Me REVOL : « Avec le RGPD, obligation pour les bailleurs et promoteurs de s’assurer
du bon traitement des données par leurs sous-traitants »
Ce sont 4 lettres qui font, depuis quelques semaines, la Une de l’actualité technologique. Le RGPD (ou Règlement général sur la protection des données) est entré en vigueur depuis le 25 mai 2018 dans l’ensemble des 28 Etats membres de l’Union Européenne. S’il fait souffler un vent de panique chez certains géants californiens ou poids lourds du e-commerce, nombre d’entreprises, comme OGGA, se sont déjà conformées aux règles de protection des données de leurs clients. Pour faire le point, nous avons interrogé Maître Stéphanie REVOL, Avocat intervenant en droit des nouvelles technologies…
Que change ce fameux RGPD ?
Me Stéphanie REVOL : Ce qu’il faut avant tout rappeler c’est qu’en matière de données personnelles la loi Informatique et Libertés de 1978 impose un cadre assez strict aux responsables de traitement et que les grands principes étaient déjà présents. Depuis le 25 mai 2018, le droit européen est harmonisé par le RGPD. Ce règlement vient renforcer le droit des personnes et les obligations du responsable de traitement et de ses sous-traitants. Il instaure notamment un nouveau principe de responsabilisation, l’Accountability, qui impose aux opérateurs de mettre en place des mesures appropriées pour s’assurer de la conformité de leurs traitements et d’être en mesure de démontrer cette conformité. C’est un changement de paradigme car jusqu’à présent les entreprises, associations, collectivités, etc., étaient supposées être en conformité, mais la loi n’imposait pas au responsable de traitement de le démontrer par une documentation particulière.
Le principe est la responsabilisation alors que la donnée personnelle est partout.
C’était finalement à la discrétion et selon la volonté éthique de chaque entreprise de faire savoir aux utilisateurs comment ils traitaient leurs données ?
Me Stéphanie REVOL : Sur un plan strictement légal non. La loi Informatique et Libertés s’impose aux responsables de traitement. Et en matière d’information et de respect des droits des personnes concernées, la loi impose aux responsables de traitement un certain nombre d’obligations. Ceci étant, si la plupart des responsables de traitement se sentaient concernés, ils s’inscrivaient sans doute plus dans la réaction que dans une politique proactive. Or il y a de la donnée personnelle de partout, tout le temps et dans tous les secteurs ! Que ce soit RH, clients, prospects… Dès lors que vous avez un nom et un prénom, vous avez de la donnée personnelle à gérer !
Le Règlement change la donne, notamment en imposant aux organisations d'être en mesure, à tout moment, de démontrer la conformité de leurs traitements avec le Règlement.
On parle beaucoup de données, mais finalement c’est quoi une donnée ?
Me Stéphanie REVOL : Le Règlement s’applique en effet aux traitements de données à caractère personnel. Ces données sont définies à l’article 4 du règlement comme toute information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement, via son nom, son numéro d’identification, des informations physiques, physiologiques, psychiques, économiques, culturelles, sociales ou de localisation.
Par exemple, l’adresse IP est considérée comme une donnée à caractère personnel car elle permet de « remonter » jusqu’à une personne physique.
Les acteurs de la smarthome doivent séparer la donnée de consommation pure de la donnée personnelle.
Quels types de données collectent les sociétés dans le secteur de la smarthome ?
Me Stéphanie REVOL : Ces sociétés collectent de la donnée personnelle, mais aussi de la donnée de consommation à l’instar de ce qui est collecté par les compteurs communicants, dont on a entendu parler ces dernières semaines.
La problématique des données personnelles se poser même si ces données personnelles sont séparées des données de consommation. A minima le système développé doit permettre de séparer la donnée de consommation pure de la donnée personnelle, et de pseudonymiser ou d’anonymiser les informations recueillies.
Si j’utilise une solution comme celle d’OGGA, je peux me demander ce qu’on fait de mes informations : Consommations, habitudes, temps de présence chez moi… Comment rassurer le grand public et les partenaires ?
Me Stéphanie REVOL : La transparence s’impose en application du Règlement, d’ailleurs celui-ci renforce les obligations du responsable de traitement en précisant les informations que celui-ci doit fournir à la personne concernée.
Parmi ces informations figurent notamment la finalité du traitement, la base légale de celui-ci, les destinataires des données, leur durée de conservation…
Le Règlement rappelle un autre principe très important, c’est que la collecte des données doit être minimisée : Ne sont recueillies que les données nécessaires au regard des finalités pour lesquelles elles sont traitées. Ainsi lorsque le traitement se fonde sur la seule exécution du contrat, seules les données nécessaires à cette exécution doivent être collectées.
Enfin de manière plus générale, l’information et la transparence des entreprises sur les données détenues permet de renforcer la confiance tant des partenaires que des clients.
La mise en œuvre de process internes et de bonnes pratiques, un vecteur de confiance pour les partenaires
Justement comment des start-ups comme OGGA doivent s’adapter à ces nouvelles normes ?
Me Stéphanie REVOL : Ces opérateurs doivent s’inscrire dans une démarche de conformité qui implique avant tout de dresser « un état des lieux », une cartographie des traitements permettant de s’assurer que les traitements existants s’inscrivent dans le respect des dispositions de la Loi Informatique et Libertés et du RGPD. Cela implique notamment d’évaluer ses process internes et d’auditer ses outils contractuels afin de s’assurer des conditions de la collecte des données, de la licéité des traitements et du respect des droits des personnes. Cette démarche doit permettre d’identifier les actions de mise en conformité et de mettre en place un calendrier de mise en conformité.
Comment se traduit concrètement le RGPD pour les partenaires des sociétés de la Smarthome, qu’ils soient bailleurs sociaux ou promoteurs ?
Me Stéphanie REVOL : En qualité de responsables de traitement, ces opérateurs ont l’obligation de s’assurer que les sous-traitants qui traitent pour leur compte des données à caractère personnel présentent des garanties suffisantes et appropriées afin de répondre aux exigences du Règlement.
Les traitements de données confiés à un prestataire doivent nécessairement faire l’objet d’un écrit définissant notamment les obligations et les droits du responsable de traitement et du sous-traitant.
Par ailleurs il faut rappeler que les sous-traitants sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Encore une fois, la mise en œuvre de process internes et de bonnes pratiques est un vecteur de confiance pour les partenaires.
Écrire commentaire