Oratio lab

RGPD : une nouvelle réglementation à anticiper !

Une entrée en vigueur qu’il faut très rapidement anticiper, comme va nous l’expliquer Anne-Laure Le Blouc’h, avocate associée Oratio.

Le RGDP entrera en vigueur le 25 mai 2018 : en contrepartie de la fin des obligations déclaratives vis-à-vis de la Cnil, les entreprises seront pleinement responsables des données collectées. Ce qui les oblige à effectuer d’ici là un certain nombre de développements informatiques afin de respecter le RGPD.

Tout d’abord, qu’est-ce que le règlement général sur la protection des données ?
Anne-Laure Le Blouc’h : Le règlement général sur la protection des données, appelé plus couramment « RGPD », est un règlement européen qui entrera en vigueur, en France et dans les autres pays membres de l’Union européenne (UE), le 25 mai 2018.
Pour être complet, il faut ajouter que certaines dispositions du RGPD ont été anticipées par la loi pour la République numérique du 7 octobre 2016.
Ce règlement, immédiatement applicable, sans transposition en droit national préalable, a vocation à remplacer l’actuelle réglementation qui oblige les entreprises qui collectent et traitent des données personnelles à respecter des formalités déclaratives auprès de la Commission nationale de l’informatique et des libertés (Cnil).
En contrepartie de la fin de ces obligations déclaratives, les entreprises sont responsabilisées : c’est le principe d’ accountability ou l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives à la protection des données personnelles, d’une part, et d’être en mesure d’en justifier, d’autre part.
De plus, afin de garantir la protection des données traitées, le RGPD renforce les droits des personnes dont les données personnelles sont collectées et en facilite l’exercice.
Enfin, le RGPD revoit à la hausse les sanctions en cas de violation des données personnelles. Ainsi, le non-respect des dispositions édictées pourra être puni d’une amende pouvant atteindre 20 M€ ou 4 % du chiffre d’affaires mondial annuel de l’entreprise.

Comment les droits des personnes dont les données personnelles sont collectées sont-ils renforcés ?
Pour améliorer les droits des personnes dont les données personnelles sont collectées, le RGPD renforce le principe de transparence. Ce qui suppose, en premier lieu, que l’information délivrée soit « claire, intelligible et aisément accessible ».
En d’autres termes, le titulaire des données collectées doit pouvoir précisément et clairement appréhender les finalités de l’usage qui en sera fait.
En effet, il incombe à l’entreprise de délivrer une information la plus complète possible : quelle est la finalité de la collecte des données personnelles ? Qui sont les destinataires de ces données ? Durant combien de temps sont-elles conservées ? Quels sont les droits de la personne informée ? Quelle est l’identité du collecteur des données ? Voici une liste de questions, non exhaustives, dont les réponses devront être tout de suite transmises à la personne dont les données personnelles sont collectées.
En second lieu et en vertu de ce principe de transparence, le consentement doit être préalable et dénué d’ambiguïté.
Il n’est pas possible de se prévaloir de l’inactivité ou de l’abstention d’une personne pour considérer qu’elle a donné son consentement. Il faudra recourir à divers procédés pour recueillir ce consentement, du type déclaration écrite, case cochée, etc. (constituez-vous une preuve écrite du recueil du consentement).
Il doit être noté qu’il existe une protection spécifique pour les mineurs de moins de 16 ans : il est, en effet, impératif que leur représentant légal donne son consentement au traitement des données personnelles qui les concernent.
Sachez, enfin, que les mesures de protection édictées a priori et avant toute utilisation des données sont aussi renforcées a posteriori, grâce au « droit à l’oubli » permettant de requérir la suppression des données collectées et au « droit à la portabilité » permettant de recevoir ses propres données, pour ses propres besoins, mais également d’obtenir directement le transfert de ses données à un autre responsable de traitement, sans obstacle.
Ces droits, renforcés ont, bien évidemment, vocation à être mis en œuvre et leur violation à être sanctionnée.
à ce titre notamment, indépendamment des actions personnelles, une association active dans le domaine de la protection des droits et libertés des personnes en matière de protection des données aura désormais la possibilité d’introduire des recours collectifs.

La responsabilisation de l’entreprise est un des piliers du RGPD : comment se matérialise-t-elle ?
L’entreprise devra tenir un registre de traitement recensant l’ensemble des données collectées.
Pour établir ce registre, l’entreprise devra, au préalable, établir une cartographie des données qu’elle est susceptible de collecter. Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données (il est possible de recourir à des prestataires externes qui géreront le registre pour le compte de l’entreprise).
Selon les résultats de cette cartographie, il pourra être opportun de réaliser une étude d’impact : cette étude sera obligatoire si les données traitées sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes, notamment si le traitement nécessite un profilage ou dans le cadre d’un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions.
C’est à l’issue de la mise en œuvre de la cartographie et/ou de l’étude d’impact terminée que le registre de traitement pourra être formalisé. Il doit impérativement être tenu sous la forme écrite et être laissé à la disposition de la Cnil. Il contient les coordonnées du responsable du traitement et, le cas échéant, du DPO (Data Personnal Officer, appelé délégué à la protection des données en français), les catégories de données traitées, celles susceptibles de soulever des risques, les objectifs du traitement, la durée de conservation des données et les mesures de sécurité mises en œuvre.
Notez toutefois que la tenue du registre n’est pas obligatoire pour les entreprises de moins de 250 salariés, sauf si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, s’il n’est pas occasionnel ou s’il porte sur des catégories particulières de données.
Néanmoins, qui peut le plus peut le moins et la Cnil recommande aux entreprises exemptées de tenir un registre des activités de traitement.

Vous avez évoqué le DPO : de qui s’agit-il ? Toutes les entreprises doivent-elles en nommer un ?
L’obligation de désigner un Data Personnal Officer ou DPO (qui peut être une personne interne ou externe à l’entreprise). Seuls sont, en effet, tenus de désigner un DPO :
– les organismes du secteur public ;
– les entreprises dont les activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle (la notion de « grande échelle » n’a pas été définie) ;
– les entreprises dont les activités principales les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Néanmoins, là encore, la Cnil recommande à toutes les entreprises de désigner un DPO dont la mission est d’informer et conseiller l’entreprise responsable du traitement ainsi que ses employés, de contrôler le respect du RGPD et du droit français en matière de protection des données et de coopérer avec la Cnil.

Que se passe-t-il en cas de violation des données personnelles, malgré les procédures mises en place dans le cadre du RGPD ?
En cas de violation de données à caractère personnel, le responsable du traitement doit contacter la Cnil dans les meilleurs délais et, si possible, par principe, 72h au plus tard après avoir pris connaissance de cette violation. Si la notification de la violation n’a pas eu lieu dans ce délai, il faudra expliquer les raisons de ce retard à la Cnil.
La violation des données doit être documentée : l’indication des faits et les effets de la violation sur les données, et les mesures prises par l’entreprise pour remédier à celle-ci doivent être réunis dans un dossier qui sera remis à la Cnil.
Attention : lorsqu’une violation de données est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci doivent être directement informées de la violation de leurs données dans les meilleurs délais. L’information doit être faite en des termes clairs et simples et comprendre, au minimum :
– le nom et les coordonnées du DPO ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
– la description des conséquences probables de la violation de données à caractère personnel ;
– le détail des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

partager sur

Articles Similaires
Oratio lab

Propriété industrielle : une réforme du régime d’imposition des brevets (et actifs assimilés)

Oratio lab

Fiscalité de l’entreprise…intégration fiscale : du nouveau en 2019 !

Oratio lab

Immobilier : un nouvel Elan pour la location immobilière ?

Oratio lab

Complémentaire santé : dispositif 100 % santé : quel impact sur les complémentaires santé d’entreprise ?

S'abonner
à la newsletter