Introduction
Dernière mise à jour le 25 septembre 2020 venant refléter la décision de la Cour de justice de l’Union européenne concernant l’arrêt Schrems II.
Un aperçu des nouvelles réglementations en matière de protection des données à caractère personnel qui entrent en vigueur le 25 mai 2018 et de certaines bonnes pratiques pour la mise en conformité avec le RGPD.
Le RGPD est le changement le plus important qui a été apporté à la réglementation concernant la protection des données à caractère personnel au cours de ces dernières décennies. Les entreprises s’efforcent de modifier en conséquence leurs systèmes et contrats, et celles qui utilisent des plateformes conformes et respectueuses de la vie privée ont une longueur d’avance. Ce guide a pour but d’aider nos utilisateurs à comprendre ce que le RGPD implique, en quoi il permet d’améliorer les activités de traitement des données et comment être et rester en conformité avec le RGPD.
Avertissement : ce guide du RGPD est fourni à titre informatif uniquement. Il ne constitue en rien un avis juridique. Pour savoir quel impact le RGPD peut avoir sur votre activité, nous vous invitons à vous rapprocher de votre conseiller juridique.
Qu’est-ce que le RGPD ?
Le règlement général sur la protection des données (RGPD) est une nouvelle réglementation de l’Union européenne sur la protection des données à caractère personnel. Il prévoit des mesures de protection plus pointues dans les systèmes des entreprises, des accords de protection des données plus nuancés, une approche plus protectrice des consommateurs et davantage de transparence sur les pratiques des entreprises en matière de protection des données personnelles.
Le RGPD remplace le cadre réglementaire actuel de l’UE en matière de protection des données, qui a été institué en 1995 (et qui est communément connu sous le nom de « Directive sur la protection des données »). La Directive sur la protection des données a été intégrée au droit interne des États membres de l’UE, ce qui a entraîné un problème de cohérence entre les lois sur la protection des données des différents pays membres de l’UE. Le RGPD étant un règlement européen ayant des effets juridiques directs dans tous les États membres et il n’est donc pas nécessaire de le transposer dans le droit interne des États membres de l’UE pour qu’il soit juridiquement contraignant. Ceci contribue donc à renforcer la cohérence et l’application harmonieuse de la réglementation au sein de l’UE.
Le RGPD peut s’appliquer aux entreprises situées en-dehors de l’UE
Contrairement à la Directive sur la protection des données, le RGPD concerne toutes les entreprises internationales, et pas uniquement celles domiciliées en Europe. Une entreprise peut entrer dans le champ d’application du RGPD si (i) elle est domiciliée sur le territoire de l’UE, ou (ii) elle n’est pas domiciliée sur le territoire de l’UE mais traite des données se rapportant à l’offre de biens et de services à des ressortissants d’États membres de l’UE ou à l’analyse des comportements de ces derniers.
Le traitement des données personnelles est un concept élargi dans le cadre du RGPD
Le RGPD réglemente la façon dont les entreprises peuvent traiter les données personnelles des ressortissants des États membres de l’UE. Les « données personnelles » et le « traitement » sont des termes fréquemment employés dans la législation, et bien comprendre leur signification dans le cadre du RGPD est essentiel à la compréhension du champ d’application de ce règlement :
-
Sont des données à caractère personnel les informations concernant un individu identifié ou identifiable. Il s’agit d’un concept très vaste dans la mesure où il inclut toute information susceptible d’être utilisée individuellement ou combinée à d’autres informations, pour identifier une personne. Les données à caractère personnel n’incluent pas seulement le nom ou l’adresse de courriel d’une personne. Elles comprennent également d’autres informations comme des informations financières et même, dans certains cas, une adresse IP. En outre, certaines catégories de données à caractère personnel font l’objet d’un degré de protection plus élevé en raison de leur nature sensible. Ces catégories de données sont les informations sur l’origine raciale ou ethnique d’un individu, ses opinions politiques, ses croyances religieuses ou philosophiques, son appartenance à des organisations syndicales, ses données génétiques ou biométriques, ses antécédents médicaux, sa vie sexuelle ou son orientation sexuelle et son casier judiciaire.
-
Le traitement des données à caractère personnel est la principale activité qui déclenche les obligations qu’impose le RGPD. Le traitement désigne toute opération ou ensemble d’opérations accomplies sur des données à caractère personnel ou ensembles de données à caractère personnel, par des moyens automatisés ou non, comme la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou la combinaison, la limitation, l’effacement ou la destruction. Concrètement, cela signifie que tout procédé permettant la conservation ou la consultation de données à caractère personnel est considéré comme du traitement.
Concepts clés : responsables du traitement et sous-traitants des données
Selon la loi sur la protection des données de l’UE, deux types d’entités peuvent traiter des données à caractère personnel : les responsables et sous-traitants des données.
Le responsable du traitement (« responsable ») est l’entité qui, seule ou conjointement avec d’autres entités, détermine les finalités et les moyens du traitement de données personnelles. Le sous-traitant des données (« sous-traitant ») est l’entité qui traite des données à caractère personnel pour le compte du responsable.
Il est important de déterminer pour chaque activité de traitement de données si l’entité qui traite les données à caractère personnel est un responsable ou un sous-traitant. Cette analyse permet à une entreprise de savoir quels droits et obligations sont associés à chacune de ses opérations de traitement de données.
Pour certaines de ses activités de traitement de données, Stripe agit en tant que responsable des données, tandis que pour d’autres elle agit en tant que sous-traitant des données. L’activité de Stripe qui consiste à traiter des transactions effectuées par cartes bancaires illustre bien ce double rôle. L’exécution de telles transactions nécessite le traitement de données à caractère personnel, comme le nom du titulaire de la carte, le numéro de carte, la date d’expiration de la carte et le code CVC. Les données concernant le titulaire de la carte sont transmises de l’utilisateur Stripe à Stripe, par l’intermédiaire de l’API Stripe (ou toute autre méthode d’intégration comme Stripe Elements). Stripe utilise ensuite les données pour finaliser la transaction dans les systèmes des réseaux de cartes bancaires, tâche que Stripe accomplit en tant que processeur de données. Cependant, Stripe utilise également les données pour se conformer à ses obligations réglementaires (comme les procédures Know-Your-Customer (« KYC » ou connaissance du client) et la prévention du blanchiment d’argent (Anti-Money-Laundering (« AML »)), et lorsqu’elle endosse ce rôle, Stripe agit en tant que responsable des données.
Fondement juridique du traitement de données à caractère personnel dans le RGPD
Il convient ensuite de déterminer si une activité de traitement de données spécifique est conforme au RGPD. En vertu du RGPD, chaque opération de traitement de données accomplie en tant que responsable ou sous-traitant doit s’appuyer sur un fondement juridique. Le RGPD reconnaît six fondements juridiques pour le traitement des données à caractère personnel de ressortissants d’États membres de l’UE (dans le RGPD, les ressortissants d’États membres de l’UE sont désignés par le terme « personnes concernées »). Ces six fondements, énumérés aux alinéas (a) à (f) de l’article 6(1) du RGPD, sont :
-
La personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques ;
-
Le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou pour répondre à une demande de la personne concernée avant la passation d’un contrat ;
-
Le traitement est nécessaire au respect d’une obligation légale à laquelle le contrôleur est soumis ;
-
Le traitement est nécessaire à la protection des intérêts vitaux de la personne concernée ;
-
Le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ; ou
-
Le traitement est nécessaire aux fins des intérêts légitimes poursuivis par l’entité, à moins que ces intérêts soient contraires aux intérêts, libertés ou droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel.
Il existe des similarités entre la liste des traitements autorisés en vertu du RGPD et celle de la Directive sur la protection des données. En revanche, il existe également des divergences importantes.
Le principal changement introduit par le RGPD par rapport à la Directive sur la protection des données est le renforcement des exigences de consentement (premier élément de la liste ci-dessus). Les exigences de consentement du RGPD incluent des éléments tels que (i) le consentement doit être vérifiable, (ii) la demande de consentement doit être clairement différenciée des autres points, (iii) la personne concernée doit être informée de son droit de retirer son consentement. En outre, un consentement plus astreignant (« consentement explicite ») doit être recueilli en cas de traitement de données sensibles.
Un autre point important à souligner est celui de l’intérêt légitime (élément 6 de la liste ci-dessus). Lorsqu’elle s’appuie sur le principe de l’« intérêt légitime » pour justifier le traitement de données personnelles, une entreprise doit être consciente que ce fondement juridique implique une mise en balance des différents intérêts en jeu. Afin de satisfaire le principe de responsabilité posé par le RGPD, une entreprise doit fournir une description du processus qu’elle a suivi pour mettre en balance les intérêts et doit notamment préciser la méthode et les arguments qu’elle a utilisés pour conclure que l’équilibre a été bien respecté.
Droits des individus en vertu du RGPD
La Directive sur la protection des données conférait aux individus certains droits fondamentaux vis-à-vis de leurs données personnelles. Ces droits perdurent avec le RGPD, mais ont été légèrement modifiés afin d’être plus clairs. Le tableau ci-dessous compare les droits des individus en vertu de la Directive sur la protection des données et en vertu du RGPD.
Droit des individus | Directive sur la protection des données | RGPD |
Demande d’accès aux données | L’individu est en droit de savoir si ses données à caractère personnel sont traitées, lesquelles de ses données personnelles sont traitées et comment. | L’application de ce droit a été étendue par le RGPD. Par exemple, lorsqu’un individu demande à accéder à ses données personnelles, il doit recevoir des informations supplémentaires, notamment sur les nouveaux droits relatifs à la protection des données à caractère personnel qui existent désormais dans le cadre du RGPD, comme le droit à la portabilité des données. |
Droit d’opposition | Un individu peut interdire un certain nombre d’opérations de traitement des données s’il fait valoir des raisons impérieuses et légitimes. Les individus peuvent également s’opposer au traitement de leurs données à des fins de démarchage direct. | Le RGPD a étendu le champ d’application de ce droit par rapport à la Directive sur la protection des données. |
Droit de rectification ou d’effacement | Les individus peuvent demander à ce que les données incomplètes soient complétées ou que les données incorrectes soient corrigées afin de s’assurer que le traitement des données personnelles est conforme aux principes de protection des données applicables. | La position du RGPD est essentiellement la même que la Directive sur la protection des données, mais certaines protections procédurales ont été renforcées dans le cadre du RGPD. |
Droit à la limitation du traitement | Il n’existe aucun droit à la limitation du traitement. Cependant, la Directive sur la protection des données donne aux individus le droit de demander le blocage de leurs données à caractère personnel lorsque les opérations de traitement ne sont pas conformes aux principes de protection des données, par exemple lorsque les données sont incomplètes ou inexactes. | Le RGPD donne aux individus le droit de demander la limitation du traitement de leurs données à caractère personnel dans certaines circonstances, notamment lorsque l’individu conteste l’exactitude des données. |
Droit à l’effacement (« droit à l’oubli ») | Les individus ont le droit de demander l’effacement de leurs données personnelles si les opérations de traitement des données ne sont pas conformes aux principes de protection des données. Par conséquent, ce droit est très restrictif. | Le RGPD a considérablement renforcé ce droit. Par exemple, le droit à l’oubli peut être exercé lorsque les données à caractère personnel ne sont plus nécessaires au regard de la finalité pour laquelle elles ont été collectées, ou l’individu retire son consentement au traitement de ses données et aucun autre fondement juridique ne justifie la poursuite du traitement des données. |
Droit à la portabilité des données. | La Directive sur la protection des données ne mentionne pas explicitement la « portabilité des données » en tant que droit de la personne concernée. Les États membres de l’UE peuvent avoir intégré des droits additionnels similaires au droit à la portabilité dans leur droit interne. | Les individus peuvent demander que les données à caractère personnel détenues par un responsable de données leur soient fournies ou soient transmises à un autre responsable de données. |
Transferts internationaux de données
Le sujet des flux internationaux de données a fait l’objet de vives controverses au cours des récentes années et a donné lieu à un grand nombre de débats et de réformes juridiques. Il est également fort probable que les lois réglementant les flux internationaux de données continueront d’évoluer dans les prochaines années. Aujourd’hui, en vertu de la loi européenne sur la protection des données, un certain nombre de conditions doivent être remplies avant que les données à caractère personnel d’un ressortissant d’un État membre de l’UE puissent être transférées en-dehors de l’UE, à moins que l’entreprise qui reçoit les données à caractère personnel ne soit située dans une juridiction autorisée (cliquez (ici pour consulter la liste des juridictions autorisées).
Dans le cadre du RGPD, les transferts internationaux de données constituent un sujet épineux à gérer car le droit ne cesse d’évoluer et que seuls quelques mécanismes de transfert de données sont disponibles. Malgré cette difficulté, les entreprises doivent se tenir régulièrement informées des développements sur ce sujet, dans la mesure où la conformité des flux de données à caractère personnel constitue l’épine dorsale de toute entreprise technologique.
Nous ne nous appuyons plus sur le Bouclier de protection des données comme mécanisme de transfert de données puisque les boucliers de protection des données UE-É.-U. et Suisse-É.-U. ne sont plus valides à la suite de l’arrêt Schrems II de la Cour de justice de l’Union européenne du 16 juillet 2020. Toutefois, nous continuons de nous conformer au principe du Bouclier de protection des données puisqu’il permet de protéger les données personnelles des utilisateurs. C’est la raison pour laquelle nous continuons de mentionner le Bouclier de protection des données dans nos politiques et nos contrats.
Plus généralement, Stripe a mis en place des mesures visant à garantir la conformité aux réglementations applicables de toutes ses entités effectuant des opérations de transfert de données à caractère personnel d’individus ressortissants des États membres de l’UE. Ces mesures sont fondées sur les clauses contractuelles types de l’UE (CCT).
Comme indiqué ci-dessus, les flux internationaux de données continueront à faire l’objet de réformes juridiques. C’est pourquoi nous suivons de près les développements juridiques concernant les mesures de mise en conformité des transferts de données vers l’international et prenons toutes les mesures nécessaires pour garantir des transferts de données de ressortissants d’États membres de l’UE conformes aux réglementations. Nous avons doublé les contrôles au sein de notre programme de mise en conformité des transferts de données et comptons les renforcer encore davantage avec les outils dont Stripe dispose désormais avec le RGPD.
Non-conformité
La conséquence la plus souvent évoquée de la non-conformité au RGPD est le plafond de l’amende qui peut être imposée à une entreprise qui ne respecte pas la réglementation. Le montant de cette amende s’élève à 4 % du chiffre d’affaires mondial de l’entreprise ou à 20 millions d’euros, le plus élevé de ces deux montants étant retenu. D’autres types de violations exposent les contrevenants à une amende pouvant atteindre 2 % du chiffre d’affaires mondial de l’entreprise ou 10 millions d’euros, le plus élevé de ces deux montants étant retenu.
Un autre sujet moins souvent évoqué concerne les pouvoirs dont disposent les autorités de protection des données (« APD ») en vertu de l’article 58 du RGPD. Ces pouvoirs incluent la capacité des autorités de protection d’imposer des actions correctives, comme la limitation temporaire ou définitive des activités de traitement des données, notamment une interdiction totale de procéder à des traitements de données, ou une suspension des flux de données vers un destinataire dans un pays tiers.
Stripe et le RGPD
Chez Stripe, la vie privée, la protection des données et la sécurité des données sont au cœur de tout ce que nous faisons. Nous nous efforçons continuellement d’offrir la meilleure sécurité et protection des données possible et voyons dans le RGPD une opportunité pour l’ensemble de l’industrie de s’unir afin d’améliorer les choses.
Stripe a débuté ses efforts de mise en conformité au RGPD dès 2016, et nous travaillons actuellement à la mise en conformité de nos services avec cette réglementation, avant la date d’entrée en vigueur du 25 mai 2018.
La conformité au RGPD comprend de nombreux éléments. Entre autres, nous avons mis à jour notre documentation et nos documents contractuels pour nous aligner sur les dispositions du RGPD. Nous sommes également en train de revoir nos politiques et procédures internes afin de nous assurer qu’elles sont conformes aux normes du RGPD.
La plupart des étapes de mise en conformité au RGPD se font au sein de l’entreprise, dans la mesure où elles concernent la façon dont ladite entreprise traite des données à caractère personnel. Les plateformes comme Stripe prennent un certain nombre de mesures pour leurs utilisateurs (et pour elles-mêmes) en anticipation du RGPD :
-
Identifier les différences entre les exigences de la Directive sur la protection des données et celles du RGPD en ce qui concerne les opérations commerciales de l’entreprise.
-
Modifier et actualiser les outils, les procédures et les politiques internes, le cas échéant.
-
Analyser les pratiques relatives à la mise en correspondance et à l’inventaire des données et les actualiser le cas échéant afin de se conformer aux obligations du RGPD.
-
Identifier les lacunes des outils dédiés à la protection de la vie privée et des données afin de se conformer aux exigences des analyses d’impact relatives à la protection des données.
-
Actualiser l’approche des transferts internationaux de données.
-
Actualiser les contrats afin de refléter les obligations imposées par l’art. 28 du RGPD dès lors qu’elles concernent les cocontractants de l’entreprise.
-
Analyser et, le cas échéant, modifier les relations avec les fournisseurs afin de se conformer aux exigences du RGPD dans le souci de garantir que ces tiers reçoivent et traitent les données personnelles dans le respect de la légalité.
-
Actualiser le programme de mise en conformité de l’entreprise en matière de protection de la vie privée en incluant des formations destinées aux employés afin de les informer des changements à mettre en œuvre pour la mise en conformité au RGPD.
Le principe de responsabilité
Les utilisateurs de Stripe doivent consulter leur conseiller juridique afin de connaître leurs obligations pour la mise en conformité au RGPD. En règle générale, si votre entreprise est établie au sein de l’UE ou traite des données personnelles d’individus ressortissants d’États membres de l’UE, elle est concernée par le RGPD.
Un principe fondamental du RGPD qu’il convient de garder à l’esprit est le Principe de responsabilité. Le Principe de responsabilité prévoit que le responsable des données doit être capable de démontrer que ses activités de traitement sont conformes aux principes de protection des données prévus par le RGPD. La façon la plus simple de démontrer cette conformité est de décrire la méthode utilisée pour garantir la mise en conformité au RGPD.
Chez Stripe, la conformité au RGPD est le fruit de la collaboration de nombreuses personnes, notamment des équipes commerciales, juridiques, techniques et opérationnelles. D’après notre expérience, une collaboration multidisciplinaire et une documentation claire sont essentielles au processus de mise en conformité au RGPD.
Liste de contrôle du RGPD pour votre entreprise
À quelques semaines de la date butoir du 25 mai 2018, les petites et moyennes entreprises peuvent être confrontées à de nombreuses difficultés pour se préparer à l’application du RGPD. Dans cette optique, nous avons créé pour nos utilisateurs une liste de contrôle des points à prendre en compte pour la mise en conformité au RGPD.
✓
Informez vos équipes : rapprochez-vous de vos équipes techniques, commerciales et juridiques pour les informer de ce qu’est le RGPD et sur la façon dont il influe sur votre entreprise.
✓
Ayez une image claire de la façon dont les données à caractère personnel sont traitées dans votre entreprise : un exercice de traçabilité des données pourra vous aider à mettre en lumière la façon dont les données à caractère personnel sont conservées et traitées par vos systèmes. Les questions suivantes peuvent vous guider :
- Quelles catégories de données à caractère personnel traitez-vous? (p. ex.: informations financières, informations médicales, informations marketing, etc.)
- À quelles catégories d’individus les données à caractère personnel que vous traitez correspondent-elles? (p. ex. : titulaires de cartes, enfants, patients, etc.)
- Quelle est la raison pour laquelle vous traitez ces informations?
- Comment et pourquoi collectez-vous ces informations?
- Comment sécurisez-vous ces données?
- Est-ce que des tiers reçoivent ces informations? Si oui, faites-vous état de ces tiers dans votre politique relative à la protection de la vie privée ou dans d’autres formes de communications? Savez-vous qui sont ces tiers? Combien de temps conservez-vous les données personnelles des individus?
✓
Cartographie des fondements juridiques : consultez les 6 fondements juridiques mentionnés ci-dessus. Pour chaque opération de traitement identifiée lors de votre exercice de traçabilité de données, reliez-la à un fondement juridique. Ce lien vous donnera un socle juridique sur lequel vous appuyer.
✓
Si un individu désire exercer ses droits, sachez comment réagir :
- Sachez tirer parti de votre exercice de traçabilité des données afin de répondre à une demande d’accès à ses données d’une personne concernée.
- À partir de la cartographie des données dont vous disposez, demandez-vous où les données à caractère personnel sont stockées dans votre système (et comment d’autres systèmes les utilisent) afin de pouvoir donner suite aux demandes de retrait, de modification et d’effacement.
- Informez-vous sur les formats de données que votre système utilise et déterminez comment répondre aux demandes de portabilité de ces données.
✓
Réponse aux violations de données et autres incidents : assurez-vous auprès des équipes techniques chargées de la sécurité de bien connaître le plan d’intervention à appliquer en cas d’incident. Effectuez quelques exercices pratiques afin que toutes les personnes impliquées dans le processus de réponse aux incidents sachent quoi faire lorsqu’un incident se produit. Idéalement, votre équipe d’intervention doit parfaitement connaître la procédure à suivre et être prête à l’appliquer lorsqu’une telle situation se produit.
D’autres éléments pourraient être ajoutés à cette liste de contrôle, et il vous faudra travailler avec vos experts internes et conseillers externes pour préparer une liste adaptée à vos besoins. Par exemple, il vous faudra peut-être effectuer une analyse d’impact relative à la protection des données, nommer un responsable de la protection des données, gérer et modifier les pratiques marketing de l’entreprise, modifier votre politique de gestion des fournisseurs et vos processus de passation des contrats, entre autres.
En préparant le terrain via l’audit de vos activités de traitement de données, vous vous donnez une longueur d’avance pour répondre aux questions de conformité au RGPD qui vous seront posées ultérieurement.
Vous trouverez ci-dessous quelques ressources supplémentaires que nous avons consultées et trouvons utiles, et nous espérons qu’elles le seront également pour vous.
Ressources supplémentaires
Le RGPD est mentionné sur de nombreux sites et il est difficile de faire le point sur les bonnes ressources disponibles en ligne. Voici quelques sources d’information que nous consultons régulièrement pour nous tenir à jour des développements concernant le RGPD :
-
Tout commence par les textes de loi : le texte complet du RGPD est consultable ici et la Directive sur la protection des données est disponible ici.
-
L’autorité de contrôle : il existe une Autorité de protection des données (APD) dans chaque État membre de l’UE, et la plupart d’entre elles ont publié des directives utiles concernant la mise en œuvre du RGPD. Vous trouverez une liste des APD ici.
-
Le G29 (ou groupe de travail de l’article 29 sur la protection des données), qui deviendra prochainement le Comité européen de la protection des données (CEPD): le G29 est un organe consultatif composé d’un représentant de l’autorité de contrôle de chaque État membre de l’UE, d’un représentant de l’autorité mise en place par l’UE en matière de protection des données et d’un représentant de la Commission européenne. Le 25 mai 2018, le G29 deviendra le CEPD. Le CEPD inclura le président de l’autorité de contrôle de chaque État membre et le contrôleur européen de la protection des données.
Le G29 a émis des centaines de directives et opinions, et a ouvert un certain nombre de sujets pour consultation. Les directives et les opinions les plus récentes portent toutes sur la meilleure façon de mettre en place des éléments du RGPD dans le programme de conformité d’une entreprise. Les dernières publications du G29 sont disponibles ici.
L’ancien site Internet du G29 contenait un grand nombre de ressources additionnelles qui malheureusement ne sont plus aussi facilement consultables sur le nouveau site. Le site archivé avec les contenus additionnels est consultable ici.
-
Un certain nombre d’autorités de contrôle, de cabinets d’avocats, d’organisations de protection de la vie privée comme l’IAPP, et bien d’autres organisations, ONG et sociétés organisent des discussions relatives au RGPD. Il est fort probable que d’autres organisations se posent des questions très proches des vôtres concernant la mise en œuvre du RGPD. Ce sont d’excellentes occasions de vous impliquer dans la communauté du RGPD et de travailler sur ces questions ensemble.