Le Règlement général sur la protection des données, abrégé en RGPD, a pour objectif de poser le cadre du traitement des données personnelles au sein de l’Union européenne (UE). Il permet une harmonisation de l’environnement juridique autour de la gestion des données personnelles collectées par les organisations, qu’elles soient professionnelles ou non, publiques ou privées, de tous secteurs d’activités. En France, cette législation vient en complément de la Loi informatique et libertés, datant de 1978. Cette dernière a aussi pour objectif de protéger la vie privée de tous les citoyens amenés à communiquer leurs données personnelles.

Pour bien comprendre à quoi se réfère ce règlement, il faut savoir qu’une donnée personnelle est définie comme étant une information se rapportant à une personne physique, identifiée ou identifiable. Si certaines données permettent une identification directe, comme le nom et le prénom, par exemple, il existe aussi des données qui rendent possible une identification indirecte. Il peut alors s’agir d’informations diverses, d’un numéro client à une image, en passant par des données propres au physique ou à la génétique.

Toutes les opérations qui portent sur ces renseignements sont considérées comme du traitement de données personnelles. Il peut alors s’agir de :

• collecte,
• conservation,
• enregistrement,
• consultation ou utilisation,
• organisation, adaptation ou modification,
• communication ou mise à disposition.

Pour tous les organismes installés en UE, ou dont l’activité concerne spécifiquement les résidents de ce territoire, la conformité au RGPD est obligatoire. Ce règlement cible également les entreprises sous-traitantes, amenées à traiter les données personnelles pour le compte d’autres. Il s’agit notamment des agences de communication, des hébergeurs de sites web, etc. Par ailleurs, les organismes sont tenus de respecter le RGPD, que le traitement de données personnelles soit informatisé ou basé sur des fichiers papier.

En France, en cas de violation du RGPD, la Commission nationale de l’informatique et des libertés (CNIL) peut prendre des mesures concernant l’organisme en non-conformité avec le cadre légal.

Différents niveaux d’intervention de cette entité régulatrice sont envisageables :

• simple rappel à l’ordre,
• injonction de mise en conformité du traitement, parfois sous astreinte,
• limitation d’un traitement,
• suspension des flux de données,
• injonction de respect des demandes d’exercice des droits des personnes, parfois sous astreinte,
• amende administrative.

En cas d’amende, la sanction maximale représente un montant de 20 millions d’euros, ou 4 % du chiffre d’affaires annuel mondial pour les sociétés.

Un traitement de données doit obligatoirement avoir un objectif. Cela ne peut pas se faire « au cas où ». La ou les finalités précises sont le plus souvent la connaissance du client et un traitement plus efficace. Par ailleurs, des données collectées pour une ou plusieurs finalités ne peuvent absolument pas être utilisées dans un autre objectif.

Pour les entreprises, il est obligatoire de ne conserver les données que de façon temporaire. Ces dernières sont alors supprimées après un temps de conservation défini. Il est aussi envisageable qu’elles soient anonymisées au bout d’un certain temps, mais conservées dans un objectif statistique.

Pour être en conformité avec le RGPD, tous les organismes sont tenus de mettre en place des mesures de protection des données. Cela concerne l’accès aux informations. Les entreprises se doivent, en ce sens, de sécuriser les locaux de stockage par des mesures concrètes (contrôle de l’accès, protection contre les incendies, etc.). Le système d’information est également concerné par la sécurisation (cybersécurité, gestion des habilitations, etc.). L’objectif est que les données ne puissent ni être consultées sans autorisation, ni être endommagées, ni être modifiées.

Lorsque vous collectez des données, vous devez impérativement communiquer certaines informations cruciales à la personne concernée, à commencer par le nom du responsable du fichier. Indiquez également dans quel but vous traitez les données.

Précisez sans ambiguïté lors de la collecte quelles réponses sont obligatoires et lesquelles sont facultatives.

Donnez les informations nécessaires quant aux droits d’accès, de rectification, d’interrogation et d’opposition, mais aussi concernant la transmission des données. Enfin, chiffrez précisément la durée de conservation des données.

L’entreprise doit obtenir un accord préalable des clients avant de traiter leurs informations personnelles.

S’il existe un risque pour les droits et libertés des personnes dans le cadre du traitement des données, la réalisation d’une analyse d’impact devient une obligation. Appelée analyse d’impact sur la vie privée, ou PIA, l’étude vise à évaluer le risque réel. Elle tient compte, pour cela, de sa gravité et de sa nature : informations sensibles, évaluation des personnes, réalisation d’un fichier à la finalité précise ou encore transferts de données hors UE. Si un risque élevé est mis en évidence, l’entreprise informe la CNIL.

Pour toutes les entreprises de plus de 250 salariés, il est obligatoire de mettre en place un registre consignant tous les traitements de données.

Les entreprises employant moins de 250 salariés sont, elles, tenues de n’inscrire que certains traitements dans leur registre. Il s’agit des traitements non occasionnels, ayant trait à des données dites sensibles ou comportant des risques pour les droits et libertés des personnes concernées.

Il faut bien distinguer le responsable de traitement du délégué à la protection des données. Le premier est chargé de définir les finalités du traitement de données et les moyens mis en œuvre. Il peut s’agir d’une entreprise, d’une autorité publique, d’une collectivité, d’une personne, etc. Quant au second, il agit comme un conseiller sur le sujet de la protection des données. Il est désigné par le responsable de traitement lui-même et s’assure de la conformité au RGPD au sein de l’organisme. Il peut prendre la forme d’une personne physique (un collaborateur interne, un consultant, etc.) ou d’une personne morale (un cabinet d’avocats ou de conseil).

Désigner un délégué à la protection des données n’est obligatoire que dans 3 cas de figure :

• pour les autorités et organismes publics,
• pour les organismes amenés à réaliser à grande échelle un suivi régulier et systématique des personnes,
• pour les organismes traitant à grande échelle des données sensibles ou ayant trait à des condamnations pénales et infractions.

Pour toutes les autres entreprises, la désignation de ce délégué reste fortement recommandée par la CNIL.

Les missions du délégué à la protection des données visent toutes à la mise en place de bonnes pratiques relatives au RGPD.

Il a d’abord pour rôle d’apporter information et conseil au responsable du traitement ou à son sous-traitant quant aux obligations prévues par le règlement. Il tient également compte des contraintes légales découlant d’autres règlements et textes de loi relatifs à la protection des données.

Il intervient dans le contrôle du respect du RGPD et des autres dispositions légales liées. Conscient des enjeux du RGPD, il surveille notamment le fait que l’entreprise remplit bien ses devoirs de sensibilisation et de formation de tous les collaborateurs intervenant dans les opérations de traitement.

Le délégué à la protection des données fournit également des conseils quant à l’analyse d’impact, si cela lui est demandé.

Enfin, il collabore avec les autorités de contrôle, en toute transparence. Il est un point de contact essentiel.

La formation du personnel en matière de RGPD n’est pas une obligation légale en tant que telle. Toutefois, le Règlement général sur la protection des données prévoit la mise en place d’une culture de protection des données dans l’organisme. Cela suppose évidemment que les personnes impliquées dans le traitement des informations bénéficient des connaissances adéquates. La formation du personnel est alors une condition sine qua non à la mise en place d’un tel environnement.

La formation RGPD des collaborateurs intervenant dans la gestion des données présente plusieurs intérêts. Dans un premier temps, les objectifs de la formation sont de limiter le risque de non-respect du RGPD, grâce au développement des compétences en la matière. Cela évite des sanctions à l’organisme, tout en favorisant un lien de confiance avec les personnes fournissant leurs données. Dans un deuxième temps, si nécessaire, avoir fait suivre une formation aux employés témoigne de la mise en place de bonnes pratiques dans l’entreprise. Cette donnée est prise en compte par la CNIL en cas de manquement aux obligations : la sanction prononcée pourrait ainsi être allégée.

Proposer des modules d’e-learning à tous les employés permet de former le plus grand nombre efficacement. Néanmoins, les employés directement impliqués dans le processus de traitement des données personnelles ne présentent pas les mêmes besoins que les autres. En faisant appel à un organisme de formation pour un programme complet, chaque entreprise a la possibilité de proposer des modules adaptés au profil de chacun. Du pratique mobile learning aux classes virtuelles avec professeur, les possibilités sont multiples.

Au-delà de ces programmes, la mise en place d’une charte informatique rappelant les règles à l’ensemble des employés est recommandée. Celle-ci doit, par exemple, évoquer les interdictions et les obligations, les sanctions encourues et la marche à suivre en cas de violation de données personnelles. Un rappel régulier des règles, par le biais de journées de sensibilisation ou de campagnes de mailing, constitue un bon complément.

En raison de l’importance de leur rôle pour assurer le respect du RGPD, des parcours de formation sont spécialement conçus pour les futurs DPO. Là encore, la formation n’est en rien obligatoire, elle reste néanmoins primordiale pour occuper ce rôle de premier plan avec expertise.

Du commerce en ligne à l’administration publique, de nombreux organismes sont aujourd’hui amenés à traiter les données personnelles dans le respect des RGPD. Cela suppose un ensemble d’obligations et requiert un système de formation solide pour les employés concernés. Se doter d’une plateforme LMS (Learning Management System) aide alors à relever les défis de la protection des données, en donnant à chacun les clés pour toujours agir en conformité avec le règlement.