Protection des données personnelles : L'impact de la RGPD sur les projets web

Le RGPD : de quoi parle t-on ? 

Le RGPD définit le cadre dans lequel les organisations peuvent traiter les données personnelles. Le 25 mai 2018, toutes les organisations de l'Union Européenne devront s'y conformer, sous peine de se voir infliger des amendes équivalentes à 2 ou 4% du CA mondial. 

Il s'agit d'un règlement européen (règlement UE 2016/679 du 27 avril 2016) qui se substitue à la loi Informatique et Libertés de 1978. Il est d’application directe, c’est-à-dire qu’il ne nécessite pas de transposition en droit interne ou de décret d’application, et deviendra effectif le 25 mai 2018. A cette date, l’ensemble des organisations traitant ou stockant des données à caractères personnelles devront être en conformité.

Son champ d’application est large puisqu’il concerne :

• tout traitement de Données à Caractère Personnel (DCP) d'une organisation située dans l’UE ;
• tout traitement de DCP, effectués par toute entreprise ou administration quelle que soit sa localisation, qui portent sur une offre de biens ou de services ou de suivi de comportement de personnes situées dans l’UE.

Cette deuxième condition concerne ainsi toutes les organisations, en particulier les entreprises, quel que soit leur taille, dans la mesure où celles-ci gèrent les données de leurs collaborateurs, mais aussi de leur clients notamment au travers de leur présence en ligne sur les sites de e-commerce ou les réseaux sociaux.

"Avec la loi Informatique & Liberté, nous sommes déjà prêts" : est-ce vrai ? 

La logique même de la RGPD n’est pas nouvelle puisque les principes relatifs aux données à caractère personnel de la loi de 1978 sont présents. Le règlement introduit en revanche des exigences renforcées.
La loi de 1978 s’attachait essentiellement à garantir un cadre légal pour :

• la collecte loyale et licite des données,
• obliger à déterminer des finalités de traitement qui devaient être explicites et légitimes ;
• la sécurité des données et le droit à l’information, à l’opposition et à l’accès pour les personnes,

• La documentation et la justification de la conformité du traitement : les entreprises qui auparavant devaient rédiger des déclarations ou des demandes d’autorisation à l’autorité de contrôle locale (en France la CNIL), n’auront plus à le faire. Elles auront en revanche l’obligation de tenir un registre des traitements de DCP permettant d’enregistrer tout au long du cycle de vie des données, les informations relatives à leur conformité règlementaires et aux mesures de protections mises en œuvre ;
• Le signalement des violations de données à l’autorité de contrôle sous 72 heures et éventuellement aux personnes concernées en cas de préjudice potentiel ;
• Les concepts de Privacy by design (dès la conception des applications, ces exigences devront être intégrées) et de security by default (la sécurisation par défaut des infrastructures traitant ou collectant des DCP) ;
• L’analyse d’impact pour les traitements critiques (évaluation des risques liés aux traitements des DCP) ;
• La garantie de nouveaux droits des personnes concernées et le renforcement du droit à l’effacement et à l’oubli.

Finalement, si la loi Informatique et Libertés a permis de poser les bases des principes de protection des données personnelles, l’approche du règlement RGPD est profondément revue et surtout, sa déclinaison opérationnelle sera très différente.

Pourquoi un tel buzz autour de ce sujet ?

L’emballement vient surtout du fait que le RGPD fait peser de nouveaux risques pour tout éditeur de site et d'application Web. Les sanctions financières qui avant n’excédaient pas les 150 000 euros deviennent véritablement coercitives et font même peser un risque grave sur les entreprises. Le montant des amendes encourues est sans précédent :

• 2% du CA mondial ou 10 millions d’euros en cas de manquement aux obligations principales ;
• 4% du CA mondial ou 20 millions d’euros en cas de manquement critique.

A cela s’ajoute les montants potentiellement liés aux réclamations et aux demandes d’indemnisation en cas d’actions de groupe ou d’actions individuelles. L’autre risque à prendre en compte pour les entreprises, est le risque image. Dans ce nouveau contexte règlementaire très fort, les probabilités d’atteintes à la réputation sont accrues. On risque même de voir émerger une nouvelle forme de cybercriminalité, liée au chantage numérique avec menaces de révélations publiques.

La RGPD : un sujet complexe, mais impératif à traiter

Le RGPD est un règlement encore jeune. Les notions manipulées sont complexes (données à caractère personnel, finalité, traitement, risques sur les droits et libertés des personnes) et sujettes à interprétation en l’absence préliminaire de jurisprudence. Ces notions doivent donc être appréciées dans le contexte précis des métiers des entreprises.
Au-delà de ça, il y a une organisation nouvelle et transverse à mettre en œuvre à l’intérieur et à l’extérieur de l’organisation. Il faut attribuer les différents rôles aux différents acteurs impliqués, désigner le ou les Data Privacy Officer prévu par le règlement (sorte de chef d’orchestre de la démarche RGPD au sein de l’entreprise, à la croisée des chemins entre l’expert juridique, le technicien informatique, le chef de projet SI et l’auditeur interne), et surtout, parvenir à impliquer tous les acteurs et à trouver la dynamique souhaitée.

En définitive, le RGPD n’est pas une simple modification de processus mais un véritable projet de transformation de l’organisation, qui exige une cartographie exhaustive de l’ensemble des processus impactés, l’intégration du privacy by design et du security by default dans tous les projets importants et surtout un dépassement des obstacles culturels qui pourraient perdurer. Face à ces chantiers, la bonne solution peut être de se faire accompagner.