Le compte à rebours est lancé : RGPD

Cosigné par Maître BREBAN – Avocat  Associé NEXO AVOCATS

Le 25 mai 2018 entrera en vigueur au niveau européen le Règlement Général sur la Protection des Données (RGPD). La date est proche et les entreprises n’ont que peu de temps pour se préparer. Tour d’horizon du champ d’application particulièrement vaste et contraignant pour les acteurs du traitement* des données personnelles**.

 

Adopté par le Parlement Européen le 16 avril 2016, les définitions du texte de loi (voir ci-dessous) laissent entrevoir le large spectre des acteurs concernés par son entrée en vigueur. Et les mesures à prendre ne sont pas anodines. Car si le RGPD vise à développer les droits accordés aux personnes ayant vu leurs données personnelles collectées, ce renforcement se décline en autant de contraintes pour les entreprises et administrations, qu’elles soient d’ordre technique, contractuel ou organisationnel.


*Traitement : toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

**Données personnelles : toute information se rapportant à une personne physique identifiée ou identifiable. Est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identifié physique, physiologique, génétique, psychique, économique, culturelle ou sociale.


Sur le plan technique, la principale contrainte fixée par le RGPD est l’incitation à la « pseudonymisation » des données personnelles collectées. Il s’agit d’une opération d’anonymisation réversible, via l’utilisation d’un pseudonyme (ou la conservation des données sous un format ne permettant pas l’identification directe) en lieu et place de l’identité réelle, permettant de conserver la confidentialité des données en cas d’intrusion et/ou de vol de données.

 

Un cadre contraignant autour du traitement des données

Sur le plan organisationnel, la déclinaison du RGPD a des conséquences beaucoup plus vastes. L’organisme collecteur de données personnelles se doit d’obtenir auprès de la personne concernée un consentement libre, spécifique, éclairé et univoque de son accord au traitement des données. Ce consentement doit par ailleurs être obtenu par un acte positif. En cas de litige, la charge de la preuve pèse sur l’entreprise. Finies donc les pages web avec une discrète case cochée par défaut. En cas de changement dans le processus de traitement des données, l’opérateur doit évaluer le risque et analyser l’impact de cette action sur les droits et libertés des personnes physiques engagées. Un registre de l’ensemble des traitements de données doit être intégré dans l’entreprise. L’organisme hérite de la responsabilité de s’assurer que ses sous-traitants (sociétés d’e-mailing, cabinet de traitement de la paye…) se sont également mis en conformité avec le RGPD.

  • Lister l’ensemble des traitements (rappelons que la simple consultation de données est un traitement aux yeux du RGPD) ;
  • Préciser les catégories de données personnelles traitées ;
  • Décrire les objectifs et finalités du traitement ;
  • Lister les acteurs internes et externes à l’entreprise en charge du traitement des données ;
  • Détailler les flux de données (origine et destination) afin d’identifier les éventuels transferts de données en dehors de l’union Européenne.

 

Un nouveau rôle : Data Protection Officer

Certains responsables de traitements se voient dans l’obligation de désigner un Délégué à la Protection des données (Data Protection Officer – DPO). Il s’agit :

  • Des autorités et organismes publics ;
  • Des responsables de traitements dont les activités consistent à réaliser en propre ou au travers de sous-traitants des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Des responsables de traitement « particuliers » (origine raciale, ethnie, opinions politiques, convictions religieuses, données biométriques…)

Le DPO se verra alors confier les missions de conseil et de contrôle auprès responsable du traitement et son sous-traitant et de coopération avec l’autorité de contrôle. A noter qu’il jouira d’un statut de personnel protégé.

 

De nouvelles règles du jeu et sanctions

L’obligation de notification est prévue dans l’article 34 qui en cas de violation de données à caractère personnelles contraint à informer la personne physique, à la condition que cette violation soit « susceptible d’engendrer un risque élevé pour les droits et libertés ».

Il existe des conditions exonératoires à cette obligation d’information, et bien évidemment, la notion de risque élevé reste soumise à appréciation. Mais dans le cas où cette obligation d’information doit être exercée, un défi technique s’impose au responsable de traitement : la capacité à identifier dans sa base de données la liste des personnes physiques concernées. A défaut, il aura obligation de procéder à une communication publique, venant dès lors grever plus encore son image.

Selon les violations observées au RGPD, les sanctions seront naturellement variables. Afin de porter un minimum d’attention à sa bonne application, il suffira de se rappeler les termes de l’article 84 qui prévoit une amende pouvant aller jusqu’à 20 000 000 € ou 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Cette amende porte notamment sur l’inobservation des principes de base d’un traitement (articles 5, 6, 7 et 9 du RGPD).

 

Anticiper en suivant quelques recommandations

A partir du 25 mai 2018, un chantier d’ampleur découle de l’application obligatoire du RGPD. Contrairement à l’obtention de l’ancien « tampon » délivré par la CNIL, les entreprises doivent maintenant se mettre en capacité d’apporter la preuve qu’elles se sont mises en conformité avec la règlementation.

Il convient donc pour les entreprises de :

  • Sensibiliser leur personnel au RGPD à la protection des données,
  • Revoir leur accord avec des tiers prestataires de services (sous-traitants au sens de la RGPD, hébergeur de données, éditeur de solution cloud…),
  • Identifier leurs traitements et bases et assurer leur protection,
  • Tenir un registre des traitements,
  • Désigner le cas échéant un DPO,
  • Concevoir des systèmes d’informations assurant la sécurité des données et permettant dans le temps de rapporter la preuve du respect de la RGPD.

Et si de nouvelles conséquences financières pèsent sur les entreprises et administrations au travers de l’inobservation du règlement, d’autres risques émergent.  Les individus auront la possibilité d’engager des procédures collectives. Le responsable de traitement a l’obligation de vérifier sa mise en conformité et celle de ses sous-traitants. Dès lors se pose les questions de la révision des relations contractuelles et de la responsabilité civile professionnelle.

 

Maître BREBAN – Avocat  Associé NEXO AVOCATS

Olivier GEVAUDAN, Expert Technologie de l’Information et de la Communication