GPDR: Qu'est-ce que cela change ?
26 avril 2017
Lors du salon EcommerceXpo qui a eu lieu le lundi 27 et le mardi 28 mars 2017 à Liège, Céline Wulleman (lesJuristes) a donné une conférence sur les impacts concrets de la GDPR. Cette conférence a été synthétisée dans un whitepaper que nous vous proposons aujourd'hui.
Comme vous le savez déjà sûrement, l’Union européenne a adopté une nouvelle réglementation en matière de protection des données personnelles qui sera applicable à partir du 25 mai 2018. Cette nouvelle réglementation prend la forme d’un Règlement : le Règlement Général sur la Protection des Données (plus connu sous le nom de ‘GDPR’ en anglais). Ce règlement est destiné à remplacer une ancienne directive de 1995 qui avait été adoptée avant l’apparition des réseaux sociaux, du Big Data, du Cloud computing et de l’internet des objets. Cette directive a été transposée en droit belge dans la loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel (‘Loi Vie Privée’).
A l’heure où les données personnelles sont récoltées massivement sur internet et font l’objet d’un business à part entière, la directive n’était plus suffisante pour protéger efficacement la vie privée des internautes.
Alors que la directive laissait une marge de manoeuvre aux Etats membres dans l’application des règles au niveau national, le Règlement va s’appliquer de manière uniforme partout en Europe. Les règles seront donc identiques pour tous les pays de l’Union européenne. Dans certains cas, le Règlement est également susceptible de s’appliquer à des entreprises situées en dehors de l’Union européenne.
En bref, les nouvelles règles sont plus sévères, les contrôles sont renforcés et les amendes sont plus lourdes.
Concrètement, qu’est-ce que cela change ? Et pourquoi cela vous concerne-t-il en tant que commerçant en ligne ? Nous abordons ici les grands changements introduits par le Règlement.
1. A qui s’applique le règlement ?
Vous devez respecter le règlement si dans le cadre de votre activité vous récoltez des données personnelles sur vos clients. Une donnée personnelle, c’est toute information qui permet d’identifier directement ou indirectement une personne physique. C’est une notion qui est donc très large. Par exemple, un nom, un prénom, une adresse, un numéro de téléphone, un numéro de compte en banque, une plaque d’immatriculation, etc. sont des données personnelles. Une adresse IP est également considérée comme une donnée personnelle. On peut également identifier quelqu’un grâce à une combinaison de données. Par exemple, des identifiants en ligne (un nom d’utilisateur et un mot de passe) sont considérés comme des données personnelles s’ils permettent d’identifier la personne qui se trouve derrière.
Au niveau territorial, le Règlement s’applique à toutes les entreprises qui traitent des données personnelles de personnes situées dans l’Union européenne. Auparavant, la Directive ne s’appliquait qu’aux entreprises établies dans l’Union européenne. Désormais, le Règlement s’applique également aux entreprises qui ne sont pas établies dans l’Union européenne mais qui offrent des biens ou des services à des personnes situées dans l’UE (même gratuitement) ou qui tracent leur comportement (par exemple, si vous êtes un réseau social). Grâce à son champ d’application extraterritorial, le nouveau Règlement s’applique désormais aussi aux géants de la Silicon Valley, tels que Google, Amazon, Facebook, etc.
En résumé : Si vous vendez des produits ou proposez des services sur internet à des consommateurs situés dans l’Union européenne et que dans ce cadre-là, vous récoltez des données personnelles, vous devez respecter le Règlement. C’est pour cela qu’en tant que commerçant en ligne, vous êtes soumis aux nouvelles règles.
2. Quelles sont vos obligations ?
Dès l’instant où vous récoltez des données personnelles, vous avez un certain nombre d’obligations. Le Règlement reprend les anciennes obligations de la directive tout en ajoutant de nouvelles.
2.1. Transparence et information générale
Un principe de transparence sous-tend toute la réglementation. Lorsque vous collectez des données personnelles, vous devez toujours le faire de manière transparente, c’est-à-dire que vous devez informer les personnes concernées dans un langage clair et compréhensible.
Vous devez préciser quels types de données sont collectées, à quelles fins, pendant combien de temps ces données vont être conservées, à qui les données peuvent être transmises et quels sont les droits de vos clients par rapport à leurs données.
Toutes ces informations doivent se trouver dans un document disponible sur votre site internet qui doit pouvoir être consulté et sauvegardé à tout moment par vos clients. Typiquement, on parle d’un ‘Privacy Statement’ (ou d’une ‘Charte Vie Privée’ en français). Idéalement, ce document doit être séparé de vos conditions générales de vente pour plus de clarté.
2.2. Obtenir le consentement des personnes concernées
Informer ne suffit pas, il faut également que vous ayez obtenu le consentement préalable de vos clients, sauf si les données demandées sont strictement nécessaires à l’exécution du contrat (par exemple, dans le cadre d’un contrat de vente en ligne, les données bancaires du client ou l’adresse de livraison).
La Règlement prévoit également d’autres fondements légaux à la collecte des données.
La directive autorisait un consentement implicite. Par exemple, des conditions générales de vente comprenant une section sur la vie privée et consultables sur votre site internet suffisaient. Désormais, le Règlement exige un consentement « libre, spécifique, univoque et éclairé ». Cela signifie que la personne concernée doit donner expressément son consentement au traitement de ses données. Le nouveau système est donc un système d’opt-in. Pour respecter cette exigence, vous pouvez par exemple prévoir une « checkbox » à la fin du processus de commande qui renvoie à votre Charte Vie Privée et qui doit être cochée par le client.
2.3. Assurer la sécurité et la légalité du traitement des données
Dès l’instant où vous récoltez des données personnelles, vous devez mettre en place des mesures techniques et organisationnelles pour sécuriser au maximum les données et respecter la réglementation. Vous pouvez vous-mêmes choisir ces mesures en fonction de la nature des données, de la quantité de données récoltées, des finalités du traitement ou des risques potentiels en cas de fuite, de perte ou de vol des données.
Les mesures techniques sont des mesures au niveau du système IT de l’entreprise qui permettent par exemple de limiter l’accès aux données en interne ou de chiffrer les données. Les mesures organisationnelles sont des mesures propres à la gestion des données en interne. Cela peut consister en la rédaction d’une politique interne de traitement des données ou dans une formation du personnel de l’entreprise.
2.4. Tenir un registre
Il s’agit d’une nouveauté du Règlement. Les entreprises qui traitent des données personnelles sont obligées de tenir un registre des activités de traitement. Cette obligation s’applique aux grandes entreprises (qui emploient 250 personnes ou plus) et aux plus petites entreprises qui traitent régulièrement des données personnelles dans le cadre de leur activité.
Le registre doit mentionner toutes une série d’informations, comme le nom et les coordonnées du responsable du traitement, les finalités du traitement, les personnes concernées, les données concernées, les personnes à qui les données vont être transférées, les mesures de sécurité mises en place, etc.
Le registre peut se présenter sous une forme électronique.
2.5. Obligation spéciale d’information en cas de violation des données (‘data breaches’)
En cas de problème avec les données, par exemple en cas de fuite, de perte, de vol, de destruction des données (accidentellement ou suite à une intrusion non-autorisée dans le système informatique de l’entreprise), le responsable du traitement doit informer l’autorité de contrôle dans les 72 heures après avoir eu connaissance du problème
L’autorité de contrôle est l’institution qui est chargée au niveau national de vérifier si les entreprises respectent bien le Règlement. Elle peut donc effectuer des contrôles et prendre des sanctions. En Belgique, c’est la Commission de la Protection de la Vie Privée (CPVP) qui remplit ce rôle.
Le responsable du traitement devra également informer les personnes concernées de la violation de leurs données lorsque celles-ci encourent un risque important (‘high risk’) pour leur vie privée. La violation pourrait par exemple entraîner un vol d’identité, une discrimination, une atteinte à leur réputation, une perte financière, etc.
3. Responsabilisation des responsables de traitement (‘Accountability’)
Le Règlement introduit une responsabilisation plus accrue des entreprises.
Premièrement, les entreprises qui récoltent des données personnelles ne doivent plus faire de déclaration préalable auprès de la Commission de la Protection de la Vie Privée mais elles doivent pouvoir prouver à tout moment qu’elles respectent les nouvelles règles en cas de contrôle. D’où l’intérêt notamment de tenir un registre.
Ensuite, le Règlement introduit deux nouveaux concepts : la protection des données dès la conception (‘Privacy By Design’) et la protection des données par défaut (‘Privacy By Default’). D’une part, les entreprises doivent tenir compte de la vie privée de leurs clients dès la conception d’un nouveau produit ou service. Elles doivent donc développer des produits ou des services respectueux par nature de la vie privée. D’autre part, elles doivent spontanément veiller au respect de la vie privée de leurs clients sans attendre que ceux-ci le leur demandent expressément. Par exemple, elles doivent paramétrer leur site internet de la manière la plus « privacy-friendly » possible.
4. Obligation de nommer un Délégué à la Protection des Données
Dans certains cas, l’entreprise doit nommer un délégué à la protection des données (on parle de ‘Data Protection Officer’ ou ‘DPO’ en anglais). Cette obligation s’applique aux entreprises qui traitent des données personnelles à large échelle et qui tracent systématiquement le comportement des internautes. Les autres entreprises ont toutefois toujours la faculté de nommer un DPO. Dans tous les cas, c’est vivement conseillé.
Le DPO est une personne physique ou morale experte dans le domaine de la protection des données. Il a une mission de conseil, de contrôle et de point de contact avec l’autorité de contrôle. Il surveille donc au sein de l’entreprise que les données soient traitées de manière conforme à la réglementation. Cette mission peut être exercée par un employé de l’entreprise (par exemple, un juriste interne) ou elle peut être déléguée à un partenaire externe dans le cadre d’un contrat de service.
5. Puis-je transférer les données à des partenaires situés en dehors de l’UE ?
Oui à condition que le pays en question offre un niveau de protection des données jugé adéquat, c’est-à-dire équivalent à celui qui est garanti au sein de l’UE. C’est la Commission européenne qui détermine quels sont les pays qui offrent un niveau de protection adéquat. Elle publie régulièrement sur son site internet une liste des pays offrant des garanties suffisantes. Si vous souhaitez transférer des données vers un pays tiers qui n’est pas repris dans la liste, vous pouvez le faire, mais vous devez alors « recréer » le cadre de protection adéquat dans votre contrat avec votre partenaire, ou vous devez demander à vos clients leur accord explicite pour le transfert.
6. Droits des personnes concernées
Vos clients restent propriétaires de leurs données, ils ont donc des droits par rapport aux données qu’ils divulguent. Le Règlement reprend les droits qui étaient déjà consacrés dans la directive mais il ajoute deux nouveautés: le droit à l’oubli et le droit à la portabilité des données.
- Droit d’accès : La personne concernée a le droit de vous demander à tout moment si ses données ont été collectées. Si oui, vous devez être en mesure de lui communiquer certaines informations: quelles données sont concernées, à qui ces données sont transmises, combien de temps elles sont conservées et quels sont ses droits. Il peut également vous demander de lui fournir une copie de ses données dans un format électronique.
- Droit de rectification : Les données fausses ou incomplètes doivent pouvoir être corrigées ou complétées à tout moment sur simple demande de la personne concernée.
- Droit à la limitation du traitement : Dans certains cas, la personne concernée peut demander une limitation du traitement de ses données. Cela signifie que les données en question doivent être « marquées » dans votre système informatique et qu’elles ne peuvent plus être utilisées par l’entreprise pendant un certain laps de temps.
- Droit à l’effacement des données (ou ‘droit à l’oubli’) : Dans certains cas prévus par le règlement, la personne concernée a le droit d’exiger que ses données soient effacées. Il suffit pour cela qu’elle retire sont consentement et qu’il n’y ait pas d’autre fondement légal au traitement. Dans ce cas, vous avez l’obligation de supprimer les données sans délai déraisonnable. A titre d’illustration, le droit à l’oubli peut être invoqué pour demander à Google d’effacer tout lien revoyant vers une information personnelle qui se trouve en ligne. Il existe toutefois un certain nombre d’exceptions à cette obligation.
- Droit à la portabilité des données : Lorsque le traitement des données est automatisé et qu’il est fondé sur le consentement de la personne ou qu’il est nécessaire à l’exécution d’un contrat, la personne concernée peut vous demander que ses données lui soient transmises dans un « format structuré, couramment utilisé et lisible par machine ». Dans certains cas, elle peut même demander au responsable du traitement qu’il transmette lui-même les données au nouveau responsable de traitement. Par exemple, un utilisateur Facebook pourrait demander à Facebook de transmettre toutes ses données à un autre réseau social, ou un client de l’entreprise Engie pourrait demander à Engie de transmettre ses données à un autre fournisseur de gaz ou d’électricité.
Le droit à la portabilité des données à pour but de redonner une certaine maitrise aux individus sur leurs données. Il consacre à la fois les principes d’accessibilité, de transparence et d’effacement des données.
7. Sanctions
L’autorité de contrôle (en Belgique, la Commission de la Protection de la Vie Privée) peut mener des enquêtes, faire des contrôles et vous adresser des avertissements si elle constate que vous n’êtes pas en règle. Les particuliers peuvent également porter plainte auprès de l’autorité de contrôle. En cas de problème majeur, elle peut assigner l’entreprise en justice.
Si vous n’êtes pas en règle, vous risquez des sanctions. Ces sanctions sont classées par type de violation au Règlement. Pour un certain nombre de violations, vous risquez des amendes pouvant aller jusqu’à 2% du chiffre d’affaire mondial annuel de l’entreprise ou jusqu’à 10 millions d’euros. Pour les violations les plus importantes, le Règlement prévoit des amendes pouvant aller jusqu’à 4% du chiffre d’affaire mondial annuel de l’entreprise ou jusqu’à 20 millions d’euros.
CONCLUSION
Vous avez eu ici un premier aperçu des règles les plus importantes du nouveau Règlement Vie Privée. L’UE a voulu s’attaquer à l’un des plus grands challenges de notre siècle, à savoir comment protéger la vie privée des internautes dans un monde où les données de chacun circulent sur la toile et ont une véritable valeur marchande (ne dit-on pas d’ailleurs : « Si c’est gratuit, c’est que c’est vous le produit » ?). Le Règlement met en place des « garde-fous » pour assurer plus de transparence et redonner aux individus la maitrise de leurs données.
Cependant, le Règlement soulève déjà de nombreuses questions sur la manière de respecter les règles en pratique. Par exemple, quel type de profil remplit les qualités d’un DPO ? En effet, on peut trouver beaucoup de formations en ligne qui débouchent sur l’obtention d’un « certificat » d’aptitude à la fonction de DPO mais aucune institution officielle n’a été agréée. Il faudra sans doute attendre quelques années avant d’avoir des précisions de la part de la Cour de justice de l’Union européenne. D’ici là, les pratiques en ligne auront sans doute déjà évolué et un nouveau cadre légal sera nécessaire.
La question de l’exécution (‘enforcement‘) du Règlement se pose également. Les autorités de contrôle ont-elles des effectifs suffisants pour contrôler le respect du Règlement ? Quels types d’entreprises seront principalement visés par les contrôles ? Quelles seront les sanctions prises? Seul l’avenir nous le dira.
En attendant, il est essentiel de bien comprendre le contenu du Règlement et de se plier aux nouvelles règles dans la mesure du possible. Vous pouvez vous y aider en faisant appel à des spécialistes en la matière, tant sur le plus juridique que technique. La Commission de la Protection de la Vie Privée prévoit également de publier des guidelines sur la manière d’interpréter les nouvelles règles.
Encore des questions?
En tant que membre de la FeWeb, vous pouvez faire appèl au Legal Line pour toutes vos questions juridiques: legal.line@feweb.be
Cet article est rédigé par: