# Parlons RGPD ## RGPD ? Mais encore ? Au-delà de l'acronyme ### Règlement Général <!-- .element: class="fragment" data-fragment-index="1" --> ### sur la Protection des Données <!-- .element: class="fragment" data-fragment-index="2" --> - un règlement, c'est l'équivalent d'une loi au sein de toute l'Union Européenne <!-- .element: class="fragment" data-fragment-index="3" --> - on va voir de quelles données on parle <!-- .element: class="fragment" data-fragment-index="4" --> Le RGPD a été définitivement **adopté le 14 avril 2016** après une longue période d'élaboration commencée en 2009. Il est **entré en vigueur le 25 mai 2018**, il s'applique dans toute l'Europe depuis cette période. ## Le RGPD ne vient pas de nulle part Pourquoi le RGPD au fait ? #### Des ancêtres législatifs Dès 1978, après une forte contestation d'un <a href="https://fr.wikipedia.org/wiki/Syst%C3%A8me_automatis%C3%A9_pour_les_fichiers_administratifs_et_le_r%C3%A9pertoire_des_individus">projet de création d'un grand fichier de toutes les personnes en France</a>, la loi *Informatique et Libertés* introduit la notion de *donnée nominative* et oblige la déclaration de tout fichier manipulant ces données. Le contrôle de ces fichiers est confiée à la <a href="https://cnil.fr">CNIL</a>, une autorité indépendante créée pour l'occasion. À la même époque ailleurs en Europe, d'autres lois similaires sont adoptées: - dans le Land de Hesse en Allemagne en **1971** - en Suède en **1973** - dans toute l'Allemagne en **1977** Petit à petit, c'est un cadre européen qui se construit: - l'OCDE adopte des lignes directrices sur la question en **1980** - en **1981** une convention internationale du Conseil de l'Europe s'inspirant de la loi française est signée - le **24 octobre 1995**, l'UE adopte une directive, premier cadre obligatoire européen, qui introduit la notion de "*données à caractère personnel*" #### Élement de contexte #1: la surveillance massive des États au grand jour En <a href="https://fr.wikipedia.org/wiki/R%C3%A9v%C3%A9lations_d%27Edward_Snowden">mai 2013</a>, Edward Snowden révèle la coopération des grandes entreprises américaines à un programme massif de collecte de données personnelles par le gouvernement américain. Câbles intercontinentaux, logiciels de messagerie, opérateurs téléphonique, emails : tout a été mis à contribution pour surveiller des citoyen⋅ne⋅s du monde entier et des organisations internationales. Microsoft, Google, Apple, etc. : toutes les grandes entreprises américaines du numérique ont participé aux différents programmes de surveillance. #### Élement de contexte #2: L'explosion des mouchards numériques Avec l'explosion des usages d'Internet est venue l’explosion des *mouchards numériques* sur les sites internet et dans les applications. Un <a href="https://www.lemonde.fr/les-decodeurs/article/2018/03/30/cookies-mouchards-comment-vous-etes-suivis-sur-internet_5278722_4355770.html">mouchard numérique</a>, c'est un bout de code informatique contenu dans un site ou une application que vous utilisez et qui, sans que vous soyez forcément au courant, va transmettre tout un ensemble de données vous concernant à l'entreprise qui a mis le mouchard. Certains de ces mouchards sont réalisés par des entreprises que vous connaissez, comme *Facebook* ou *Google*, d'autres par des entreprises spécialisées dans la publicité, comme *Criteo* ou *Taboola*. Tous servent essentiellement pour de la **publicité ciblée**, où votre comportement est analysé pour déterminer que vous êtes censé⋅e être intéressé⋅e par tel ou tel produit. ##### Ces mouchards numériques sont presque partout: - **16** mouchards dans <a href="https://reports.exodus-privacy.eu.org/fr/reports/fr.meteo/latest/">l'application Meteofrance</a> *(au 20 mars 2022)* - **13** mouchards dans <a href="https://reports.exodus-privacy.eu.org/fr/reports/com.aufeminin.marmiton.activities/latest/">l'application Marmiton</a> *(au 10 janvier 2022)* - **une douzaine** sur le site 6play.fr *(au 22 mars 2022)* ##### Ces mouchards peuvent aussi avoir des implications au-delà d'Internet: - Izly, l’application de paiement des RU <a href="https://www.lemonde.fr/pixels/article/2017/10/20/izly-l-appli-du-cnous-qui-geolocalise-des-etudiants-et-renseigne-des-societes-publicitaires_5203902_4408996.html">envoyait la localisation de millions d’étudiant⋅e⋅s à une entreprise privée</a> - Deux entreprises publicitaires utilisaient différentes applis pour <a href="https://www.nextinpact.com/news/106880-la-cnil-reexplique-consentement-libre-et-explicite-dans-deux-mises-en-demeure.htm">pister des client⋅e⋅s dans les magasins</a> #### Élément de contexte #3: L'enjeu des fuites de données Plus on multiplie les plateformes et outils numérisés qu'on utilise, plus on multiplie aussi la quantité de données stockées un peu partout, avec la possibilité de plus en plus grande que certaines de ces données soient perdues ou volées. ##### Des exemples de fuites de données massives: - Facebook a rendu accessible par erreur les noms, identifiants Facebook, messages privés, ... de <a href="https://www.upguard.com/breaches/facebook-user-data-leak">plusieurs millions de personnes en 2019</a> - Les emails, numéros de téléphone, dates de naissances et autres questions de sécurité de <a href="https://www.nytimes.com/2016/09/23/technology/yahoo-hackers.html">500 millions de personnes</a> ont été volées à Yahoo en 2014 #### Élément de contexte #4: Des pouvoirs réduits de sanction Avant le RGPD, le pouvoir de sanction des différentes autorités nationales de protections des données étaient très faibles. En France, l'amende maximum que la CNIL pouvait infliger était de 150 000 €, un montant complètement anecdotique pour une entreprise comme Google. ## Les grands principes Dans le vif du sujet. #### Champ d'application Le RGPD s’applique à toutes les structures, européennes ou non, dès lors qu’elles "*ciblent*" des citoyen⋅ne⋅s européen⋅ne⋅s. Le ciblage se détermine en fonction de critères objectifs : publicité spécifique, paiement en Euro possible, langue utilisée, ... Le RGPD s'applique donc à toutes les entreprises, collectivités locales ou associations européennes, sans exception. #### Quelles données sont concernées ? Le RGPD concerne les *données personnelles*, c'est à dire: > Toute information se rapportant à une personne physique qui peut être identifiée directement ou indirectement Le texte du RGPD utilise la formulation "*directement ou indirectement*": le RGPD s'applique aussi dans les cas où on peut identifier une personne en combinant des sources différentes. ##### Exemples de données personnelles: - un numéro de sécurité sociale - une adresse mail - l'adresse IP de votre connexion Internet - un identifiant client dans une base de données commerciale #### Les collectes de données personnelles doivent respecter un certain nombre de grands principes: ##### Principe #1: la liceité On ne peut collecter des données qu'en s'appuyant sur un certain nombre de **bases légales**: - l'exécution d'une mission de service public - l'exécution d'un contrat - le respect d'une obligation légale - la sauvegarde des intérêts vitaux de la personne - l'intérêt légitime de la structure collectant les données - le consentement ##### L'intérêt légitime ? L'intérêt légitime est la base la plus complexe. Elle permet de gérer un certain nombre de cas non prévus autrement, mais a un cadre plus rigide. Voir ce <a href="https://www.cnil.fr/fr/les-bases-legales/interet-legitime">guide de la CNIL</a> pour plus de détails. ##### Sur le consentement Le consentement au traitement de données personnelles peut permettre de collecter et de traiter des données. Par contre, la notion de consentement est particulièrement exigeante dans le RGPD, le consentement doit être exprimé de façon > libre, spécifique, éclairée et univoque En pratique, cela signifie que tout un tas de pratiques trompeuses sont interdites: - pas de consentement par défaut - pas de case cochée à décocher - pas de bouton noyé au milieu d'un océan de texte - ... On ne peut pas non plus obliger une personne à consentir pour utiliser un service: > si la personne concernée n'a pas un véritable choix, se sent contrainte de consentir ou subira des conséquences négatives si elle ne consent pas, alors son consentement n'est pas valide Par ailleurs, les mineurs ne peuvent consentir à une collecte de données **qu'à partir de 15 ans** en France. Pour finir, **le consentement peut être retiré à tout moment**, et les données collectées à ce titre doivent alors être supprimées. Bref, le consentement n'est à utiliser que si aucune autre finalité ne peut être envisagée. Plus de détail sur le consentement dans <a href="https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf">le livret spécifique de la CNIL</a>. ##### Principe #2: la loyauté et la transparence Les personnes dont les données sont collectées doivent être informées du cadre dans lequel les données sont collectées, des droits que cette collecte entraîne ainsi que des données précises qui sont collectées. Toute collecte de données doit se faire en toute honnêteté et en toute transparence. ##### Principe #3: la limitation des finalités Toute donnée collectée doit l'être pour une raison précise et spécifique et, une fois collectée pour cette raison, elle ne peut pas être utilisée pour une autre raison. Il existe juste certaines exceptions très spécifiques notamment pour des questions d'archivage ou de statistiques. ##### Principe #4: la minimisation On ne doit collecter que les données strictement nécessaires, et aucune donnée supplémentaire. ##### Principe #5: l'exactitude Les données doivent être tenues à jour, et modifiées si nécessaire en cas de changement. ##### Principe #6: la limitation dans le temps Toute donnée ne doit être conservée que pendant la durée qui est strictement nécessaire à la finalité pour laquelle elle a été collectée. Une fois cette finalité réalisée, la donnée doit être supprimée. ##### Principe #7: intégrité et confidentialité Toute donnée collectée ne doit être transmise qu'aux personnes qui en ont besoin, avec des mesures de sécurité permettant de les protéger et de garantir leur intégrité sur le long-terme. #### Droits des personnes Les droits reconnus aux personnes dans le cadre RGPD découlent des grands principes que nous venons de voir. Tout d'abord, il faut expliciter le cadre des traitements réalisés. Le cadre, c'est-à-dire tout ce qui est listé plus haut : finalités, données concernées, base légale, ... La personne concernée a un **droit à l’effacement** pour des données qui ne sont plus nécessaires, ou qui n’étaient pas licites au départ. Elle a aussi un **droit d’accès et de rectification**, et dispose aussi d’un droit de récupérer toutes ses données pour (éventuellement) les transférer vers un autre prestataire #### Responsabilités Il est du ressort d’une structure collectant des données de s’assurer d’avoir: > pris des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement Notamment, il est nécessaire de s’assurer que les sous-traitants utilisés présentent des "*garanties suffisantes*". Même chose si le sous-traitant sous-traite à son tour. La structure doit aussi "*garantir un niveau de sécurité adapté au risque*", et notifier l’autorité de contrôle (la CNIL en Frnace) et la personne concernée en cas de perte ou de vol des données. Si les données sont transférées en dehors de l’Union Européenne, il faut s’assurer que le pays et la structure destinataires présentent des "*garanties appropriées"*, c'est-à-dire que les droits des personnes sont bien garantis. Un sujet particulièrement sensible est le transfert de données vers des prestataires américains. À l'heure actuelle, il existe une jurisprudence claire établissant **que tout transfert potentiel de données vers les USA pose problème**. Une fois encore, plus de détail sur <a href="https://www.cnil.fr/fr/responsables-de-traitement-comment-identifier-et-traiter-des-transferts-de-donnees-hors-ue">la fiche spécifique de la CNIL</a>. ## Entamer la mise en conformité Où on ne panique surtout pas. #### À garder en tête Le RGPD est nouveau, mais la CNIL, qui est chargée de son application, ne l’est pas. Depuis sa création, elle a toujours montré une compréhension certaine à l’égard des associations, et une volonté claire de laisser aux structures le temps de se mettre en conformité en cas d’erreur de bonne foi. #### Première étape, le registre Le point de départ du processus de mise en conformité est le **registre des activités de traitement**. Celui-ci est obligatoire pour les structures de plus de 250 salarié⋅e⋅s, et, même s'il n'est pas obligatoire pour les autres, c'est un outil indispensable pour évaluer sa conformité. Le registre est un outil indispensable, parce que la seule manière d'avoir une idée des traitements de données qui ont lieu dans sa structure, c'est d'essayer de les documenter de manière exhaustive et précise. Pour constituer ce registre, il faut identifier toutes les activités de traitement des données personnelles qui ont lieu dans la structure, et répondre, pour chacune des activités identifiées, aux questions : - *Quelles données ?* - *Pour quelle finalité ?* - *Qui a accès ?* - *Pour quelle durée ces données sont-elles stockées ?* - *Où sont stockées les données et avec quelles mesures de sécurité ?* Le format du registre est libre, mais la <a href="https://www.cnil.fr/sites/default/files/atoms/files/registre_rgpd_basique.pdf">CNIL fournit un modèle</a>. Ce modèle détaille l’ensemble des données nécessaires pour ne rien oublier, donc c'est un bon point de départ pour le travail de documentation. #### Deuxième étape, le ménage Établir le registre est l’occasion de vérifier que vous ne collectez pas de données inutiles. Est-ce que chaque information que vous collectez est réellement nécessaire ? "*On a toujours fait comme ça*" ou "*c'est pratique d'avoir ça sous la main des fois*" ne sont pas des réponses valables. S'il n'est pas possible d'identifier une base légale claire pour un traitement de données précis, alors les données ne doivent plus être collectées et stockées. De la même manière, est-ce que l’accès aux données est aussi sécurisé et restreint que possible ? La question des pratiques de sécurité se pose à ce stade (politique de mots de passe, sécurisation des postes, ...). Pour finir, assurez-vous que vous supprimez les données dès qu’elles ne sont plus nécessaires. Idéalement, cette suppression se fait de manière automatique. **Moins vous stockerez de données, moins vous aurez à assumer de responsabilités et de contraintes**, donc ce grand ménage peut vous simplifier énormément la vie pour plus tard. #### L'épineuse question de la sous-traitance Dans beaucoup de structures, la gestion des données est externalisée et sous-traitée à un prestataire externe, ce prestataire est lui-même susceptible de sous-traiter à son tour certains aspects de sa prestation. Il est nécessaire de s’assurer que cette chaîne de sous-traitance est conforme au RGPD. Pour guider la décision, si un prestataire n’affiche aucune politique claire de protection de la vie privée, il vaut mieux s’en méfier. De la même manière, **les différents services gratuits des grandes entreprises (type Google) n’offrent en général aucune garantie de confidentialité des données**, leur modèle économique étant en général fondé sur la commercialisation de ces mêmes données. #### Communication et modalités d'exercice des droits Les personnes dont vous collectez les données personnelles doivent être informées sur chaque support de collecte de données d’un ensemble d’éléments : - pourquoi ces données sont collectées - la base légale de la collecte - qui a accès à ces données (avec une attention particulière à une sous-traitance éventuelle) - durée de conservation - modalité d’exercice des droits correspondant à ces données Afin que l’exercice des droits attachés aux données personnelles soit effectif, il est nécessaire de formaliser un processus interne d’exercice de ces droits : - *Qui en a la responsabilité au sein de votre structure ?* - *Comment les personnes concernées peuvent contacter ce ou cette responsable ?* - *De quelle manière un traitement rapide est-il garanti ?* ## Ressources en ligne Pour approfondir et mettre en application. L'excellente page <a href="https://www.cnil.fr/fr/rgpd-par-ou-commencer">RGPD : par où commencer ?</a> de la CNIL décrit de manière claire et accessible le processus de mise en conformité, avec des références vers des fiches thématiques si nécessaire. Sur la question des pratiques de sécurité en général : - <a href="https://www.ssi.gouv.fr/guide/guide-des-bonnes-pratiques-de-linformatique/">Guide des bonnes pratiques de l’informatique</a> - <a href="https://www.ssi.gouv.fr/guide/guide-dhygiene-informatique/">Guide d’hygiène informatique</a> Pour des éléments juridiques précis sur les différents éléments du RGPD : <a href="https://www.cnil.fr/fr/reglement-europeen/lignes-directrices">Lignes directrices des CNIL d’Europe</a>. L'INRIA propose un MOOC <a href="https://www.fun-mooc.fr/fr/cours/protection-de-la-vie-privee-dans-le-monde-numerique/">"*Protection de la vie privée dans le monde numérique*"</a>