guide pratique rgpd

Le 25 mai prochain entrera en vigueur le RGPD (Règlement Général sur la Protection des Données). Ce sujet éminemment « trendy » fait naître chez certains une réelle crainte quant à leur conformité future alors que pour d’autres il reste noté sur la première ligne du post-it « to-do » depuis deux ans déjà – le texte a été adopté le 27 avril 2016 – sans pour autant qu’aucune action concrète n’ait été entamée.

Sans être exhaustifs sur les détails et subtilités du RGPD, notamment les droits des personnes concernées, Frédéric Dechamps et Nathan Vanhelleputte Barcelona reviennent sur un sujet qui préoccupe la plupart des entreprises que le cabinet Lex4u conseille : la régularisation de leurs bases données.

1. Des données, des données, encore des données récoltées au gré du vent…

Les entreprises ont depuis longtemps adopté la politique de la « conservation des données à tout va » et possèdent ainsi dans leurs bases de données respectives d’innombrables données à caractère personnel sur des personnes physiques (nom, prénom, adresse, adresse email, numéro de téléphone,…) alors que certaines d’entre elles n’ont aucune relation avec ces entreprises1)Pour un exemple dans l’air du temps, voyez :
http://www.lalibre.be/economie/digital/facebook-confirme-ce-que-nous-redoutions-tous-5ad58105cd702f0c1aed96e8
!

Parmi ses objectifs, le RGPD compte notamment limiter ces cas d’abus et rendre plus transparent le traitement des données à caractère personnel.

Dès lors, puisque le 25 mai les choses devront changer, il est important de distinguer deux phases majeures concernant les données à caractère personnel.

La première concerne la gestion des données que ces entreprises ont amassées au fil des années et qu’elles souhaitent encore traiter après le 25 mai 2018.

La deuxième concerne la possibilité de poursuivre la récolte et le traitement de masse de données à caractère personnel après le 25 mai 2018.

2. De l’ombre à la lumière

Le RGPD poursuit ainsi un objectif simple qui est pourtant révolutionnaire concernant la collecte et le traitement des données à caractère personnel : une transparence totale.

Parmi ces règles visant la clarté, le RGPD prévoit, entre autres, que le traitement de données à caractère personnel se fonde obligatoirement sur au moins une des six bases légales suivantes : le consentement, l’exécution d’un contrat2)Rappelons que la phase précontractuelle est incluse dans la base légale de l’exécution d’un contrat pour autant que la demande émane de la personne concernée, Article 6 RGPD., le respect d’une obligation légale, la poursuite d’une mission d’intérêt public, la sauvegarde d’intérêts vitaux ou bien encore la poursuite d’un intérêt légitime.

Dès lors, à partir du 25 mai, il conviendra de pouvoir justifier tout traitement de données à caractère personnel – profitons-en pour rappeler que la conservation de données à caractère personnel est un traitement en soi – sur base d’un de ces six fondements !

S

3. Situations différentes, finalités différentes, fondements légaux différents, méthodes de régularisation différentes

Les différentes situations de fait quant à vos relations commerciales auront une influence sur la finalité que vous définissez ainsi que sur le choix de la base légale sur laquelle vous fondez le traitement de données à caractère personnel.

Exemple :

Un prospect s’inscrit sur votre site internet pour le service que vous proposez.

Vous récoltez des données d’identification personnelle et d’identification électronique relatives à ce prospect directement via un formulaire se trouvant sur votre site.

Deux situations peuvent en découler : soit le prospect devient client, soit le prospect ne concrétise pas son intérêt.

Dans le cas d’une relation contractuelle, vous pourrez justifier le traitement de ses données à caractère personnel sur la base de l’exécution d’un contrat avec comme finalité « la gestion de la clientèle »3)Sur la possibilité d’établir un lien entre deux finalités compatibles, voyez le considérant 50 du RGPD..

En revanche, le prospect qui ne devient pas client n’entre pas dans une relation contractuelle. Aussi, tout contact ultérieur qui prendrait place après les discussions tentant d’établir une relation contractuelle devrait se baser sur le consentement de cette personne physique à ce que vous traitiez ses données à caractère personnel conformément à une finalité bien définie (par ex. l’envoi d’une newsletter, l’envoi d’email de publicité,…).

Dès lors qu’il est établi que le fondement légal est différent, lui-même dépendant de la situation de fait qui vous lie à la personne concernée, la méthode de régularisation de votre base de données sera également différente.

Le consentement

La plupart des traitements actuellement effectués sur les données à caractère personnel sont réalisés sur base du consentement des personnes physiques.

La définition du consentement n’a pas évolué mais les conditions de validité de celui-ci sont désormais plus strictes.

Le consentement est défini dans le RGPD, comme « toute manifestation de volonté libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».4)Art. 4 point 11 RGPD.

La principale évolution5)La Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel prévoyait déjà que le consentement se devait d’être «libre, spécifique, éclairé et univoque». concerne l’obligation de recourir à l’acceptation via un acte positif clair. Celle-ci aura un impact sur la pratique de l’opt-out ou opt-in passif couramment utilisée aujourd’hui.

Cette pratique de l’opt-out consiste au pré-cochage d’une case qui prévoit l’acceptation du traitement de données à caractère personnel. De même, un consentement général visant tant les conditions générales que les règles en matière de traitement des données n’est plus envisageable.

Aussi, afin d’être en conformité avec le RGPD, il convient de vous assurer – et de vous ménager la preuve6)Article 7 RGPD. -, que les traitements de données à caractère personnel sont effectués sur base d’un consentement qui répond aux critères de validité du RGPD.

En pratique, la plupart des traitements recueillis ne seront pas conformes aux prescrits de la Réglementation et il convient donc d’obtenir un nouveau consentement « conforme au RGPD ».

Comment faire en pratique ? Soyez créatifs et pragmatiques !

La première idée, et la plus logique, est d’adresser un email à l’ensemble de sa base de données pour veiller à confirmer le consentement. Un exemple de mail est repris ci-dessous :

Chère Madame, Cher Monsieur,

Le 25 mai 2018 le RGPD (Règlement Général sur la Protection des Données) entrera en vigueur.

Si cette nouvelle n’est pas forcément de nature à vous bouleverser, elle pourrait cependant chambouler notre relation !

D’après ce Règlement, sans accord explicite de votre part, nous ne pourrons plus communiquer avec vous… Reconnaissez que ce serait dommage !

Nous ne pourrions plus vous envoyer d’informations relatives à nos services, plus de newsletter non plus ou toute autre offre promotionnelle qui vous intéressait ! En somme, plus aucun contact entre nous…

Pas envie de nous perdre de vue ? Alors cliquez simplement sur le bouton ci-dessous et remplissez le formulaire qui apparaîtra.

bouton

Le formulaire vers lequel dirige le bouton serait bien entendu totalement adapté au RGPD avec un renvoi clair vers la politique vie privée.

Outre les campagnes de réactivation via email, n’oubliez pas qu’un des moyens de communication les plus efficaces reste votre site internet. Le formulaire vers lequel le lien contenu dans l’exemple ci-dessus pourrait directement être accessible sur votre site permettant ainsi une récolte en direct via votre site internet (sous forme de pop up ou autre).

L’exécution d’un contrat

Dès lors que votre relation commerciale est établie sur une base contractuelle, la régularisation de votre base de données sera aisée en ce qu’elle ne nécessitera pas de demande particulière si tant est que vos traitements puissent entrer dans le cadre de l’exécution de votre contrat ou d’une finalité compatible avec cette finalité principale.

Le respect d’une obligation légale, l’exécution d’une mission d’intérêt public, la sauvegarde d’intérêts vitaux

Les bases de données contenant des données à caractère personnel et dont le traitement est justifié par une de ces trois bases légales ne nécessitent pas, hors le point fait ci-après concernant le principe de minimisation des données, de régularisation particulière.

L’intérêt légitime

Nous ne faisons pas partie de ceux qui considèrent que l’intérêt légitime est la solution miracle permettant d’éviter une réelle réflexion quant au traitement de données à caractère personnel.

L’objectif de la réglementation ne serait pas, selon nous, atteint s’il était envisageable que la base légale de l’intérêt légitime serve de base légale « fourre-tout » permettant aux responsables de traitement peu scrupuleux de ne pas, par exemple, prendre la peine de demander leur consentement aux personnes concernées.

En outre, la notion, dont l’interprétation est laissée à chaque responsable de traitement sous réserve de la réalisation, en application du principe de proportionnalité, d’une balance entre ses propres intérêts et les droits et libertés des personnes concernées reste, selon nous, trop peu définie pour qu’elle serve de fondement légal permettant de justifier le traitement de données que vous avez récupérées sans que les personnes concernées en soient mises au courant de quelque façon que ce soit.

La jurisprudence des Etats membres et surtout celle de la Cour de Justice de l’Union européenne sera nécessaire pour bien circonscrire le concept7)Poursuivant sa volonté de protéger les personnes physiques, la Cour de Justice de l’Union européenne a, par exemple, déjà étendu la notion de données à caractère personnel aux adresses IP dynamiques.
Voy. C.J.U.E (2è ch.), 19 octobre 2016, P. Breyer c. Bundesrepublik Deutschland , C-582/14, disponible sur http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d5104fab56cd7c48bea355f43196e1e7f2.e34KaxiLc3qMb40Rch0SaxyKax50?text=&docid=184668&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=1771402.
.

4. La nécessité des données comme nouveau dogme

Outre le travail de réflexion sur la base légale, le RGPD précise un principe relatif au traitement des données à caractère personnel : la minimisation des données.

La loi sur la protection de la vie privée à l’égard des traitements de données à caractère personnel prévoyait que les données devaient être « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont obtenues et pour lesquelles elles sont traitées ultérieurement. »

Le RGPD s’inscrit dans la même logique mais renforce8)Le principe de minimisation des données est considéré par le Contrôleur européen de la protection des données comme un garde-fou fondamental pour le respect de la dignité humaine. Dans ce sens, voy. l’Avis 07/2015, « Relever les défis des données massives. Un appel à la transparence, au contrôle par l’utilisateur, à la protection des données dès la conception et à la reddition de comptes », disponible sur https://edps.europa.eu/sites/edp/files/publication/15-11-19_big_data_fr.pdf. encore la règle en imposant que « les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. »

Cette caractéristique de « stricte nécessité » – et de manière générale tout le principe de minimisation des données sauf évidemment les exceptions prévues dans le Règlement – aura un impact important en matière de régularisation de vos bases de données quelle que soit la base légale utilisée.

Le travail de vérification de l’adéquation et de la pertinence consistera avant tout en la mise à jour des bases de données (en ce compris, évidemment, les copies des données et les archives).

Concernant le caractère de « limitation à ce qui est nécessaire », un travail de réflexion plus profond doit être effectué premièrement pour le passé mais aussi pour le futur.

Concernant le passé, il conviendra de procéder à un tri parmi les données stockées – et si nécessaire à la destruction de certaines données – au sein des bases de données actives, des copies ainsi que des bases de données d’archives que vous possédez en ce que, probablement, ces données ne sont pas nécessaires aux finalités que vous poursuivez.

En ce qui concerne le futur, les méthodes de collecte devront être repensées afin que celles-ci ne contiennent que des champs permettant de récolter des données à caractère personnel nécessaires aux finalités du traitement9)Nous ne rentrerons pas, dans la présente contribution, dans l’analyse du principe de « privacy by design » qui concerne pas directement la régularisation des bases de données..

5. Méthodologie de régularisation

Nous nous proposons d’établir ci-dessous un résumé pratique des étapes importantes du processus de régularisation de vos bases de données.

  1. Identifier la source des données et de la méthode de collecte de celles-ci.
  2. Définir la base légale « RGPD » justifiant le traitement de ces données.
  3. Effectuer un tri et une destruction des données qui ne sont pas nécessaires au regard des finalités que vous poursuivez.
  4. Procéder à un renouvellement du consentement pour les données à caractère personnel récoltées et traitées sur cette base légale et garder la preuve de celui-ci.
  5. « Le droit d’être laissé tranquille est effectivement le début de toute liberté »10)Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (Juge William O. Douglas, juge dissident).

L’exposition de certains principes relatifs, notamment, à la minimisation des données peut faire craindre une (re)fonte de votre base de données. Même si des solutions existent concernant la conservation des données à caractère personnel, par exemple, l’anonymisation ou encore le data fading, il conviendrait peut-être de remettre les pieds sur terre concernant le traitement de données à caractère personnel.

S’il peut être complexe d’y voir un aspect positif à l’heure actuelle en tant qu’entreprise, pensez bien que cette réglementation vous protège également en tant que personne concernée qui faites l’objet de traitements de vos données à caractère personnel.

Les données à caractère personnel appartiennent à chacun d’entre nous et l’objectif majeur du RGPD est précisément de nous en assurer une meilleure protection.

Finalement, la remise des personnes physiques au centre du débat relatif à leurs données à caractère personnel n’est pas grand-chose de plus qu’un retour à la raison.

Une question sur le RGPD ? Contactez-nous !

Le 25 mai prochain entrera en vigueur le RGPD (Règlement Général sur la Protection des Données). Ce sujet éminemment « trendy » fait naître chez certains une réelle crainte quant à leur conformité future alors que pour d’autres il reste noté sur la première ligne du post-it « to-do » depuis deux ans déjà – le texte a été adopté le 27 avril 2016 – sans pour autant qu’aucune action concrète n’ait été entamée.

Sans être exhaustifs sur les détails et subtilités du RGPD, notamment les droits des personnes concernées, Frédéric Dechamps et Nathan Vanhelleputte Barcelona reviennent sur un sujet qui préoccupe la plupart des entreprises que le cabinet Lex4u conseille : la régularisation de leurs bases données.

References   [ + ]

1. Pour un exemple dans l’air du temps, voyez :
http://www.lalibre.be/economie/digital/facebook-confirme-ce-que-nous-redoutions-tous-5ad58105cd702f0c1aed96e8
2. Rappelons que la phase précontractuelle est incluse dans la base légale de l’exécution d’un contrat pour autant que la demande émane de la personne concernée, Article 6 RGPD.
3. Sur la possibilité d’établir un lien entre deux finalités compatibles, voyez le considérant 50 du RGPD.
4. Art. 4 point 11 RGPD.
5. La Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel prévoyait déjà que le consentement se devait d’être «libre, spécifique, éclairé et univoque».
6. Article 7 RGPD.
7. Poursuivant sa volonté de protéger les personnes physiques, la Cour de Justice de l’Union européenne a, par exemple, déjà étendu la notion de données à caractère personnel aux adresses IP dynamiques.
Voy. C.J.U.E (2è ch.), 19 octobre 2016, P. Breyer c. Bundesrepublik Deutschland , C-582/14, disponible sur http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d2dc30d5104fab56cd7c48bea355f43196e1e7f2.e34KaxiLc3qMb40Rch0SaxyKax50?text=&docid=184668&pageIndex=0&doclang=FR&mode=req&dir=&occ=first&part=1&cid=1771402.
8. Le principe de minimisation des données est considéré par le Contrôleur européen de la protection des données comme un garde-fou fondamental pour le respect de la dignité humaine. Dans ce sens, voy. l’Avis 07/2015, « Relever les défis des données massives. Un appel à la transparence, au contrôle par l’utilisateur, à la protection des données dès la conception et à la reddition de comptes », disponible sur https://edps.europa.eu/sites/edp/files/publication/15-11-19_big_data_fr.pdf.
9. Nous ne rentrerons pas, dans la présente contribution, dans l’analyse du principe de « privacy by design » qui concerne pas directement la régularisation des bases de données.
10. Public Utilities Commission v. Pollak, 343 U.S. 451, 467 (1952) (Juge William O. Douglas, juge dissident).
CategoryPrivacy

Lex4u, cabinet d'avocats d'affaires
Avenue Louise 54
1050 Bruxelles