Le Règlement Européen sur la Protection des Données Personnelles sera en vigueur en mai prochain. Face à ce nouveau règlement, qui renforce le droit des particuliers, les entreprises doivent se tenir prêtes avec des logiciels et des systèmes informatisés conformes.
Comment se préparer au RGPD en tant qu’éditeur de solution de billetterie ? Quels sont les points importants à ne pas manquer et comment s’assurer de la conformité de son produit ?
Lise Koroma, avocate du cabinet Hoche Société d’Avocats était présente lors de la rencontre du 5 mars dernier, organisé par MyOpenTickets et Infocert pour les acteurs de la billetterie sur le sujet du RGPD et NF525 ou équivalent.
Le RGPD est un règlement de l’Union Européenne qui va rentrer en vigueur le 25 mai 2018 et qui a vocation à régir toutes les questions relatives aux données personnelles.
Le règlement définit la donnée personnelle comme « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une personne physique identifiable une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. » Cette définition est très large car elle concerne le nom d’une personne, son prénom, une adresse IP, un numéro d’identification, des informations relatives à un état de santé physique, des données financières, etc…
Les données personnelles concernent également toutes les informations d’une entreprise comme les salariés d’une société, les candidats à un emploi, ainsi que les clients, les partenaires, les fournisseurs et les sous-traitants.
Attention : Les données personnelles englobent en réalité toutes les données concernant un client final, à partir du moment où une personne se connecte sur un site Internet.
Le RGPD s’attache à réguler tous les traitements effectués sur des données personnelles par une personne physique ou morale, comme la collecte de données, son enregistrement, l’extraction, la conservation, la manipulation, la consultation, sa communication et même sa destruction.
Cette réglementation est assez restrictive et peut induire, notamment pour des éditeurs de logiciel, beaucoup de coûts pour repenser et reconstruire son produit. Une cartographie du logiciel doit donc être établie avant même de se plonger dans la mise en conformité.
Le RGPD s’articule autour de 4 grands piliers
- Le principe de traitement de données
Toute collecte de données doit être licite et loyale.
La personne dont les données sont collectées doit être informée de ce processus ou donner son consentement.
Les finalités pour lesquelles les données sont collectées doivent être spécifiquement limitées. Elles doivent être collectées pour des raisons précises, claires, compréhensibles et légitimes et ne peuvent pas être traitées ultérieurement de manière différente, sans obtenir le consentement explicite des personnes. De même, le principe de minimisation des données implique que seules les données qui sont pertinentes et nécessaires au traitement peuvent être collectées.
Selon le principe d’exactitude, les données personnelles doivent être mises à jour pour être exactes et nécessaires. Il faut donc veiller à actualiser les informations au sein d’un registre, sur tous les supports d’une organisation.
Les données doivent être conservées dans un temps limité. Pour le cas d’un candidat qui a postulé à une offre d’emploi et n’a pas été retenu, son CV peut être conservé pendant 2 ans. Dans le cas où ce candidat a été embauché, son CV peut être conservé pendant la durée du contrat. Pour tout rallongement de ce délai de conservation, l’organisation doit pouvoir le justifier d’un point de vue réglementaire ou légal.
L’intégrité des données et leur confidentialité doivent être maintenues. Ce principe est extrêmement important, car c’est une des préoccupations majeures des citoyens de l’Union Européenne. Des nouvelles garanties renforcées, comme des mesures organisationnelles ou techniques, doivent être mises en place par les organisations pour la sécurité des données, afin d’éviter toute violation.
Le principe de traitement des données inclut également les nouvelles notions de privacy by design et de privacy by default. Le privacy by design implique que dès la conception du site internet ou de l’application ou du logiciel, la réglementation devra être intégrée. Le privacy by default implique que seules les données nécessaires au traitement sont collectées et que seules les personnes qui en ont besoin y ont accès à travers des systèmes d’authentification spécifiques sont mis en place.
- Les droits des personnes
Les personnes doivent disposer d’un droit à l’information (ex : politique de données personnelles, CGU ou CGV). L’information doit être complète, transparente, compréhensible et aisément accessible.
Pour certains traitements (ex : profilage, scoring), il faut recueillir le consentement des personnes (ex : cases à cocher). Par ailleurs, une personne doit pouvoir retirer son consentement de manière aussi simple qu’elle l’a donné.
Le droit accès, le droit d’effacement, le droit d’authentification, le droit à la portabilité et le droit de rectification sont renforcés. Ces droits doivent être garantis par des moyens structurés, afin que leur exercice soit aisé pour les personnes. L’organisation doit mettre en place un processus organisé, en identifiant quelles sont les personnes en charge de ces questions.
A savoir : les différentes CNIL européennes, membres du G29, ont produit des lignes directrices sur différents sujets et différentes notions. Vous pouvez les retrouver ici. Ces guidelines sont bonnes à lire pour savoir, avant tout travail de mise en conformité, si toutes les organisations et leurs produits sont conformes au RGPD.
- Procédures opérationnelles spécifiques
De nouvelles procédures sont imposées au responsable de traitement, qui est en charge de veiller à ce que les droits des personnes soient respectés.
Auparavant, il fallait faire une déclaration à la CNIL dans le cas de traitement de données. Demain, ce système sera complètement modifié et remplacé par une mise en conformité au sein de l’organisation. Le responsable de traitement va devoir tenir à jour un registre dans lequel sont répertoriés tous les traitements de données effectués et les garanties qui y sont associées. La CNIL propose un modèle de ce registre sur son site.
Attention : certaines autorisations devront être tout de même être demandées à la CNIL, comme le traitement des données sensibles (ex : données biométriques ou données de santé). De même, pour un traitement sensible de données, qui comporte des risques élevés sur le droit et libertés des personnes (ex : scoring, surveillance systématique, profilage), les organisations doivent procéder préalablement à une analyse d’impact.
En cas de violation de données (ex : piratage d’un site Internet ou perte du support contenant les données), il faudra en informer dans les 72h les personnes concernées ainsi que la CNIL.
Un DPO (Délégué à la Protection des Données) devra être nommé au sein d’une organisation de plus de 250 salariés ou d’une organisation qui traite des données sensibles. Cette personne sera le point de contact entre l’autorité de protection, les opérationnels en internes et les personnes concernées par le traitement de leurs données personnelles. Si le DPO n’est pas obligatoire dans les autres organisations, il est très fortement recommandé par la CNIL.
- Système de répartition des responsabilités
Le responsable du traitement désigne la personne qui est en charge de déterminer la finalité du traitement, mais ce n’est pas toujours simple de faire la distinction entre responsable de traitement et sous-traitant. Désormais, le RGPD parle de responsabilité conjointe entre une organisation et un sous-traitant.
3 cas de figures de responsable de traitement sont possibles :
- Un seul responsable de traitement.
- Un sous-traitant intervient dans le traitement des données. Le responsable de traitement de l’organisation doit pouvoir prouver qu’il a choisi un sous-traitant qui garantit des mesures de sécurité techniques satisfaisantes au regard du RGPD.
- Responsable conjoint de traitement : deux responsables conjoints doivent répartir leur responsabilité au sein d’un contrat pour savoir qui doit prévenir les autorités de contrôle et les personnes en cas de violation ou pertes des données personnelles.
Ce dernier cas de figure reste une notion qui n’est pas encore évidente à cerner.
En effet, si dans le cadre d’une assistance, un éditeur de logiciel, qui n’est pas responsable de traitement, aide son client à extraire des données ou à les manipuler, peut-on parler de responsabilité conjointe ? Si un sous-traitant participe à la conception d’une application de traitement de données et s’implique dans le développement de cette application, en proposant certaines spécificités, peut-il être désigné comme responsable conjoint ? Cette notion doit se travailler au cas par cas et à l’usage.
A savoir : dans le cadre de la billetterie, une solution SaaS n’est pas propriétaire de la donnée que seul le client consulte et traite. Cependant, la solution, si elle héberge les données, est responsable en cas de violations de données.
Plusieurs sanctions peuvent être appliquées par la CNIL, en cas de non-conformité au RGPD.
La CNIL va contrôler en priorité les organisations B2C qui sont en contact avec des clients.
- Mesures correctives
La CNIL pourra ordonner une mise en conformité dans un délai imparti. Elle peut également imposer une limitation temporaire ou définitive du traitement des données. Elle peut aussi ordonner la rectification ou l’effacement de données, ou la suspension du flux de données adressé à un destinataire situé dans un pays tiers.
- Sanctions administratives
La condamnation s’élève à 20 millions d’euros d’amende et en tant qu’entreprise jusqu’à 4% du chiffre d’affaire total.
A savoir : dans le cas d’un contrôle, si une organisation n’est pas encore en règle, mais est déjà dans une démarche proactive de conformité, avec un audit en cours, la CNIL ne sanctionnera pas. Il faut pouvoir justifier d’avoir fait le maximum.
Crédit : MyOpenTickets