SE METTRE EN CONFORMITE AVEC LE RGPD D’ICI AU 25 MAI 2018 

I. Propos introductif

Le 25 mai 2018, le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données personnelles et à la libre circulation de ces données, dit «RGPD», qui abroge la Directive 95/46/CE du 24 octobre 1995 du même nom, entrera en vigueur.

Le compte à rebours est donc lancé et les entreprises doivent se mettre en conformité.

II. A qui s’applique le RGPD et que change-t-il concrètement ?

A. A qui s’applique le RGPD ?

Le RGPD vise les administrations ainsi que toutes les entreprises (PME/PMI, start-up, grands groupes), quel que soit leur niveau de développement, qui sont amenées, dans le cadre de leur activité? à collecter et traiter des données à caractère personnel.

B. Où s’applique le RGPD ?

Les critères d’application des disposition du RGPD sont liées :

  • − au lieu de l’établissement principal ( au sein de Union Européenne),
  • − au lieu de traitement des données à caractère personnel,
  • − aux personnes concernées (ressortissants de l’Union Européenne),
  • − à la typologie de traitement des données à caractère personnel et leur degré de sensibilité.

Le RGDP a donc vocation à s’appliquer sur l’ensemble du territoire de l’Union Européenne et en dehors, dès lors que les données portent sur des résidents européens.

Il tend, au surplus, à harmoniser la législation de tous les Etats membres de l’Union Européenne afin de garantir une protection identique au sein de l’espace européen.

III. Qu’apporte le RGPD en droit français ?

En premier lieu, le RGPD vient confirmer et reprend un certain nombre de dispositions déjà existantes en droit français (A) et les complètent afin de renforcer la protection des données à caractère personnel et le droit des utilisateurs (B).

Ce faisant, le RGPD s’inscrit à la fois dans la continuité et dans la nouveauté.

A. La confirmation des droits déjà reconnus par la Loi Informatique et Libertés de 1978

Depuis la Loi Informatique et Libertés, la France dispose d’une législation en matière de traitement des données à caractère personnel.

Ainsi, avant toute collecte et utilisation de données à caractère personnelles, le responsable de traitement doit préciser aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés individuelles des personnes concernées. Ils limitent la manière dont le responsable du traitement pourra utiliser ou réutiliser ces données dans le futur.

Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a pas lieu de les conserver et celles-ci doivent être supprimées. La durée de conservation des données doit être définie, au préalable, par le responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.

En outre, après avoir donné leur accord, les personnes concernées disposent de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient les données la concernant comme :

  • − un droit d’accès aux données,
  • − un droit de les rectifier,
  • − et enfin un droit de s’opposer à leur utilisation.

B. Le renforcement des droits reconnus par la Loi Informatique et Libertés de 1978

Le RGPD vient renforcer l’ensemble des droits existants en mettant à la charge des  entreprises un certain nombre d’obligations nouvelles destinées à fournir à l’utilisateur une information claire, intelligible et aisément accessible.

1. L’expression du consentement est désormais strictement encadrée :

Les utilisateurs doivent être informés de l’usage qui sera fait de leurs données à caractère personnel et donner leur accord exprès au traitement de ces données, étant précisé qu’ils peuvent s’y opposer s’y opposer à tout moment.

La charge de la preuve du consentement incombe au responsable de traitement, étant précisé que la matérialisation de ce consentement doit être non ambiguë .

Le RGPD offre également un certain nombre de droits nouveaux aux utilisateurs afin de renforcer la protection de leurs données. En voici les principaux : 

2. La création de la portabilité des données à caractère personnel

Le RGPD consacre un droit nouvea, en France et en Europe : celui de la portabilité des données à caractère personnel permettant à un utilisateur ou internaute de récupérer les données à caractère personnel qu’ il a fournies et ce, sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers.

3. Le renforcement de la protection des mineurs

Le RGPD prévoit, en outre, des dispositions spécifiques nouvelles pour les mineurs de moins de 16 ans. L’information sur les traitements de données à caractère personnel les concernant devra être rédigée en des termes clairs et simples, pouvant être aisément compris le mineur, bien que son consentement doive être officiellement recueilli auprès du titulaire de l’autorité parentale.

Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans.

4. La reconnaissance du droit à réparation

Malgré les protections établies par le RGPD, il peut arriver que certaines personnes regrettent d’avoir donné leur consentement suite à une utilisation dommageable de leurs données à caractère personnel. Afin de permettre à ces dernières de retirer et d’effacer leurs données, le règlement introduit le principe « des actions collectives »

Il reconnaît un droit à réparation à toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses dispositions par le responsable du traitement ou par l’un de ses sous-traitants.

5. de nouvelles garanties au service de la confidentialité des données à caractère personnel

De plus, une obligation de sécurité et de notification des violations de données personnelles est mise à la charge de tous les responsables de traitements. Ainsi, les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.

Lorsqu’il constate une violation, par un tiers, de données à caractère personnel, le responsable de traitement de ces données doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.

6. L’obligation de se conformer au nouveau règlement

En amont de la mise en œuvre d’un traitement de données à caractère personnel, les entreprises devront procéder à une analyse d’impact (« PIA« ) pour mesurer le niveau de faisabilité de ce traitement au regard des obligations du RGPD.

IV. Simplifier les démarches administratives et responsabiliser les entreprises

 A. La fin des formalités préalables

Le RGPD vise également à simplifier les démarches de toute entreprise et start-up et à accroître la transparence des échanges entre les responsables du traitement des données et les autorités de contrôle nationales.

Ainsi, le règlement supprime la nécessité de formalités préalables auprès des autorités de contrôle.

Sauf exception, il ne sera donc bientôt plus nécessaire d’effectuer des déclarations ou des demandes d’autorisation préalable auprès de la CNIL à la mise en place de traitements de données à caractère personnel.

B. Création d’un Délégué à la Protection des données (« DPO »)

Soucieux d’accroître la responsabilisation des acteurs en charge du traitement des données personnelles, le RGPD institue l’obligation pour les entreprises concernées, de plus de 205 salariés, de nommer un Délégué à la Protection des Données (« Data Protection Officer »). Pour les entreprises de moins de 250 salariés, la CNIL recommande toutefois de désigner un DPO.

Ce dernier aura pour mission d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi de contrôler le respect de la législation européenne, notamment en s’assurant qu’un registre des traitements de données est bien tenu en interne (en remplacement des formalités préalables à la CNIL).

Le délégué, qui doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions », peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.

A titre d’exemple, le G29 estime que la géolocalisation des clients d’une chaîne de fastfood à dimension internationale à des fins statistiques, ou le traitement des données des patients d’un hôpital, obligent les entités concernées à désigner un DPO.

A noter : Les avocats pourront devenir délégués à la protection des données personnelles.

Enfin, le RGPD prévoit la possibilité pour les entreprises d’être certifiées ou d’adhérer à des Codes de conduites pour valoriser leur gouvernance de protection des données à caractère personnel.

V. Quels sont les risques ? Les sanctions ?

Les responsables de traitement, comme les sous-traitants, peuvent faire l’objet de sanctions administratives lourdes en cas de méconnaissance des dispositions du RGPD.

Déterminées par les autorités de contrôle, les sanctions pourront aller du simple avertissement à l’injonction de se mettre en conformité avec le nouveau texte européen.

Enfin, une amende administrative pouvant atteindre 4% du chiffre d’affaires annuel du responsable de traitement fautif.

VI. A retenir : les bons réflexes pour vous préparer au RGPD

Le RGPD repose sur une logique de responsabilisation et de transparence, alors que les obligations des organismes au regard de la Loi Informatique et Libertés reposait en grande partie sur les formalités préalables auprès de la CNIL.

En pratique, cette notion nouvelle de responsabilité va notamment se traduire par :

  • La prise en compte de la protection des données dès la conception d’un service ou d’un produit ;
  • la mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées.

Ainsi, il est primordial d’effectuer les diligences suivantes, comme le recommande la CNIL:

  • « Réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
    • Evaluer leurs pratiques et la mise en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
    • Identifier les risques associés aux opérations de traitement et la prise en compte des mesures nécessaires à leur prévention ;
  • Maintenir une documentation assurant la traçabilité des mesures. »

Un audit est fortement recommandé pour faire un état des lieux des traitements et préparer les outils à mettre en place avant le 25 mai 2018.

Faites-vous conseiller pour votre mise en conformité avec les dispositions du RGPD afin d’éviter toute sanction future. Pour toutes question, contactez-nous !

Téléphone

+33 (0)4 73 37 80 26

Mobile

+33 (0)6 32 58 16 92

Réseaux sociaux

Suivez notre actualité sur Facebook !

Facebook

Adresse

Silvere Avocat
42, avenue Julien
63000 Clermont-Ferrand