RGPD et les hébergeurs web : tout ce qu’il faut savoir

Le 25 mai 2018, vingt huit États de l’Union Européenne ont mis en application le nouveau Règlement Général sur la Protection des Données (RGPD, dont le principe avait été adopté par le Parlement Européen en 2016. L’objectif majeur de cette nouvelle directive est de protéger les données personnelles récoltées par des professionnels, principalement dans un but commercial, ou concernant les salariés d’une entreprise. Cette notion est d’autant plus importante lorsque les données sont hébergées sur web et plus facilement accessibles par conséquent.

Qu’est-ce que le Règlement Général sur la Protection des Données (RGPD) ?

Avant le 25 mai 2018, des directives de protection des données personnelles existaient déjà. En France, la plus connue est la Loi Informatique et Libertés, qui est entrée en vigueur le 6 janvier 1978. A l’échelon européen, une directive de protection des données avait déjà été ratifiée le 24 octobre 1995.
La loi relative au RGPD du 25 mai 2018 a donc pour objectif de renforcer toutes les dispositions déjà existantes. Elle vise à harmoniser ses principes sur l’ensemble des États membres de l’Union Européenne, afin de faciliter son rôle de protection et d’information. Toutes les entreprises, sociétés, associations et organisations collectant des informations personnelles sont soumises à cette réglementation, et ce quelle que soit leur lieu d’implantation. Ainsi, une entreprise non-européenne qui récolte des données d’un résident de l’Union Européenne est soumise aux principes de la loi relative au RGPD. Autre nouveauté, les entreprises qui ont à traiter des données personnelles doivent obtenir le consentement de leurs usagers. Autrement dit leur accord n’est plus tacite, par exemple pour que leurs données soient traitées à des fins publicitaires. Dans le même ordre d’idée, les usagers disposent d’un droit à l’oubli et peuvent demander l’effacement des données qui les concernent.

Quelles instances veillent au bon respect du Règlement Général sur la Protection des Données (RGPD) ?

En France, c’est la Commission Nationale de l’Informatique et des Libertés (CNIL) qui veille au bon respect de la réglementation. Son rôle est dans un premier temps d’informer tous les usagers sur leurs droits en matière de gestion de leurs données personnelles par des tiers. Le but est d’anticiper et d’éviter tout manquement en amont. Par ce rôle, elle accède et donne accès à tous les fichiers qui peuvent être détenus, qu’il s’agisse de dossiers sur papier, informatiques ou hébergés sur internet. Mais la mission de la CNIL ne s’arrête pas là : chaque année, elle passe en revue des centaines de fichiers pour contrôler le bon respect de la loi. Elle peut mandater des contrôles inopinés dans les entreprises, ou bien agir suite à des plaintes provenant d’usagers. Enfin, la CNIL est autorisée à faire appliquer les sanctions qui s’imposent en cas de non-respect des directives en vigueur. Elle peut émettre un simple avertissement avec obligation de correction, mais aussi infliger des amendes pouvant aller jusqu’à 3 000 000 €. A l’heure actuelle, suite à l’entrée en vigueur du RGPD en 2018, les sanctions financières peuvent être beaucoup plus lourdes et s’élever à des dizaines de millions d’euros.
En plus du droit d’accès et de rectification autrefois octroyé par la Loi Informatique et Libertés, le RGPD permet de récupérer facilement ses données pour faire jouer son droit à la portabilité. Ce principe permet de faciliter la transmission de données d’un organisme à un autre.
Par ailleurs, toute collecte de données concernant un mineur de moins de 16 ans doit faire l’objet d’un consentement clair et écrit de la part de ses parents.

Les hébergeurs web et le Règlement Général sur la Protection des Données (RGPD)

Toutes les entités sont soumises au RGPD : entreprises commerciales ou non, associations, organisations en tous genres, sont obligées par la loi de se conformer à la directive de protection des données, tout simplement parce qu’elles sont appelées à traiter des données dans le cadre de leur activité. C’est donc également le cas des hébergeurs web qui traitent à la fois des données appartenant à leurs clients, mais aussi aux membres de leur personnel salarié. De plus, par définition un hébergeur web traite avec des clients qui eux-mêmes ont à leur disposition les données privées de leurs propres clients. Pour éviter de se mettre en situation de défaut vis à vis de la loi, les hébergeurs web peuvent donc se conformer aux documents mis à disposition en accès libre par la CNIL. En tant que sous-traitant, l’hébergeur web a donc une double responsabilité et doit accroître sa vigilance: elle doit non seulement veiller à protéger les données de ses clients, mais veiller à ce que ses clients respectent aussi la loi avec leurs propres clients. La meilleure façon de s’assurer que tous les intervenants ont bien pris connaissance des enjeux et les ont bien compris, est pour l’hébergeur web de jouer la transparence dans la rédaction de ses contrats par l’ajout d’une clause spécifique au RGPD. Ainsi, le devoir d’information est bien respecté.

Que considère-t-on comme une donnée personnelle?

Les données personnelles traitées par les entreprises et les employeurs sont diverses et variées. Ce sont dans un premier temps toutes les données relatives à l’identité : les nom et prénom, date de naissance, profession, numéro de sécurité sociale ou photos sont des données sensibles. Les coordonnées sont également considérées comme des données privées : adresse, numéro de téléphone, adresse mail, adresse IP sont autant d’éléments à traiter avec un maximum de précautions.
Il est également interdit de consigner des données qui renseignent sur des caractéristiques personnelles pouvant conduire à certaines formes de discrimination. Tenir des fichiers mentionnant la couleur de peau, l’origine ethnique, la religion, les opinions politiques, le poids, l’orientation sexuelle, l’état de santé, etc, est passible de graves sanctions financières voire pénales dans certains cas.

Le RGPD, pour une meilleure harmonisation à l’échelle européenne

Le vote du Règlement Général sur la Protection des Données a également pour but d’harmoniser toutes les lois déjà existantes au sein de tous les pays membres de l’Union Européenne. Dans le cas d’un hébergeur web amené à travailler à l’international, les règles sont relativement simples à mettre en œuvre. A partir du moment où un hébergeur est originaire d’un pays membre de l’Union Européenne, lui-même ainsi que tous ses clients, qu’ils soient européens ou non, doivent scrupuleusement respecter la directive. Le fait de stipuler cette notion par clause contractuelle permet à l’hébergeur de se soumettre à son devoir d’information, et lui permet également de pouvoir s’assurer que ces directives sont bien suivies. En outre, chaque entreprise européenne que ses clients européens sont soumis aux mêmes obligations et sont bien informées sur les tenants et les aboutissants.
Dans le même ordre d’idées, un hébergeur web originaire d’un pays situé en dehors de l’Union Européenne devra se soumettre au RGPD s’il traite avec des clients, quels qu’ils soient, originaires de l’Union Européenne.

Catégorie: Infos sur l'industrie
14 novembre 2018
O2switch Hébergement web