M-1 avant l’entrée en vigueur du RGPD, (r)évolution du traitement des données personnelles

Le RGPD devient le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel. Les agences d’architecture bénéficieront de manière générale d’un régime allégé, mais devront mettre en place des mesures pour respecter de nouvelles obligations.
Le 25 avril 2018
RGPD

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données remplace la Directive 95/46/CE sur la protection des données personnelles et entrera en vigueur le 25 mai 2018 dans toute l’Union Européenne. Dès qu’un traitement de données personnelles est en jeu, il s’appliquera à toute forme d’organisation (publique ou privée), qu’elle que soit la taille (avec un régime allégé pour les TPE/PME) ou la nature des activités.

Le RGPD encadre les traitements sur des données personnelles : 

  • Par traitement, il faut comprendre toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
  • Les données personnelles sont entendues comme toute information se rapportant à une personne physique identifiée ou identifiable (par référence notamment à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale).

La tenue d’un fichier clients, la collecte régulière de coordonnées de maitres d’ouvrage à des fins commerciales, la constitution d’un dossier concernant les salariés de l’agence sont autant d’exemples de traitement de données personnelles. 

Dans un environnement économique où les données personnelles deviennent un enjeu commercial majeur, les fondements du RGPD consistent à rationaliser leur traitement et renforcer les mesures de sécurité, avec l’objectif de renforcer le droit des personnes. 


Quels impacts concrets du RGPD pour une agence d’architecture ?

Si la taille des agences d’architecture et le caractère accessoire du traitement de données dans le cadre de leurs activités, les dispensent de certaines obligations du RGPD (tenue d’un registre de traitement, désignation d’un délégué à la protection des données), ce règlement va nécessiter chez la plupart quelques modifications dans les mécanismes de traitement des données. 

1/ Recenser les traitements de données personnelles dans l’agence 

Afin de mesurer l’impact du RGPD, il convient dans un premier temps de recenser précisément les traitements de données réalisés par l’agence. 

Si l’article 30 du RGPD dispense les entreprises de moins de 250 salariés de tenir un registre des activités de traitement, il est toutefois recommander d’établir ce registre pour identifier précisément les traitements de données réalisés par l’agence et mieux mesurer les impacts du RGPD sur l’organisation. 

La CNIL met à disposition un modèle de registre dont la constitution repose sur une méthode simple : 

  • qui collecte les données dans l’agence ? : dirigeant, salarié, prestataire…
  • quelles données sont collectées ? : l’objectif est notamment d’identifier les données qui pourraient être considérées comme sensibles ou celles qui pourraient ne plus être traitées dans la logique du principe de minimisation
  • pourquoi ces données sont collectées ? : c’est un des principes phares du RGPD, la collecte de données n’a pas de sens si elle n’a pas de finalité, et devient illicite si elle sert un objectif contraire 
  • où ces données sont-elles stockées ? : le RGPD ne s’applique pas qu’au stockage dématérialisé mais vise aussi le traitement des données sur des supports matériels
  • jusqu’à quand ? : autre obligation nouvelle avec le RGPD, une durée de conservation des données doit être définie
  • comment les données sont-elles sécurisées ? : le RGPD repose en partie sur le principe d’"accountability". Les entreprises doivent prendre des mesures organisationnelles et techniques en vue de garantir la protection des données aux personnes qui sont concernées par le traitement. 

L’établissement d’un registre devrait permettre à l’agence de questionner la manière dont elle traite ses données personnelles, de s’interroger sur les finalités poursuivies par le traitement et d’évaluer les mesures à mettre en œuvre pour tendre à une pleine conformité avec le RGPD. La CNIL met à disposition un modèle de registre qui permet d’initier la démarche.

>> Télécharger le modèle de registre diffusé par la CNIL


2/ S’assurer de la conformité des traitements de données

Chaque traitement de données doit avoir une finalité, un objectif concret, s’inscrivant dans une activité légitime de l’entreprise ou se rattachant à ses obligations légales. Le RGPD n’implique pas par exemple qu’une agence d’architecture ne puisse plus recueillir des données personnelles à des fins commerciales : il s’agit d’une finalité légitime relevant de la volonté de développement économique de l’agence et qui reste licite si elle est exprimée à la personne titulaire des données dans les formes prévues par le RGPD.

Au sens de l’article 6 du RGPD qui fixe les critères de licéité du traitement, une agence d’architecture ne peut traiter des données personnelles qu’à condition :

  • que la personne titulaire y ait consenti, le règlement renforçant considérablement la notion de consentement ;
  • que le traitement soit nécessaire à l’exécution d’un contrat (contrat de travail pour les données des salariés, contrat de maitrise d’œuvre pour les données d’un maitre d’ouvrage) ;
  • au respect d’une obligation légale (recueil des données des salariés pour respecter les obligations sociales et fiscales).

Hormis les données traitées pour des questions légales ou contractuelles, les agences devront donc veiller à ne traiter des données qu’après avoir revu leurs conditions ayant trait au consentement des personnes. C’est l’une des évolutions majeures du RGPD qui encadre fortement la notion de consentement : 

  • Le consentement doit être donné par un acte positif clair : le silence ou l'absence d'action de la personne concernée ne vaut pas consentement, les cases pré-cochées de formulaires ne sont plus valables ; 
  • Le consentement doit être donné pour chaque finalité, de façon dissociable : la finalité de l’utilisation des données doit désormais être précisée de façon claire. Si les données traitées relèvent de plusieurs finalités, celles-ci doivent faire l’objet d’un consentement distinct ; 
  • Le consentement est inconditionné : par exemple, l’accès au formulaire de contact de l’agence sur le site internet ne saurait être conditionné à l’acceptation de recevoir des offres commerciales ;
  • La charge de la preuve du consentement pèse sur l’entreprise qui traite les données.

Adaptée aux données traditionnellement traitées par une entreprise d’architecture, la question du consentement vise essentiellement les traitements effectués à partir du site internet de l’agence (formulaire de contact, cookies, trackers...). Les architectes qui disposent d’un site devront donc veiller, notamment auprès de leurs prestataires, que les conditions de récupération des données personnelles y sont conformes. 


3/ S’assurer que les prestataires participant au traitement de données personnelles ont mis en œuvre les principes du RGPD

Le RGPD  concerne pleinement les prestataires qui opèrent le traitement pour le compte de l’agence (hébergeur, développeur de site, éditeurs de logiciel métier, agences de communication, prestataires de paie), désignés comme sous-traitants dans le règlement. 

Aux termes de l’article 28 du RGPD, ces derniers doivent offrir au responsable de traitement, des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée.

Les sous-traitants sont soumis à un régime spécifique d’obligations pour répondre à ces exigences :

  • Une obligation de transparence et de loyauté : celle-ci emporte l’existence d’un contrat incluant les démarches de chaque partie dans la mise en œuvre du RGPD
  • La prise en compte des principes de protection des données dès la conception (les produits et services intègrent les obligations nées du RGPD), et de la protection des données par défaut (seules sont traitées les données nécessaires à la poursuite de la finalité exprimée) 
  • Une obligation de garantir la sécurité des données : le sous-traitant doit prendre des mesures de sécurité appropriées tant d’un point de vue technique qu’organisationnel
  • Une obligation de notifier les violations des données traitées
  • Une obligation d’assistance, d’alerte et de conseil notamment dans le cas où une personne fait valoir ses droits en matière de données personnelles

                                                
Pour un panorama complet des obligations des sous-traitants, voir le guide de la CNIL élaboré en septembre 2017.

Il est donc recommandé aux agences d’architectures de vérifier auprès de leurs prestataires que ces derniers ont mis en œuvre les mesures nécessaires pour respecter les principes du RGPD. D’un point de vue formel, si ce n’est pas encore le cas, des avenants aux contrats devront être conclus pour préciser les obligations respectives et les responsabilités en matière de traitement des données personnelles. 

Il conviendra aussi de respecter la mise en œuvre du RGPD pour les opérations conduites en BIM et dans le cas où des données personnelles seraient versées dans la maquette numérique. Si la problématique semble écartée pour les maquettes numériques de conception et de chantier, pour lesquelles il parait difficile de trouver une finalité à un quelconque traitement de données personnelles, elle pourrait se poser plus sensiblement en phase d’exploitation-maintenance du bâtiment. Le CNOA publiera prochainement une analyse plus détaillée de la prise en compte du RGPD dans les opérations en BIM.


4/ Veiller à une information précise des personnes et au bon exercice de leurs droits

Pour les agences d’architecture, le RGPD va principalement impacter les mécanismes d’information des personnes titulaires de données ainsi que les conditions d’exercice de leurs droits (accès, rectification, opposition, oubli, portabilité, limitation du traitement), réaffirmés et renforcés dans le règlement. Celui-ci impose des délais particulièrement courts (1 mois au maximum pour les demandes simples, prolongeable d’un mois pour les demandes complexes) pour traiter les demandes de personnes concernées. 

Les mentions liés à la finalité du traitement et à son fondement juridique, l’identité de ceux qui auront accès aux données, la durée de conservation et celles qui concernent l’exercice des droits, devront être systématiquement associées au support de collecte des données. 


La CNIL propose des exemples de mentions adaptés sur son site internet. Le CNOA mettra également à disposition dans les prochaines semaines des mentions types correspondant aux activités classiques de traitement de données personnelles par les agences d’architecture .


Textes officiels :
>> Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016

Pour en savoir plus sur la mise en œuvre du RGPD : 
>> Guide pratique de sensibilisation au RGPD, réalisé par la CNIL et la BPI – Avril 2018

Publié le 25.04.2018
0 commentaire

Donnez votre avis

(© TheDigitalArtist / Pixabay / Creative Commons CC0)
Europe - RGPD