Depuis le 25 mai 2018 est appliqué en France le Règlement général sur la protection des données – ou RGPD. Un texte fondamental qui renforce notamment la sécurité des données personnelles collectées par les entreprises, sous-traitants et associations. Cinq mois après sa mise en place, retour sur la stratégie mise en place par l’hébergeur IKOULA pour s’assurer de sa conformité.

Depuis le 25 mai 2018, le règlement européen sur la protection des informations personnelles, plus connu sous l’acronyme « RGPD » (ou « Règlement général sur la protection des données ») est entré en application. Il modifie, complète et renforce les règles qui existaient déjà (la fameuse « Loi informatique et libertés » du 6 janvier 1978) : les entités maniant des données personnelles doivent mettre en œuvre de nouvelles mesures et être capables de démontrer qu’elles sont bien conformes aux règles prévues par le RGPD.

Les personnes concernées peuvent être des entreprises et cela qu’importe l’effectif, le chiffre d’affaires ou leur caractère (public ou privé). Mais pas seulement. Les associations, l’État, les collectivités locales (et la CNIL !), sont, eux aussi, tout autant concernés. À noter que le RGPD ne concerne pas que les organismes présents physiquement sur le Vieux Continent. Une entité asiatique ou américaine qui collecte des données personnelles sur des personnes physiques d’un pays membre de l’Union européenne doit, elle aussi, se soumettre au texte.

Le cas de l’hébergeur IKOULA

IKOULA, en tant qu’hébergeur avait la double obligation de se conformer au RPGD. D’une part, parce que l’entreprise a l’obligation, comme toute entreprise, de mettre en conformité les traitements de données personnelles liées directement à son activité au RGPD, et notamment les données qu’elle collecte auprès de ses clients, de ses salariés, etc. D’autre part, parce qu’en tant qu’hébergeur elle est, au sens du RGPD, un sous-traitant de ses clients qui hébergent des données personnelles sur ses serveurs. Une situation qui n’a pas vraiment effrayé Maître Jean-Maxime Peyrat, avocat et Délégué à la protection des données (DPO) d’IKOULA.

« Au-delà du RGPD lui-même, nous nous sommes notamment tournés vers la documentation mise en ligne par la CNIL, pour nous préparer bien en amont aux exigences du RGPD. La particularité d’IKOULA, c’est que nous n’avons pas uniquement le problème de nos propres données personnelles à traiter, nous avons également le cas des données personnelles des personnes qui viennent prendre de l’hébergement chez nous. Le RGPD a mis un certain nombre d’obligations nouvelles sur le sous-traitant, au sens du RPGD, c’est-à-dire la personne qui traite des données pour le compte du responsable du traitement. »

« Notre objectif était de rassurer les clients »

Des obligations qui ont principalement eu pour conséquence des ajouts dans les contrats de ses clients. « De nouvelles obligations, souvent bien plus claires qu’auparavant, ont été inscrites dans les contrats » explique Maître Jean-Maxime Peyrat. « Mais au 25 mai 2018, nous étions prêts. Nous avons envoyé des emails à nos clients, bien sûr. Notre objectif était de les rassurer : nous leur avons écrit et mis en place une page web dédiée afin de mieux expliquer ce que IKOULA peut faire pour ses clients en sa qualité de sous-traitant. Nous avons été au plus simple et au plus clair, nous nous sommes directement appuyés sur les clauses contractuelles types que la CNIL a éditées. Et ce, de telle façon que nos clients n’aient plus d’inquiétudes quant au fait d’être en conformité avec le RGPD s’agissant de leur relation avec Ikoula. »

Protéger des données dont certaines peuvent être particulièrement sensibles

Mais alors, qu’entendons-nous par donnée personnelle et pourquoi faut-il autant les protéger ? Sont visées les informations qui permettent, directement ou non, d’identifier une personne physique. Pêle-mêle : le nom, l’adresse IP utilisée, une photographie, un numéro de téléphone fixe ou mobile, une adresse postale ou mail, une empreinte, un enregistrement, etc.

RGPD

Illustration

Source : BiljaST

Certaines informations sont particulièrement sensibles et leur collecte et leur traitement sont en principe interdit (par exemple, car elles peuvent donner lieu à des discriminations). On pensera à une opinion politique, une orientation sexuelle, une appartenance syndicale, les convictions religieuses, une donnée concernant la santé… entre autres.

Les droits des internautes

Le RGPD oblige ceux qui souhaitent collecter des données personnelles de mineurs  de moins de 16 ans à obtenir l’autorisation de leurs parents  (étant précisé que la France a fait le choix, comme l’autorise le RGPD, de fixer l’âge minimal pour consentir au traitement de ses données à 15 ans).  Par ailleurs, de nouveaux droits sont venus compléter ceux qui existaient déjà (accès, information, rectification, suppression, etc.) : on citera par exemple le droit à la portabilité des données,  qui permet à la personne concernée de récupérer ses données sous une nouvelle forme facilement réutilisable (pour pouvoir passer d’un réseau social à un autre, par exemple).

Des sanctions beaucoup plus importantes que par le passé

Les différentes organisations concernées ont tout intérêt à être coopératives et suivre minutieusement le RPGD. Et pour cause, les sanctions peuvent être très importantes : pour les cas les plus graves, les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

En cas d’infraction, certaines amendes peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial

Du côté d’IKOULA, quelque 5 mois après la mise en place du RGPD, le bilan est très positif. « Si nos clients ont des questions sur le RGPD, ils peuvent se tourner vers moi, le DPO d’IKOULA  », nous explique Maître Jean-Maxime Peyrat. « Nous n’avons eu que très peu de questions de la part de nos clients sur la mise en conformité avec le RGPD. Preuve que notre campagne de communication et de mise en conformité s’est très bien passée. Pour l’instant, nous n’avons eu aucun sujet ou problème liés au RGPD chez IKOULA à traiter. »

Une harmonisation juridique sur le Vieux Continent

L’adoption du RGPD, référence dans l’Union européenne, permet d’harmoniser au niveau européen  la réglementation applicable aux données à caractère personnel. Ainsi, que ce soit en hexagone, en Allemagne ou dans tout autre pays de l’UE, un seul et même cadre est désormais appliqué. Les États membres demeurent toutefois libres, dans les latitudes autorisées par le RGPD, d’adapter l’application du RGPD sur certains points. C’est ce que la France a choisi de faire, en adoptant une loi le 20 juin 2018, modifiant la loi informatique et liberté du 6 janvier 1978 pour harmoniser cette dernière avec le RGPD. À titre d’illustration, le RGPD fixe à 16 ans l’âge minimal auquel le mineur peut consentir seul au traitement de ses données tout en précisant que les États membres peuvent faire varier cet âge, sous réserve de ne pas descendre en dessous de 13 ans. La France a ainsi choisi, dans la loi du 20 juin 2018, de fixer cet âge à 15 ans.

Branchements // Source : Ikoula

Branchements

Source : Ikoula

Pour Maître Jean-Maxime Peyrat, la mise en place du RGPD n’a posé que peu de difficulté à IKOULA. Pour une raison très simple : parce qu’IKOULA est un hébergeur français et européen qui sait où se trouvent les données de ses clients.« Le RGPD est un sujet très nouveau. Nous sommes un hébergeur français et européen avec un système maîtrisé. Nous avons une traçabilité : on sait où on est et on sait où on va. Nous savons où sont les données de nos clients. C’est peut-être pour ça que c’était plus facile pour nous de mettre en place ce nouveau règlement que pour d’autres entreprises, qui devaient être moins à l’aise à ce niveau. »