ETAPES POUR LA CONFORMITE AVEC LE RGPD

Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles  en Europe. Prévu pour entrer en application le 25 mai 2018, le délai de mise en conformité est court et pourtant trop peu d’entreprises, établissements publics et autres traitants et sous-traitants de données à caractère personnel sont au courant des dispositions du texte en la matière.

Le droit européen vient ici instaurer un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne : le choix d’un règlement plutôt qu’une directive n’est pas anodin puisqu’il est de fait d’application directe pour tous les pays, sans avoir besoin d’une éventuelle transposition. Le texte a pour objectif, comme le rappelle la CNIL (1), de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données, qui se voient contraints de respecter certaines règles (nouvelles ou mises à jour) en la matière.

Le souci, c’est que très peu d’entreprises semblent prêtes à respecter cette multitude de dispositions nouvelles d’ici le mois de mai. En effet, seuls 19 % des entreprises s’estiment capables d’atteindre cette conformité dans un délai si restreint (2).

Cette mise en conformité paraît pourtant urgente, alors que début 2017 on recensait plus de 15 millions d’attaques aux données, en hausse de 35 % (3).

Il apparaît nécessaire, de fait, d’accompagner les entreprises dans ces différentes étapes : en effet, l’ensemble des dispositions du texte se devra d’être compris par les entreprises (I), pour pouvoir organiser de manière rapide et efficace leur mise en conformité (II).

 

I) Le cadre juridique instauré par le RGPD

Le texte européen, qui pour rappel entrera en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

A) Des obligations nouvelles pour les entreprises

L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

Plusieurs points essentiels dénotent du Règlement, à commencer par la « consécration » (à voir ce qu’il en sera réellement) du droit à l’oubli , déjà soutenu par la Cour de justice de l’Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées (4) ».

En somme, les données devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

De même, le texte prévoit que les entreprises devront minimiser les données personnelles collectées, et surtout les données qualifiées de « sensibles » (concernant notamment l’origine, les opinions politiques, orientations sexuelles, etc.), c’est-à-dire veiller à ce que seules les données nécessaires à la finalité en cause, et seulement pour celle-ci soient collectées.

Également, le texte fait référence aux articles 7 et 8 à la notion de consentement : en effet, les entreprises devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Si une entreprise ou une organisation n’est pas dans une relation contractuelle ou une obligation légale, ne vise pas l’intérêt général ou les intérêts vitaux d’une personne, ou n’a pas de motif légitime pour détenir des données personnelles sur celle-ci, elle n’est pas en droit de les traiter (ce qui comprend la conservation, l’utilisation, la revente, l’analyse, etc.), sauf si elle a obtenu pour ce faire un consentement clair et explicite de la personne concernée.

Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.

B) Des risques accrus pour les entreprises en cas de non-conformité

Comme le signale la CNIL en marge de l’application prochaine du RGPD : « de nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant ».

D’ailleurs, la tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

Pour toute violation de ces dispositions, le texte prévoit en son chapitre VIII les différentes voies de recours, principes de responsabilité et sanctions qu’encourent les entreprises. Il est notamment décrit que les amendes administratives peuvent s’élever jusqu’à 20 millions d’euros « ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent ».

C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.

Une mise en conformité rapide des entreprises s’impose donc. Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes.

La dernière décision en date semble d’ailleurs aller dans le sens d’une fermeté équivalente aux dispositions du RGPD, puisque la CNIL espagnole a infligé le 11 septembre dernier à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.

Quoi qu’il en soi, la question de la transition se pose pour chaque entreprise. Celle-ci n’ont en effet pas forcément conscience, même avec de la bonne volonté, de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .

Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

 

II) Les étapes de la mise en conformité des entreprises aux nouvelles dispositions

Dans l’attente d’une entrée en vigueur imminente de cette nouvelle réglementation, il convient pour les entreprises et, plus largement, tout traitant ou sous-traitant de données à caractère personnel, de prendre de l’avance et d’entamer dès aujourd’hui un processus de mise en conformité. À cet égard, le délégué à la protection des données (a) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (b) de cette transition.

A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité

La désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD, surtout en si peu de temps. Ce « chef d’orchestre » est le délégué à la protection des données qui, au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif. C’est ce que prévoit le règlement, qui consacre ses articles 37, 38 et 39 respectivement à la désignation, les fonctions et les missions du délégué à la protection des données. L’article 38 précise, de manière emblématique, que celui-ci doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».

Il faut savoir que ce délégué n’est pas seulement de mise que dans le cadre de cette conformation avant l’entrée en vigueur du texte, puisque la désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle. Le G29, qui a publié le 13 décembre 2016 des lignes directrices concernant le régime du délégué, s’appuie notamment pour caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.

Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est « fortement recommandé » d’effectuer une telle désignation, « le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux (6) ».

Le délégué doit être choisi, nous dit le texte, sur la base de ses connaissances juridiques en matière de protection des données. Il n’a pas nécessairement à être membre du traitant ou sous-traitant des données en question, puisque l’entreprise peut être liée avec lui sur la base d’un contrat de service. Celui-ci est, à ce titre, soumis au secret professionnel ou à une obligation de confidentialité dans le cadre de sa mission.

Concernant son travail, le délégué à la protection des données devra jouer le rôle d’un coordinateur : il devra principalement s’assurer de comprendre et cerner les nouvelles obligations prévues par le texte, et guider le responsable du traitement en fonction. Il détient en effet le rôle de l’informateur, du conseiller et de l’organisateur au regard de la mise en conformité de l’entreprise face aux nouvelles dispositions.

Ceci étant, il est important de souligner que le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement ; il est fortement conseillé pour lui néanmoins, comme l’indiquent les lignes directrices du G29, de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).

B) Les détails du processus de transition pour les entreprises

Une fois l’organe « directeur » de cette mise en conformité que constitue le délégué à la protection des données mis en place, l’entreprise devra alors engager le processus de transition en trois étapes.

La première consiste essentiellement, comme l’indique la CNIL (7), à établir une « cartographie du traitement des données personnelles par l’entreprise ». Il est important, comme on l’a déjà évoqué, de lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.

Pour ce faire, la tenue d’un registre des traitements peut être une solution : l’entreprise devra y consigner toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, comment elles sont stockées, la manière dont elles sont traitées, leur provenance ou encore le nom des traitants et sous-traitants.

Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions : assurer que ces traitements s’appuient sur des bases légales toujours en vigueur, qu’ils respectent les droits des utilisateurs, qu’ils sont suffisamment sécurisés et qu’ils respectent les principes liés à la transparence prévus par le texte.

À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.

Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation, étape qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce formalisme permettra en effet aux entreprises de s’organiser facilement et d’assurer un respect en continu de la protection des données traitées.

Pour lire l'article plus court en version mobile dsur la RGDP, cliquez

ARTICLES EN RELATION :

Sources :

(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

retour à la rubrique 'Autres articles'

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle.

Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site.

Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

| Conditions d'utilisation du site: IDDN | | Contacts | Plan d'accès | English version |
| C G V | Sommaire | Plan | recherche | Internet | Vie des sociétés | Vie quotidienne | Services en ligne | Votre question? |
Connexion sécurisé ssl 256
Nous joindre - Tel : 0143377563
Nous utilisons des cookies pour vous garantir la meilleure expérience sur notre site. Si vous continuez à utiliser ce dernier, nous considérerons que vous acceptez l'utilisation des cookies.
Share Suivre: Facebook Avocat Paris Linkedin Avocat Paris Tumblr Avocat Paris Twitter Avocat Paris Google+ Avocat Paris App.net portage salarial RSS Valide!
Retour en haut