Base numérique des consentements - RGPD
Protection Clareté Transparence

La Base Numérique des Consentements, à quoi sert-elle et comment fonctionne t-elle ?

C’est une révolution programmée dans l’univers de la donnée : le Règlement Général sur la Protection des Données, ou RGPD, adopté le 14 avril 2016 par le Parlement européen et qui entrera en vigueur le 25 mai 2018, va imposer l’harmonisation des dispositifs de protection des données au sein de l’Union européenne.

Entreprises et consommateurs, tous sont concernés par cette nouvelle réglementation européenne. Elle enjoint les premières d’adopter sans plus attendre de nouvelles pratiques en matière de collecte et de traitement des données de leurs clients et prospects et permet aux seconds de reprendre le contrôle sur leurs données personnelles, tout en renforçant la protection de leur vie privée.

Grâce à cette nouvelle réglementation, les citoyens européens auront plus facilement accès à leurs données personnelles, en même temps qu’ils bénéficieront d’un encadrement plus strict des pratiques relatives aux informations qui les concernent. La mise en application du RGPD sonne le glas des politiques en « petits caractères ». Désormais, avant chaque collecte de données, les entreprises devront avancer leurs pions dans un langage clair et simple, sous peine de lourdes sanctions.

Revue de détail d’une loi qui va profondément modifier le paysage digital européen en bouleversant les habitudes des entreprises et des consommateurs que nous sommes tous.

De nouvelles obligations pour les entreprises

Limitation des données

Les entreprises devront veiller à ce que seules les données réellement indispensables aux besoins du client soient collectées. Ces données ne devront être conservées que le temps nécessaire, et l’entreprise devra en garantir, à la demande des citoyens concernés, l’accès, la modification, la restitution et/ou l’effacement.

Consentement obligatoire

Le consommateur devra donner son consentement clair et explicite au traitement de ses données privées. Le RGPD précise « qu’il ne saurait y avoir de consentement en cas de silence, de case cochée par défaut ou d’inactivité ».

Par ailleurs, la charge de la preuve du consentement pèsera désormais sur le responsable du traitement au sein de l’entreprise. Le citoyen dont les données seront collectées, pourra retirer son consentement à tout moment.

Seules exceptions : lorsque le traitement* est nécessaire à l’exécution d’un contrat accepté par le citoyen, comme l’abonnement à un magazine, lorsqu’il découle d’une obligation légale ou d’un intérêt légitime du responsable du traitement ou lorsqu’il est nécessaire à la sauvegarde des intérêts vitaux de la personne ou à l’exécution d’une mission d’intérêt public. Dans ces cas précis, le traitement demeurera licite, même sans consentement.

* Définition de « traitement » extraite du RGPD : « Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensemble de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

Sécurisation des données

Les entreprises devront assurer la sécurisation des Données à Caractère Personnel dont elles disposent, et ce, à tout moment et en tous lieux, contre les risques de perte, de vol, de divulgation ou de détérioration. Si, malgré toutes les mesures de sécurité mises en place, un tel événement se produisait, l’entreprise concernée devrait informer sous 72 heures l’autorité de protection, la CNIL, ainsi que les citoyens concernés par ce risque. Les entreprises devront également garantir un niveau de sécurité identique en ce qui concerne les données traitées hors de l’Union européenne. Un registre de traitement des données personnelles, désormais obligatoire, permettra de déterminer si ces données quittent l’Union européenne et dans quelles conditions.

Documentation détaillée

Les entreprises devront documenter toutes les mesures et toutes les procédures utiles pour assurer à tout moment la protection des données qu’elles stockent. Un registre détaillé des traitements devra être obligatoirement conservé non seulement par le responsable du traitement, mais également par ses éventuels sous-traitants. Ce registre devra pouvoir être mis à disposition des autorités de contrôle à tout moment.

Protection par conception et par défaut

La protection des Données à Caractère Personnel est désormais l’affaire des entreprises qui conçoivent produits, services et systèmes d’exploitation traitant des données personnelles ou permettant de les traiter.

En effet, le RGPD impose désormais aux entreprises d’intégrer par défaut, dès la conception et lors de toute utilisation des nouvelles technologies qu’elles développent, les exigences nécessaires à la protection des données telles qu’elles sont définies dans la nouvelle réglementation. C’est le principe du « Privacy by Design » qui garantit ce niveau maximal de protection des données.

De nouveaux droits pour les consommateurs

Limitation de durée de stockage des données

Ce point de réglementation était déjà établi dans l’article 6 de la loi Informatique et Libertés de 1978.
Toutefois il est maintenant, comme pour l’ensemble des points de la nouvelle réglementation européenne, à la charge de l’entreprise d’apporter la preuve du respect de cette limitation de durée de stockage des données. Ainsi, seules les données réellement indispensables au traitement concerné peuvent être collectées par les entreprises, et ce, pour une durée limitée. Les données des consommateurs ne peuvent pas être stockées ad vitam aeternam sans que ce stockage ne soit justifié.

Plus de transparence

Les marques seront tenues d’informer les citoyens, qui le demandent, des données personnelles les concernant qu’elles stockent, ainsi que des raisons de ce stockage.

Droit à la compréhension

Avant chaque campagne publicitaire, les entreprises devront justifier et expliquer leur démarche aux consommateurs dans un langage clair et simple, afin que celui-ci comprenne clairement l’objet de la campagne pour décider d’accepter ou de refuser de la recevoir.

Droit à la portabilité

Les marques seront obligées de rendre aux consommateurs toutes les données personnelles les concernant sur le support de leur choix et ce, à leur première demande. Ce droit permettra, par exemple, à un utilisateur de changer de fournisseur de messagerie électronique sans perdre ses contacts ou ses mails.

Droit à l’oubli

Les entreprises et leurs sous-traitants seront désormais contraints de supprimer de leurs systèmes toutes les données d’un client si celui-ci le demande. Seules exceptions : lorsque les données seront nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique ou pour l’exercice du droit à la liberté d’expression. Le droit à l’oubli ne s’appliquera pas non plus lorsque la détention des Données à Caractère Personnel sera nécessaire à la conclusion d’un contrat ou lorsque la loi l’exigera.

Périmètre de la loi

Le RGPD s’appliquera à toutes les entreprises européennes ainsi qu’aux entreprises non-européennes ayant un pan d’activité en Europe et traitant, de ce fait, des données de citoyens européens.

Top Chrono !

15 décembre 2015 : le Conseil de l’Union européenne, le Parlement européen et la Commission européenne approuvent le texte final du RGPD
8 avril 2016 : le règlement est adopté par le Conseil de l’Europe après quatre années de négociations.
14 avril 2016 : le règlement est adopté par le Parlement européen.
24 mai 2016 : Entrée en vigueur
25 mai 2018 : Mise en application obligatoire

Qu'appelle-t-on "données personnelles ?

« Toute information se rapportant à une personne physique identifiée ou identifiable; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ». (Article 4 du RGPD)

Vers la fin du profilage sur le web

Les nouvelles dispositions européennes fixent des limites au profilage, une technique utilisée pour analyser ou prédire la localisation d’un individu, ses préférences ou encore son comportement grâce au traitement automatique de ses données personnelles. Conformément à la nouvelle réglementation européenne, le profilage ne sera autorisé que si la personne concernée donne son consentement et s’il est nécessaire à la conclusion d’un contrat. Les députés européens ont également spécifié que le profilage ne devra pas entraîner de discrimination ou se baser uniquement sur des données sensibles, comme les opinions politiques, la religion, l’orientation sexuelle, les données génétiques ou biométriques. Autre changement majeur : le profilage ne pourra plus être issu du simple traitement automatique des données, mais devra comprendre une évaluation menée par l’homme.

Une protection spéciale pour les mineurs

Souvent moins conscients que les adultes de la dangerosité du partage de leurs données personnelles sur Internet, les mineurs font l’objet de dispositifs spécifiques dans la nouvelle réglementation européenne. En dessous d’un certain âge, ils devront avoir la permission de leurs parents pour ouvrir un compte, par exemple, sur les réseaux sociaux, comme c’est déjà le cas dans la plupart des pays de l’Union européenne. Il reviendra aux États membres de déterminer la limite d’âge qui devra se situer entre 13 et 16 ans.

Le Data Protection Officer en première ligne

Le nouveau règlement européen prévoit l’obligation pour les entreprises, y compris dans le secteur public, de se doter d’un Data Protection Officer (DPO) dès lors qu’elles réaliseront des traitements à grande échelle de suivi régulier et systématique de personnes ou de données sensibles. Le DPO jouera un rôle majeur dans l’application du nouveau règlement. Il devra, notamment, s’assurer de la conformité des traitements, réaliser les analyses de risque, déployer les mesures de sécurité et faire respecter les mesures sur la durée de conservation des données.

Des sanctions colossales

En cas de non-respect du nouveau règlement, les entreprises s’exposeront à des amendes d’un montant représentant 2% à 4% du chiffre d’affaires mondial de l’entreprise. Le premier niveau d’amende est de 10 millions d’euros.

Quels recours pour les citoyens français en cas de problème ?

Les citoyens bénéficieront d’une autorité unique pour porter réclamation contre l’utilisation abusive de leurs données. En France, ils n’auront plus à se plaindre auprès des entreprises fautives mais pourront s’adresser directement à la CNIL.