécessitent. En général, le format le plus utilisé est le PDF (ou PDFA dans sa version la plus sécurisée), car il s’agit d’un format pérenne et non modifiable. Dans le meilleur des cas, le document peut également être archivé auprès d’un organisme dédié à l’archivage pour garantir son intégrité pendant toute la durée nécessaire, gage de sécurité supplémentaire. Il n’y a donc aucune raison pour que le RGPD soit un frein au développement de la dématérialisation de document.
Au-delà du RGPD, il ne faut pas oublier que les règles en matière de protection des données personnelles évoluent régulièrement car il s’agit d’un monde en perpétuel mouvement. L’invalidation du Privacy Shield du 16 juillet 2020 a de nouveau bousculé les normes en la matière, en considérant que les Etats-Unis n’accordaient pas une protection suffisante concernant les données personnelles des citoyens européens. Jusque-là, le Privacy Shield faisait office de « bouclier » RGPD en reprenant certaines de ses mesures protectrices tout en en oubliant d’autres, ce qui ne semble plus suffisant pour la Cour de Justice de l’Union Européenne désormais. Les transferts de données hors UE sont donc menacés (et ce n’est pas la première fois que cet accord est remis en question !) et les nombreux sites à héberger des données de citoyens européens sur des serveurs américains sont désormais en difficulté car ils n’ont, à l’heure actuelle, plus le droit de stocker leurs données sur ces serveurs.
Ces nouvelles exigences et demandes de l’État vont créer de nouveaux marchés ainsi que de nouvelles compétences qui seront capables de venir en aide aux entreprises et aux utilisateurs. La présence de la CNIL sera là dans le but de rassurer les sociétés lors de la mise en place du règlement. Il sera aussi possible pour ces dernières de s’appuyer sur les “bonnes pratiques” déjà mises en place dans les groupes s’occupant de données sensibles.
Cet article ne renseigne pas toutes les informations sur le RGPD et nous vous invitons à vous renseigner en fonction des caractéristiques de votre entreprise afin de compléter ce que vous avez pu apprendre ici avant l’application de cette loi.