# Le RGPD

# Le contexte historique

Dans le but de faciliter la circulation des informations entre les administrations, l’administration française décide de mettre en œuvre un projet d’interconnexions de fichiers nominatifs notamment via le biais du numéro d’inscription au répertoire (NIR). Ce projet est nommé « Système automatisé pour les fichiers administratifs et le répertoire des individus » ou par son acronyme : SAFARI. L’affaire est portée au grand public grâce au journal Le Monde qui titre le 27 mai 1974 « Safari ou la chasse aux Français ». L’information fait rapidement scandale et le projet doit être abandonné en raison de ses risques liberticides pour les administrés.

Afin de répondre à cette affaire, la commission « Informatique et libertés » nouvellement formée rédige le rapport Tricot règlementant l’utilisation des moyens informatiques. Apparaît alors la première Loi informatique et libertés le 6 janvier 1978 qui donne naissance à la Commission Nationale Informatique et Libertés (CNIL). Il s’agit d’une autorité administrative indépendante chargée de protéger les administrés contre les abus potentiels de l’informatique.

Article 1er de la loi « L’informatique doit être au service de chaque citoyen. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

L’Union Européenne s’inspire de la loi française et fait paraître en 1995 une directive permettant aux pays membres de disposer d’un socle commun pour la protection des données personnelles.

La loi Informatique et Liberté est modifiée en 2004, sous l’impulsion des évolutions technologiques et de la directive européenne de 1995 sur la protection des données personnelles. La CNIL se voit alors attribuer un pouvoir de sanction et la fonction de Correspondant Informatique et Libertés est créée.
Les dispositions de la loi pour une République numérique enrichissent la loi Informatique et Libertés en 2016 avec notamment, l’apport des directives testamentaires et l’élargissement des missions de la CNIL.

2016 est également l’année où le Parlement européen adopte le Règlement général sur la protection des données (ci-après RGPD). En effet, le règlement permet d’uniformiser le droit européen et répond à des nouveaux besoins notamment concernant l’explosion du nombre de données (smartphone, réseaux sociaux, big data…). Le RGPD entre en application le 25 mai 2018 et répond à trois objectifs majeurs : renforcer les droits des personnes, responsabiliser les acteurs des traitements de données et développer les pouvoirs des autorités de contrôle.

# Champ d’application matériel et territorial du RGPD

Le RGPD s’applique à tout traitement de données personnelles qu’il soit automatisé ou non, réalisé sur le territoire de l’Union Européenne.

Le texte ne s’applique pas aux activités réalisées dans un cadre privé. Cette exception domestique permet à n’importe quel individu de gérer le répertoire de son téléphone ou bien de préparer une liste d’invités.

Concernant l’application territoriale, deux critères sont à prendre en compte. Le premier est le critère d’établissement : le RGPD s’applique à tout organisme établi sur le territoire de l’UE même si le traitement a lieu en dehors de ce territoire. Ainsi, une société française qui vend ses produits en Russie est soumise au RGPD.

Le second critère est celui du ciblage : le RGPD s’applique à tout organisme offrant ses biens et services sur le territoire de l’UE. Ainsi, une société américaine offrant ses services sur le territoire de l’Union Européenne devra se soumettre au RGPD.

# Définitions

# Donnée personnelle

Information qui permet d’identifier une personne physique :

  • un nom,
  • une adresse,
  • une photo,
  • une transaction bancaire,
  • une localisation,
  • un numéro de téléphone,
  • un numéro de sécurité sociale,
  • une adresse mail,
  • une plaque d’immatriculation...

Une seule information, comme un numéro de sécurité sociale par exemple, permet d’identifier une personne mais il est également possible de l’identifier en croisant un ensemble de données comme l’adresse, le sexe, la date de naissance et le lieu de travail par exemple. La notion de « donnée personnelle » est à comprendre de façon très large.

# Données sensibles

Données personnelles présentant une sensibilité particulière qui nécessite un encadrement spécifique. Il s’agit de toutes les données décrites dans les articles 9 et 10 du RGPD :

  • les données relevant de l’origine raciale ou ethnique,
  • des opinions politiques,
  • des convictions religieuses ou philosophiques,
  • de l’appartenance syndicale,
  • les données génétiques,
  • les données biométriques,
  • les données de santé,
  • les données relatives à la vie sexuelle ou à l’orientation sexuelle
  • les données relatives aux condamnations pénales et aux infractions ou aux mesures de sûreté connexes.

Au-delà de cette liste, certaines catégories de données peuvent être considérées comme sensibles dans la mesure où elles sont liées à des activités domestiques et privées (communications électroniques dont la confidentialité doit être protégée, par exemple), dans la mesure où elles ont un impact sur l’exercice d’un droit fondamental (données de localisation dont la collecte met en cause la liberté de circulation, par exemple) ou dans la mesure où leur violation aurait clairement des incidences graves dans la vie quotidienne de la personne concernée (données financières susceptibles d’être utilisées pour des paiements frauduleux, par exemple).

# Catégories de données personnelles

Classification des données personnelles généralement établie comme suivant :

  • données d’identification
    • nom,
    • prénom,
    • photo,
    • état-civil…
  • vie personnelle
    • habitudes de vie,
    • situation familiale,
    • hors données sensibles ou dangereuses…
  • vie professionnelle
    • CV,
    • scolarité formation professionnelle,
    • distinctions…,
  • informations d'ordre économique et financier
    • revenus,
    • situation financière,
    • situation fiscale…
  • données de connexion
    • adresses IP,
    • journaux d’événements…
  • données de localisation
    • déplacements,
    • données GPS,
    • GSM…

Les catégories de données sont à distinguer des types de données (données courantes ou données sensibles).

# Traitement de données personnelles

Opération, ou ensemble d'opérations, portant sur des données personnelles, quel que soit le procédé utilisé : de la collecte à la suppression, en passant par la simple consultation… Un traitement de données personnelles est une notion très large qui peut être informatisé ou non. Par exemple, un fichier Excel répertoriant des clients, un logiciel de gestion RH, des dispositifs de vidéosurveillance, un fichier papier organisé selon un plan de classement ou des formulaires papiers nominatifs sont des traitements de données personnelles.

# Finalité

Objectif du traitement de données. Chaque traitement de données personnelles doit avoir une finalité, un but qui justifie pourquoi les données sont traitées. Par exemple, les numéros de sécurité sociale sont traités par les organismes dans une finalité de gestion des ressources humaines.

# Sous-finalité

Sous-objectif du traitement de données. Les finalités sont parfois larges en fonction des organismes et activités. Ainsi, la décomposition d’une finalité en plusieurs sous-finalité permet de mieux comprendre le but recherché par le traitement de données. Par exemple, la finalité « Médecine du travail », peut être décomposée en plusieurs sous-finalités : gestion des visites périodiques, gestion des visites d’embauche avec le médecin agrée, gestion des accidents du travail, suivi et gestion des dossiers présentés au comité médical.

# Responsable de traitement

Organisme qui détermine, seul ou conjointement avec d'autres, les finalités et les moyens du traitement. Le responsable de traitement est donc la personne qui détermine « le pourquoi ? » (la finalité) et le « comment ? » (les moyens) du traitement et doit répondre à différentes obligations. Par exemple, une société X collecte de nombreuses informations sur ses clients lorsqu’elle vend des produits sur son site internet. Cette société a défini la finalité de cette collecte de données (la gestion de la clientèle) et les moyens (via un site internet) : elle devient à ce titre responsable de traitement.

# Sous-traitant

Organisme qui traite des données personnelles pour le compte du responsable du traitement. Il traite les données selon les instructions du responsable de traitement, et est lié par un contrat avec ce dernier détaillant l’ensemble des obligations lui incombant. Par exemple, dans le cas d’une société qui délègue la maintenance de son système informatique à un prestataire, la première est responsable de traitement car elle a défini le but (maintenance de son système) et les moyens (à quelle fréquence, quelle machine, quelles opérations…). La seconde est le sous-traitant, car elle intervient dans les conditions fixées par le responsable de traitement.

# Co-responsabilité

Principe qui s’applique lorsque deux organismes déterminent les finalités et les moyens d’un traitement. Par exemple, deux communes qui mettent en commun leurs ressources pour la création d’un service mutualisé d’aide à la personne sont toutes les deux responsables de traitement, car elles ont défini ensemble le but et les moyens du traitement.

# Personne concernée

Personne physique dont les données personnelles sont traitées permettant ainsi son identification.

# Destinataire

Organisme ou personne physique interne ou externe au responsable de traitement qui reçoit communication des données personnelles, peu importe le traitement ou la finalité ultérieur. Cela peut être une personne physique ou morale, l'autorité publique, un service ou tout autre organisme, qu'il s'agisse ou non d'un tiers.

# Tiers

Organisme ou personne physique autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes placées sous l'autorité directe du responsable du traitement ou du sous-traitant. Le tiers reçoit communication des données personnelles, peu importe le traitement ou la finalité ultérieur. Il peut être autorisé (accès légitime) ou non autorisé (accès illégitime).

# Tiers autorisé

Organisme ou personne physique qui reçoit communication des données personnelles parce qu'une loi l'y autorise expressément. Ces tiers autorisés sont des autorités publiques ou des auxiliaires de justice :

  • l’administration fiscale,
  • les organismes de sécurité sociale dans le cadre de la lutte contre la fraude,
  • les organismes en charge de l'instruction, du versement et du contrôle du RSA,
  • les administrations de la justice, de la police et de la gendarmerie,
  • les huissiers de justice…

# Tiers non autorisé

Organisme ou personne physique qui reçoit communication des données personnelles, pour des traitements et/ou finalités illégitimes suite à l’exploitation d’une ou plusieurs vulnérabilités. Cette communication a une origine accidentelle (les accès à un répertoire ont mal été paramétrés et des personnes non autorisées ont accès aux données) ou malveillante (intrusion d’un code malveillant permettant l’extraction de données vers l’extérieur).

# Base légale

Fondement qui autorise légalement sa mise en œuvre, ce qui donne le droit à un responsable de traitement de traiter des données personnelles. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Six bases légales sont prévues par le RGPD:

  • Le consentement
  • Le contrat
  • L’obligation légale
  • La sauvegarde des intérêts vitaux
  • L’intérêt public
  • L’intérêt légitime

# Consentement

Base légale prévue par le RGPD parmi 5 autres. Les responsables de traitement peuvent procéder à des traitements en s’appuyant sur une autre base légale, néanmoins le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques : par exemple, pour réaliser de la prospection commerciale par courrier électronique. Le consentement de la personne doit être libre (avoir le pouvoir de refuser), spécifique (le consentement correspond à un traitement pour une finalité), informé (la personne doit être informée de l’usage de ses données) et univoque (via une manifestation positive, une case à cocher par exemple).

# Intérêt légitime

Base légale prévue par le RGPD parmi 5 autres. Le recours à cette base légale suppose que les intérêts (commerciaux, de sécurité des biens, de lutte contre la fraude…) poursuivis par le responsable de traitement traitant les données ne créent pas de déséquilibre au détriment des droits et intérêts des personnes dont les données sont traitées. Par exemple, une entreprise souhaite installer une caméra dans le vestiaire destiné aux salariés prétextant la sécurité des biens et des personnes comme intérêt légitime. Il convient ici de faire « la balance » entre l’intérêt de l’entreprise et le droit au respect à la vie privée des employés. Dans ce cas, le droit des salariés prime sur l’intérêt de l’entreprise.

# Droits des personnes concernées

Droits dont disposent les personnes concernées sur leurs données personnelles : un droit à l’information sur les modalités du traitement de données, un droit d’accès aux données, un droit de rectification des données inexactes, un droit d’opposition à un traitement, un droit à la limitation du traitement, un droit à la portabilité de leurs données, un droit à l’effacement des données, un droit de déposer une plainte auprès de la CNIL et un droit de décider du sort de ses données après son décès.

# DPO (Data Protection Officer ou Délégué à la Protection des Données)

Garant de la conformité RGPD au sein de l’organisme qui l’a désigné. Il doit informer et conseiller le responsable de traitement sur ses obligations et les risques qu’il peut rencontrer. Le DPO met en place une politique de protection des données et rédige la documentation règlementaire qu’il doit tenir à jour. Il est également le référent officiel auprès des autorités de contrôle et des personnes concernées pour répondre à leur demande ou assurer la gestion des précontentieux. Il dispose, par ailleurs, d’un rôle de sensibilisation auprès des collaborateurs de l’entité.

# Durée de conservation

Principe selon lequel les données personnelles doivent être conservées uniquement le temps nécessaire à l’accomplissement de la finalité poursuivie lors du traitement. Lorsque la finalité est atteinte, les données doivent être supprimées ou anonymisées. La durée de conservation doit être définie et figurer dans les informations fournies aux personnes concernées. A noter que la durée de conservation d’une donnée peut varier en fonction de la finalité poursuivie. Par exemple, l’image d’un employé recueillie via la vidéosurveillance sera conservée un mois alors que la photo de ce même employé dans l’annuaire professionnel sera conservée toute la durée de son contrat de travail.

# Procédures d’archivage

Processus à mettre en place une fois que la finalité poursuivie par le traitement est atteinte. Les données n’ont plus besoin d’être utilisées pour les besoins courants de l’activité, mais une obligation légale ou un besoin administratif nécessite de conserver les données. Les données sont alors archivées selon une procédure définie en amont, sur un support différent et/ou selon des règles d’accès distinctes.

# Registre des activités de traitements

Document essentiel prouvant la maitrise des flux de données personnelles de votre organisme. Le document doit refléter la réalité de vos traitements de données, permettre de recenser et documenter vos traitements de données.

# Principe de minimisation

Principe selon lequel les données personnelles doivent être adéquates, pertinentes et limitées à ce qui est strictement nécessaire au regard des finalités pour lesquelles elles sont traitées. En pratique, cela signifie que les données ne doivent être traitées que si l’objectif du traitement ne peut être atteint par d’autres moyens.

# Principe de Privacy by Design

Principe selon lequel les responsables de traitement et les sous-traitants doivent prendre les mesures appropriées pour tenir compte concrètement de la protection des données dans les projets dès leur conception. Concrètement, il convient d’intégrer dès la phase de conception des projets les impératifs de vie privée : aborder en amont, et non en aval, le chiffrement des données sensibles, le stockage sécurisé, le respect des durées de conservation, ou encore le recueil des données strictement nécessaire. Par exemple, dans le cadre d’une gestion de base de données newsletters, il ne convient pas de récolter le nom et le prénom de la personne, l’adresse mail suffit.

# PIA (Privacy Impact Assessment ou Analyse d’Impact sur la Protection des Données)

Document à produire par le responsable de traitement lorsqu’un traitement est susceptible d’engendrer un risque pour la vie privée des personnes. Il s’agit d’analyser les risques qui pèsent sur les données : une attaque informatique, un accès non autorisé aux serveurs, une disparition des données... Un rapport devra être produit préconisant des mesures visant à prévenir ces risques. Pour déterminer s’il est nécessaire de réaliser cette procédure, plusieurs critères ont été établis par la CNIL. Lorsque deux critères ou plus sont validés, alors un PIA est nécessaire. Ces critères sont variés : lorsque le traitement implique un transfert de données en dehors de l’UE, ou bien lorsque des données sensibles sont traitées comme les données de santé, l’orientation sexuelle ou encore les opinions politiques ou convictions religieuses.

# Instructions documentées

Consignes transmises par le responsable de traitement au sous-traitant dans le cadre d’une relation de sous-traitance. Ces instructions ont une portée opérationnelle et permettent au sous-traitant de traiter les données selon les besoins du responsable de traitement. Ces instructions sont consignées dans des documents spécifiques et dans l’ensemble des communications écrites entre les deux acteurs.

# Transfert de données hors de l’Union Européenne

Communication ou copies de données par l’intermédiaire d’un réseau ou d’un support à un autre, quelque soit le type de ce support, dans la mesure où ces données ont vocation à faire l’objet d’un traitement dans les pays destinataire. Par principe, les données peuvent circuler librement au sein des Etats membres de l’Union Européenne (UE) et de l’Espace économique européen (EEE). Lorsqu’un transfert en dehors de ce territoire est envisagé, le responsable de traitement doit mettre en œuvre un mécanisme juridique afin d’assurer le même niveau de protection que si les données étaient restées en Europe. La Commission Européenne peut décider qu’un Etat non-membre détient un niveau de protection équivalent et correspondant aux attentes du RGPD (article 45 du RGPD).

Le pays est alors reconnu comme étant « adéquat ». Ainsi, les organismes peuvent transférer des données personnelles vers cet Etat de la même manière que s’il s’agissait d’un Etat membre soumis au RGPD. L’organisme n’a pas besoin de mettre en place une garantie particulière supplémentaire. En l’absence d’une telle décision de la part de la Commission Européenne, les organismes doivent encadrer ces transferts en utilisant différents outils juridiques : les « garanties appropriées » (article 46 du RGPD).

# Violation de données

Violation de la sécurité accidentelle ou illicite impactant des données personnelles qui entraine une destruction, une perte, une altération ou une divulgation de ces données. Par exemple, une erreur de destinataire d’un e-mail contenant des bulletins de salaire, la perte d’une clé USB ou l’intrusion dans le système d’information sont des violations de données

# Profilage

Traitement automatisé de données personnelles permettant d’évaluer certains aspects personnels d’une personne concernée, notamment pour analyser ou prédire des éléments concernant sa situation économique, sa santé, ses préférences personnelles, ses intérêts, son comportement, son rendement au travail, sa localisation ou ses déplacements.

Le profilage peut par exemple servir à proposer une expérience ou des contenus adaptés à un utilisateur ou un client. De nombreuses décisions automatisées sont prises sur la base d’un profilage, mais ce n’est pas systématique.

# Décision automatisée

Décision prise à l’égard d’une personne concernée, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus. Les décisions automatisées peuvent intervenir dans de nombreux domaines d’activité (finance, fiscalité, marketing, etc.) et produire des effets juridiques ou des effets significatifs pour les personnes concernées. Par exemple, une décision de refus de crédit peut avoir pour seul fondement l’utilisation d’un algorithme qui applique automatiquement certains critères à la situation financière du demandeur, sans aucune intervention humaine. Le RGPD prévoit des règles plus restrictives dans ces cas, pour éviter que l’homme ne subisse ces décisions émanant uniquement de machines.

# Sécurité

Ensemble des moyens techniques et organisationnels à mettre en place par un organisme, en tenant compte de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des buts du traitement de données et de ses risques. Par exemple, mettre en place un système d’authentification permettant de contrôler les accès aux données, ou bien protéger l’accès aux armoires et tiroirs contenant des dossiers papiers, peut être en fonction de la taille et de l’activité de l’organisme une mesure à implémenter afin de garantir la confidentialité des données qu’elle a sous sa garde.

# PSSI (Politique de Sécurité des Systèmes d’Information)

Document de référence en matière de sécurité des systèmes d’information de l'organisme. Elle en est un élément fondateur définissant les objectifs à atteindre et les moyens accordés pour y parvenir.

# Habilitation

Attribution de profils aux personnes dans les systèmes en séparant les tâches et les domaines de responsabilité, afin de limiter l’accès des utilisateurs aux seules données strictement nécessaires à l’accomplissement de leurs missions.

# Identifiant/login

Série de caractères permettant de reconnaitre un utilisateur dans le système d’information et de s’assurer qu’il accède uniquement aux données dont il a besoin. Chaque utilisateur possède un identifiant propre.

# Authentification

Procédé permettant de s’assurer que la demande d’accès au système/réseau informatique est légitime. Par exemple, elle peut se faire par mot de passe et/ou carte à puce et/ou moyen biométrique (reconnaissance d’empreintes digitales, du visage…).

# Journalisation

Enregistrement dans des « fichiers journaux » ou « logs » des activités des utilisateurs, des anomalies et des événements liés à la sécurité. Cela permet de tracer les accès, et ainsi de pouvoir identifier un accès frauduleux ou une utilisation abusive de données personnelles, ou de déterminer l’origine d’un incident.

# Firewall (pare-feu)

Logiciel et/ou matériel permettant de contrôler quels sont les types de communications autorisés sur un réseau informatique. Il permet de prévenir les accès frauduleux, l’exécution de virus ou la prise de contrôle à distance, notamment via Internet.

# Chiffrement

Procédé visant à rendre les données personnelles incompréhensibles à toute personne non autorisée à y avoir accès. Une clé de déchiffrement est nécessaire pour accéder aux données.

# Accès distant

Technique permettant d’accéder aux services de l’entreprise (réseau local, intranet...) en étant en mobilité, c’est-à-dire en dehors des locaux.

# VPN (Virtual Private Network ou « réseau privé virtuel »)

Système permettant notamment de créer un lien direct entre un ordinateur distant (celui du collaborateur) et un serveur (stockant les données de l’organisme), qui isole leurs échanges du reste du trafic se déroulant sur des réseaux de télécommunication publics. Lorsqu’il est bien configuré, la confidentialité et la sécurité des échanges sont assurées.

# Compte de moindre privilège

Principe qui consiste à lancer chaque tâche avec un compte utilisateur qui a exactement et seulement les permissions nécessaires à l’accomplissement de cette tâche. Par exemple, l’administrateur système ne doit utiliser son compte administrateur que pour les opérations en lien avec l’administration du système et du réseau informatique, comme les opérations de maintenance par exemple. Toutes les opérations sortant de ce périmètre doivent être réalisées avec un autre compte.

# SLA (Service-Level Agreement ou « entente de niveau de service »)

Document qui définit la qualité de service, prestation prescrite entre un fournisseur de service et un client. Autrement dit, il s'agit des clauses dans un contrat définissant les objectifs précis attendus, les responsabilités et le niveau de service que souhaite obtenir un client de la part du prestataire. Cela concerne par exemple la disponibilité ou encore la sécurité des données.

# PRA (Plan de Reprise d'Activité)

Document qui répertorie les démarches et procédures à entreprendre en cas de crise importante (sinistre, attaque, accident…) pour reconstruire son système d’information et remettre en route des applications nécessaires aux activités de l’organisme.

# PCA (Plan de Continuité d'Activité)

Document qui répertorie les démarches et procédures à entreprendre en cas de crise importante (sinistre, attaque, accident…) pour assurer la continuité des activités d’une entreprise, sans perte de données et qui offrira un accès au système d’information sans rupture d’exploitation.

# Filtre de confidentialité

Protection qui se place devant un écran informatique et qui restreint la vision des données affichées de part et d’autre de l’axe de vision. Ce filtre permet de lutter contre les regards indiscrets.

# IDS (Intrusion Detection System ou « système de détection d’intrusion »)

Mécanisme destiné à repérer des activités anormales ou suspectes sur un réseau. Il permet ainsi d'avoir une connaissance des tentatives réussies comme échouées des intrusions.

# Cloud Computing (Services Cloud ou « informatique en nuage »)

Technologie qui consiste à utiliser des serveurs informatiques distants par l'intermédiaire d'un réseau (généralement Internet), pour stocker des données et/ou les exploiter. Les principaux services proposés en Cloud Computing sont le SaaS (Software as a Service), le PaaS (Platform as a Service) et le IaaS (Infrastructure as a Service).

# Sous-traitance en cascade (sous-traitance de second degré/énième degré en fonction du niveau)

Relation contractuelle entre le sous-traitant ultérieur et le sous-traitant du responsable de traitement. Lorsque plusieurs sous-traitants ultérieurs existent, on parle de chaîne de sous-traitance.