FOCUS

RGPD: Du recueil à la preuve du consentement

A l’heure du « Big Data » et de la collecte massive de données numériques, les fichiers clients constituent la nouvelle source de richesse des entreprises. Toutefois, le traitement de ces données dites « personnelles »  est strictement encadré, notamment grâce au consentement qui  permet aux personnes d’exercer un réel contrôle sur le traitement de leurs données. Le Règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, est venu préciser les conditions d’obtention et de démonstration d’un consentement valable.

Prouver sa conformité au RGPD

Depuis le 25 mai 2018, les entreprises sont tenues de se conformer aux dispositions du règlement général sur la protection des données (RGPD). Un des changements majeurs du RGPD concerne la suppression de l’obligation de déclaration des traitements auprès de la Cnil au profit du principe d’accountability. Le responsable de traitement a donc l’obligation de mettre en œuvre des mécanismes et procédures internes afin de démontrer sa conformité au règlement.

Secteurs régulés et régime applicable

Depuis des millénaires, l’homme a recours à des moyens techniques tels que le chiffrement pour conserver des informations secrètes. Dans certains secteurs d’activité, le secret constitue une véritable obligation pour le professionnel, dépositaire de ce secret. Ainsi, dans le domaine médical, les professionnels de santé s’engagent, depuis le Serment d’Hippocrate, à taire les secrets qui leur sont confiés. Il en est de même dans le domaine bancaire. Or, l’avènement du numérique et ses nouveaux usages rendent indispensable l’évolution des pratiques afin d’assurer la confidentialité et la sécurité de ces données.

La protection des secrets

Certaines informations sensibles devant demeurer secrètes, telles que celles concernant l’état de santé d’un patient, les échanges entre un avocat et son client ou encore la stratégie d’une entreprise, font l’objet d’une protection spécifique par le législateur. L’utilisation des nouvelles technologies et les risques associés, comme les cyberattaques, peuvent également nécessiter la mise en place de mesures de protection technique adaptées.

Les principales sanctions en cas d'atteinte aux données

Le 21 janvier 2019, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé une sanction record de 50 millions d’euros à l’encontre de la société Google pour non-respect des dispositions du RGPD. Dans le contexte actuel, les sanctions sont d’autant plus élevées que les risques pour la confidentialité, l’intégrité et la disponibilité des données sont importants.

Se prémunir contre une atteinte aux données

Plus de 700 millions de cyberattaques auraient été enregistrées à travers le monde en 2017 pour un coût total estimé de 600 milliards de dollars. Dans ces circonstances et quelle que soit sa taille, une entreprise doit prendre la mesure de la menace que représente la cybercriminalité et mettre en place des mesures préventives afin de minimiser le risque d’atteinte à la confidentialité, à l’intégrité et/ou à la disponibilité des données.

Le régime juridique du chiffrement

Depuis des millénaires, le chiffrement est utilisé afin de rendre inintelligibles des informations pour tous ceux qui ne sont pas autorisés à les recevoir.  En effet, la crainte des interceptions fut à l’origine du développement des codes et des chiffres, techniques utilisées pour déguiser un message afin que seul son destinataire désigné puisse le lire. Pourtant, il aura fallu attendre l’entrée en vigueur de la loi sur la confiance dans l’économie numérique (LCEN) en 2004, pour que soit instauré un droit au chiffrement des données en France. Cette technologie est d’ailleurs vivement conseillée pour les entreprises afin de garantir le secret des affaires. La Commission nationale de l’informatique et des libertés (Cnil), elle-même, s’est positionnée en faveur du chiffrement des données comme moyen de sécurisation des données personnelles.