Les notions clés de RGPD

Dès 1978, le législateur a souhaité assurer le respect de la vie privée et des données personnelles. La CNIL (Commission Nationale de l’Informatique et des Libertés) a été créée dans ce but. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Légifrance Par la suite ce texte a été modifié notamment en raison de la dématérialisation des services, de la numérisation des activités et des échanges par voie informatique.

Le RGPD (Règlement Général de Protection des Données), adopté le 14 avril 2016 par le Parlement et le Conseil européen, est entré en vigueur en France le 25 mai 2018. (https://www.cnil.fr/fr/reglement-europeen-protection-donnees)

Son objectif est :

d’assurer la protection des personnes physiques tant sur le traitement que sur la circulation des données à caractère personnel.
de renforcer le contrôle par les citoyens de l’utilisation qui peut être faite de leurs données.

Quel est le risque de voir ses données diffusées sans son consentement ?

Une fois sur le dark web, les informations sont vendues ou partagées. Les acheteurs les utilisent pour pirater les comptes bancaires, créer des messages de phishing plus crédibles, détourner les comptes de messagerie ou réseaux sociaux, commettre des fraudes à l’identité (crédit frauduleux, fausses déclarations fiscales, fraude aux services médicaux) etc…

Champs d’application

Le champ d’application du RGPD est extrêmement large puisque tout organisme peut être concerné, quels que soient sa taille, son pays d’implantation et son activité.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes.

Le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

qu’elle est établie sur le territoire de l’Union européenne, même si l’activité est hors UE.
Ou que son activité cible directement des résidents européens même si l’entreprise n’est pas établie dans l’UE.

Qu’est-ce qu’une donnée personnelle ?

Cette notion est à appréhender de façon extrêmement générale. Une donnée personnelle est « toute information se rapportant à une personne physique identifiée ou identifiable » (article 4 du RGPD).

Une personne peut être identifiée directement (par son nom, prénom), ou indirectement (par son identifiant, n° de client, n° de téléphone, une donnée biométrique, n° de sécurité sociale, ADN mais aussi la voix, l’image…) ou à partir d’un ensemble de données (exemple : un homme vivant à telle adresse, abonné à tel magazine et militant dans telle association).

Qu’est-ce qu’un traitement de données personnelles ?

Un « traitement » est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement).

Exemple de traitement : la tenue d’un fichier clients, la collecte de coordonnées de prospects via un questionnaire, la mise à jour d’un fichier de fournisseurs, etc. En revanche, un fichier ne contenant que des coordonnées d’entreprises et un email de contact générique n’est pas un traitement de données personnelles.

Le traitement doit être licite, loyal et transparent (RGPD, articles 6 et suivants). L’assureur doit communiquer et informer la personne concernée de manière claire, précise et dans un langage compréhensible sur le traitement relatif aux données personnelles et sa finalité.

En parallèle des pratiques classiques de recueil des données, sont apparus avec la digitalisation les cookies, qui contribuent également à la collecte des données.

Qu’est-ce qu’un cookie ?

Selon la CNIL, le cookie est « un petit fichier stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est à dire dans la majorité des cas à l’ensemble des pages d’un même site web). Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.»

Le site Kaspersky propose la métaphore suivante : les cookies sont un peu comme un ticket pour le vestiaire :

Vous remettez votre « manteau » à l’accueil. Vous vous connectez/consultez un site Web et une source de données vous est attribuée sur le serveur du site. Ces données peuvent concerner votre compte personnel, votre panier d’achats ou même simplement les pages consultées.
Vous recevez un « ticket » qui vous identifie comme le propriétaire du « manteau ». Le cookie (contenant les données) vous est alors remis et est stocké dans votre navigateur internet. Il possède un identifiant unique spécialement conçu pour vous.
Si vous partez et revenez, vous pouvez reprendre le « manteau » avec votre « ticket ». Lorsque vous visitez à nouveau le site Web, votre navigateur lui renvoie le cookie. Le site lit alors l’identifiant unique contenu dans le cookie pour rassembler vos données d’activité, vous ramenant à l’endroit où vous étiez lors de votre première visite, comme si vous n’étiez jamais parti.

Les cookies servent principalement au bon fonctionnement du site, à l’analyse de performances et au partage d’information avec un tiers à des fins publicitaires

Le consentement, pierre angulaire du RGPD

Le recueil du consentement du titulaire des données est au cœur du RGPD, qui définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Depuis mai 2018, il est interdit de collecter des informations sans consentement.

Une information claire et précise

Avant toute chose, l’information relative au consentement doit :

Être visible, mise en évidence et complète.

Être rédigée en des termes simples et compréhensibles par tout utilisateur.
Permettre aux internautes d’être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.
Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.

Concernant les cookies, il existe quelques particularités qui figurent dans les articles 82 et suivants de la Loi 78-17 du 6 janvier 1978 modifiée par ordonnance du 12 décembre 2018 Article 82 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés – Légifrance.

Une obligation pour le responsable du traitement

L’obligation de recueillir le consentement incombe à toute personne qui décide de la finalité et des moyens, à savoir le responsable du traitement.

Concernant les cookies, l’obligation de recueil du consentement peut s’imposer notamment :

aux éditeurs de sites web et d’applications mobiles ;
aux régies publicitaires ;
aux réseaux sociaux qui fournissent des modules de partage.

De manière générale, les éditeurs de sites ou d’applications mobiles, du fait d’un contact direct avec l’utilisateur, sont souvent les plus à même de porter à la connaissance de ce dernier l’information sur les traceurs déposés et de collecter leur consentement.

Les critères d’un consentement valide

Pour être valide, le consentement doit être libre, spécifique, nécessaire, éclairé et univoque.

Un consentement libre

Le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. Il doit pouvoir être retiré simplement et à tout moment par l’utilisateur sans conséquence.

Un consentement spécifique

Un consentement doit correspondre à un seul traitement pour une finalité déterminée. Ceci consiste, pour le responsable et le sous-traitant, à utiliser les données dans le seul but pour lequel elles ont été collectées à l’origine.

Les données collectées par les assureurs ne peuvent par conséquence faire l’objet d’un traitement ultérieur pour une autre finalité.

Exemples dans le secteur de l’assurance
Un assureur ne pourra pas collecter le numéro de sécurité sociale d’une personne pour la conclusion d’un contrat automobile.En revanche, l’intermédiaire d’assurance qui collecte des données dans le cadre d’un contrat IARD (exemple automobile) pourra légitimement « prospecter » son portefeuille pour d’autres contrats de la même branche (exemple habitation) mais il ne peut conserver ses données pour un usage ultérieur non défini.Un intermédiaire souhaite recueillir le consentement d’un client pour deux types de prestations : la conservation des coordonnées de la carte bancaire en vue des prochaines échéances ; la collecte de l’adresse électronique pour les informer des futures offres. Pour que le consentement soit valide, le client doit pouvoir consentir librement et séparément pour chacun de ces deux traitements.

Un consentement nécessaire

à l’exécution d’un contrat ou de mesures précontractuelles

Attention et dans le cadre de la gestion de la relation client, certains progiciels prévoient la possibilité de commentaires libres saisis par les collaborateurs. Tout commentaire injurieux, discriminant, désobligeant… est strictement interdit.

au respect d’une obligation légale à laquelle le responsable du traitement est soumis. Par exemple dans le cadre de la lutte contre le blanchiment d’argent et le financement du terrorisme, l’assureur est tenu de récupérer certaines données mais il ne pourra les utiliser que dans ce cadre.

Un consentement éclairé

Le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

l’identité du responsable du traitement ;
les finalités poursuivies ;
les catégories de données collectées ;
l’existence d’un droit de retrait du consentement ;
selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatiséesou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

Un consentement univoque

Le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement.

Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

les cases pré-cochées ou pré-activées,
les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts),
l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement),
l’acceptation de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement.

Spécificités des cookies

Le recueil consentement doit être préalable au dépôt et/ou à la lecture de cookies.

Tant que la personne n’a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur le terminal.

Il doit être requis à chaque fois qu’une nouvelle finalité nécessitant le consentement vient s’ajouter aux finalités initialement prévues.

Les cookies nécessitant le consentement préalable des utilisateurs sont ceux liés aux opérations relatives à la publicité personnalisée ainsi que les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

Les cookies (ou traceurs) participants à la bonne marche du site et du service délivrés ne sont pas soumis au consentement, notamment les traceurs :

conservant le choix exprimé par les utilisateurs sur le dépôt de cookies ;
destinés à l’authentification auprès d’un service,
destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand
de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service),
permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
certains traceurs de mesure d’audience sous certaines conditions.

La preuve du consentement

Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes, non exclusives :

Une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;

Les droits de la personne concernée

Concernant les données, au titre des articles 15 à 21 du RGPD, le titulaire bénéficie du droit d’accès, de suppression, de rectification, de restriction du traitement des données, d’opposition auprès d’une autorité de surveillance de la protection des données, de rétractation d’un consentement et du droit à la portabilité des données.

Les acteurs du traitement : contours et obligations

Le responsable de traitement : le principal acteur

Dans le cadre des relations professionnelles, il est impératif de savoir qui est le responsable de traitement et par voie de conséquences sur qui va peser la responsabilité en cas de contentieux sur le traitement des données.

Le RGPD définit le responsable de traitement comme celui qui « détermine les finalités et les moyens de traitement ». Dès lors, quand celui-ci fait appel à des sous-traitants, il a l’obligation de vérifier que ses sous-traitants présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles répondant aux exigences du RGPD.

Intermédiation et responsable de traitement

Sur le site de la CNIL et de France Assurances, vous pourrez trouver un guide pratique qui met bien en exergue la co-responsabilité des intermédiaires ou délégataires face au traitement des données personnelles.

Ainsi, dans le cadre de la relation assureur / délégataire de gestion avec une autonomie importante, l’assureur et le délégataire sont conjointement responsables du traitement.

Dans le cadre de la relation assureur / agent général, l’assureur est responsable du traitement tant que l’agent agit en qualité de mandataire. Or dès que l’agent ne se présente pas en cette qualité et qu’il prospecte en son nom propre, qu’il propose des services non prévus par la compagnie ou qu’il pratique du courtage accessoire, l’ensemble des responsabilités de traitement des données lui incombent, de la collecte à la conservation.

De même, le courtier est bien le seul responsable du traitement des données personnelles et doit à ce titre appliquer les obligations relatives au traitement des données de ses prospects et clients.

Les principales obligations du responsable de traitement

L’intégrité des données personnelles

Outre la détermination des moyens et de la finalité du traitement, le responsable doit tout mettre en œuvre pour prévenir la violation de données et le cas échéant y remédier.

Selon l’article 4.12 du RGPD, une violation de données est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données. » Par exemple : la suppression accidentelle de données, l’introduction malveillante…

Dès lors que la violation de données entraîne pour la personne concernée un risque (élevé ou non), le responsable de traitement doit aviser l’intéressé et lui donner toutes informations utiles (nature de la violation, conséquences, coordonnées du DPO, mesures prises pour remédier à la violation, recommandations notamment changement de mot de passe …). Il doit également notifier à la CNIL les mêmes renseignements dans les 72 heures.

En parallèle, l’entreprise doit tenir un registre très détaillé des violations à la disposition de la CNIL. Ce registre doit contenir la nature de la violation ; les catégories et le nombre approximatif des personnes concernées ; les catégories et le nombre approximatif d’enregistrements concernés ; les conséquences probables de la violation ; les mesures prises pour remédier à la violation et, le cas échéant, pour limiter ses conséquences négatives ; enfin le cas échéant, la justification de l’absence de notification auprès de la CNIL ou d’information aux personnes concernées.

La conservation des données personnelles

La durée de conservation des données doit être déterminée en amont par le responsable de traitement. Cette information doit être accessible au consommateur.

Cette durée varie selon le caractère de la donnée. Par exemple, selon leur « valeur », certaines données peuvent être archivées plus longtemps que d’autres.

A contrario, les données qui ne sont plus utilisées mais qui gardent un caractère administratif peuvent être conservées à condition de n’être consultées qu’à cette fin et par des personnes spécialement habilitées.

Selon les recommandations de la CNIL :

En l’absence de conclusion du contrat d’assurance, on ne peut pas conserver les données du prospect au-delà de 3 ans à compter de leur collecte ou du dernier contact émanant du prospect.
Les données pouvant permettre la constatation, la défense ou l’exercice de droit en justice, peuvent être conservées pendant une durée maximale de5 ans à compter de leur collecte ou du dernier contact émanant du prospect (5 ans étant le délai de prescription de droit commun).
Lorsqu’un contrat d’assurance est conclu, certains délais de prescription spécifiques sont susceptibles de s’appliquer. C’est le cas des contrats d’assurance-vie pour lesquels le Code des assurances prévoit un délai de prescription de 30 ans à compter du décès de l’assuré pour les actions du bénéficiaire. Il en va de même notamment pour les contrats automobiles en cas de dommages corporels subis par un tiers.

Le DPO : un statut particulier

Le délégué à la protection des données (DPO) a avant tout une mission d’information, de conseil et de contrôle. Il n’est pas responsable de la conformité de l’organisme, de la tenue du registre, de la réalisation des analyses d’impacts ou des notifications de violations de données.

Ses missions consistent à accompagner l’organisme (former les collaborateurs), contrôler l’effectivité des règles (vérifier l’application des règles RGPD), être le point de contact de l’organisme sur les sujets RGPD notamment avec la CNIL mais aussi avec les utilisateurs et assurer la documentation des traitements de données.

Rôle de la CNIL et sanctions

La Commission nationale de l’informatique et des libertés (CNIL) est une autorité administrative indépendante dont le but est de veiller à ce que l’informatique respecte l’identité humaine, les droits de l’Homme, la vie privée et les libertés.

Missions de la CNIL

La CNIL informe le public de ses droits. Elle peut être consultée par le gouvernement notamment sur les projets de lois.

La CNIL rappelle notamment la nécessaire prévention des infractions liées aux données personnelles. Elle assure des formations et sensibilisations auprès des entreprises privées et publiques et conseille les responsables de données personnelles sur les obligations qui leur incombent.

Les entreprises doivent mettre en œuvre des politiques de sécurité robustes pour protéger les données contre les accès non autorisés, assurer des formations régulières des employés aux bonnes pratiques en matière de protection des données, faire réaliser des audits pour identifier et corriger les failles de sécurité etc…

Elle dispose d’un pouvoir de contrôle et de sanctions.

Contrôles

La CNIL peut opérer plusieurs types de contrôles :

sur place : intervention inopinée des agents de la CNIL directement dans les locaux du responsable de traitement ou du sous-traitant ;
sur pièces ; questionnaire adressé en recommandé avec accusé de réception au responsable de traitement ou sous-traitant avec un délai pour répondre ;
sur convocation : convocation du responsable de traitement ou du sous-traitant dans les locaux de la CNIL ;
en ligne : vérification à distance des données librement accessibles (exemple site internet).

Réception des plaintes

Si un organisme (commerce, site internet, banque, assurance etc.) ne respecte pas la loi informatique et libertés, la CNIL reçoit les plaintes des particuliers en cas par exemple :

d’utilisation abusive des données,
de publicités non sollicitées,
pour supprimer son nom d’un moteur de recherche et protéger sa vie privée, effacer des informations erronées, protéger la réputation…
pour rectifier un fichage à tort auprès de la Banque de France,
pour faire respecter le droit à l’oubli
pour accéder à ses propres données, etc…

Pouvoir de sanction de la CNIL

Après une procédure contradictoire, la CNIL peut prononcer :

un rappel à l’ordre ;
une injonction de mettre en conformité le traitement avec la loi Informatique et libertés et le RGPD, le cas échéant sous astreinte ;
la limitation ou l’interdiction du traitement, ou le retrait de l’autorisation accordée pour le traitement ;
le retrait d’une certification ;
la suspension des flux de données vers un pays tiers ;
l’obligation de satisfaire aux demandes d’exercice des droits des personnes, y compris sous astreinte ;
la suspension des règles d’entreprise contraignantes (BCR) ; (visent les entreprises multinationales et ces règles leur permettent d’encadrer les transferts des données personnelles hors UE) ;
une amende administrative (maximum 20 millions d’euros ou 4% du CA mondial).

Un recours peut être formé par-devant le Conseil d’état.

Exemples de sanctions dans le monde de l’assurance :

Délibération CNIL du 18 juillet 2019, rendue publique le 25 juillet 2019, Délibération SAN-2019-007 du 18 juillet 2019 – Légifrance (condamnation d’un courtier à une amende de 180 000 €).

En l’espèce, un client de la société a signalé à la CNIL, en juin 2018, qu’il avait pu accéder aux données personnelles d’autres clients, à partir de son compte. Un contrôle en ligne avait permis de constater que :

plusieurs milliers de comptes clients de la société étaient accessibles viades liens hypertextes référencés sur un moteur de recherche ;
les documents et données des clients (copies de permis de conduire, de cartes grises, des relevés d’identité bancaire, documents permettant de savoir si une personne avait fait l’objet d’un retrait de permis ou commis un délit de fuite) étaient accessibles en modifiant les numéros figurant à la fin des adresses URL.

À la suite d’un contrôle sur place, plusieurs manquements ont été relevés :

« les mots de passe de connexion aux espaces personnels correspondaient à la date de naissance des clients ;
après la création de leur compte, l’identifiant et le mot de passe de connexion étaient transmis aux clients par courriel et mentionnés en clair dans le corps du message ».

Délibération CNIL du 20 juillet 2021, rendue publique le 22 juillet 2021 Délibération SAN-2021-010 du 20 juillet 2021 – Légifrance: (condamnation d’une société mutuelle d’assurance à amende de 1 750 000 €)

La CNIL a estimé notamment que deux obligations fondamentales prévues par le RGPD n’avaient pas été respectées :

Absence de mise en œuvre des systèmes sur les durées de conservation entrainant une conservation des plus excessives (les données de près de 2 000 clients n’ayant pas eu de contact avec la société depuis plus de trois ans, et parfois de cinq ans, étaient ainsi conservées).
L’information fournie par les sous-traitants dans le cadre du démarchage téléphonique était insuffisante. Les appels pouvaient être enregistrés sans que le consommateur en soit informé, l’identité du responsable de traitement, le principe et la finalité de l’enregistrement de la conversation, les destinataires des enregistrements, leur durée de conservation… n’étaient pas mentionnés.

La responsabilité pénale des auteurs d’infractions

Outre les sanctions pouvant être prononcées par la CNIL, il existe également la possibilité de rechercher la responsabilité pénale des personnes à l’origine des atteintes aux données personnelles.

Les atteintes aux données personnelles peuvent engager la responsabilité pénale des personnes physiques ou morales qui en sont à l’origine. Les sanctions prévues par la loi sont sévères et visent à dissuader les comportements illicites.

Pour les personnes physiques, les peines peuvent aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour les infractions les plus graves, comme la collecte frauduleuse de données.

Les personnes morales, quant à elles, encourent des amendes pouvant atteindre 1,5 million d’euros, ainsi que des peines complémentaires telles que l’interdiction d’exercer certaines activités.

Il est important de noter que la responsabilité pénale peut être engagée non seulement pour les actes intentionnels, mais aussi pour les négligences graves en matière de protection des données. Ainsi, un défaut de sécurité des données personnelles peut être sanctionné pénalement s’il résulte d’un manquement caractérisé aux obligations légales de protection.