Imprimer cet articleEnvoyer à un ami
Mercredi 29 novembre 2017 | données personnelles

Serez-vous « RGDP conformes » en mai 2018 ?


Le 25 mai 2018, le règlement général de protection des données personnelles (RGPD), adopté par le Parlement européen le 27 avril 2016, entre en vigueur dans tous les Etats membres de l’Union européenne. Les entreprises seront désormais soumises à de nouvelles obligations qu’elles ont intérêt à anticiper afin d’éviter toute sanction.


Toutes les entreprises françaises sont concernées par la réforme importante du RGPD dès lors qu’elles traitent des données personnelles. C’est ce qu’elles font toutes, à commencer par les données de leurs employés et celles de leurs clients. Certes, les données personnelles faisaient déjà l’objet d’un arsenal législatif fourni (notamment la directive de 1995 et la loi Informatique et Libertés de 1978), mais ces règles, désormais datées, manquaient sévèrement de pertinence à l’ère du big data, du cloud, des réseaux sociaux, de la publicité ciblée et de la mondialisation galopante. La donnée est devenue une matière première à forte valeur ajoutée, une nouvelle manne pour certains au détriment des droits et de la liberté des autres.

Il était donc temps de changer la norme et de l’adapter à ce nouveau monde. Cette réforme va ainsi modifier en profondeur les habitudes, automatismes et procédures mais également les obligations et responsabilités des protagonistes du traitement et de la circulation des données qui vont devoir repenser leurs processus et leur philosophie de traitement et inventer ou réorganiser une gouvernance à toutes les étapes de la collecte et de l’utilisation des données.

Le texte est dense (200 considérants, 97 articles) et novateur. Il met en œuvre des concepts dont la portée et le sens encore incertain vont devoir être précisés assez rapidement.

Ce qui va changer pour les droits des personnes

Les droits des personnes restent identiques et sont toujours constitués du socle classique du droit à l’information, du consentement, des droits d’opposition, d’accès et de rectification. Ce socle est renforcé et trois innovations principales sont apportées afin de replacer l’individu au centre du dispositif en réaffirmant son droit à contrôler l’utilisation de ses données personnelles. L’objectif premier est de permettre à la personne de consentir ou de s’opposer à tout ou partie d’un traitement en toute connaissance de cause. Au titre des nouveautés, la personne disposera d’un véritable droit à l’oubli, c’est-à-dire du droit à l’effacement définitif de ses données, ce qui n’était pas vraiment le cas jusqu’alors, et d’un droit à la portabilité de ses données, c’est-à-dire d’un droit de récupérer ou de faire récupérer par un autre opérateur ses données dans un format exploitable.

Des innovations pour les entreprises

C’est sur ce point que le RGPD est le plus innovant. Il crée un tout nouveau cadre de gouvernance des données reposant principalement sur la responsabilisation des entreprises (principe d’accountability). Cette idée s’articule autour de deux propositions constantes selon lesquelles le responsable de traitement (mais également son sous-traitant, ce qui est nouveau) doit engager les moyens techniques et autres nécessaires pour d’abord agir à tout moment en conformité avec le RGPD et ensuite, être en mesure de le prouver aux autorités de contrôle. Le système des procédures préalables de déclaration ou d’autorisation de traitement de fichiers auprès de la Cnil est abandonné au profit de la mise en œuvre d’une gouvernance interne à tous les niveaux de la chaine du traitement.

Ainsi, les entreprises devront, dès la création d’un fichier, s’assurer que les données collectées sont uniquement celles nécessaires à la finalité du traitement envisagé, ne sont pas exploitées dans d’autres buts et conservées uniquement le temps nécessaire à la réalisation de cette finalité. Elles devront également tenir un registre de traitement des données, et réaliser des études d’impact dans les cas de traitement de données sensibles. Certaines entreprises devront nommer un délégué à la protection des données (DPO – data protection officer), véritable chef d’orchestre de la conformité au règlement. Les entreprises devront également mettre en œuvre les moyens techniques permettant d’assurer une protection adéquate des données et l’exercice de leurs droits par les personnes concernées. Elles devront par ailleurs signaler dans les plus brefs délais (maximum 72 heures) toutes les violations de données personnelles qu’elles conservent, sauf si cette violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Cette notification à la Cnil sera doublée dans certains cas d’une notification individuelle à toutes les personnes concernées.

Des sanctions aggravées

Le RGPD aggrave considérablement les sanctions qui deviennent un véritable levier de coercition contre les entreprises rétives. Ainsi et jusqu’en novembre 2016 la Cnil pouvait-elle prononcer des amendes allant jusqu’à 150 000 euros, soit l’équivalent de quelques secondes du chiffre d’affaires mondial de Facebook. Sous l’empire du RGPD, les autorités de contrôle pourront prononcer des amendes maximums de 20 millions d’euros ou 4% du chiffre d’affaires mondiale consolidé de l’entreprise, le chiffre le plus élevé des deux étant retenu.

Ce bouleversement des règles induit une mise en œuvre minutieuse, réfléchie et élaborée suffisamment à l’avance. Les entreprises doivent dès maintenant entrer dans une phase active de préparation et de mise en conformité. Le 25 mai 2018, elles seront censées appliquer les règles du RGPD et la Cnil pourra en théorie prononcer des sanctions immédiates et lourdes. Les enjeux sont donc importants. Ce chantier de mise en conformité ne peut se faire sans un audit préalable de l’existant et une projection en termes de ressources et de procédures à mettre en œuvre. Pour beaucoup d’entreprises, il n’est pas encore trop tard mais le processus doit être engagé dès maintenant.

ssociés

 

Frédéric Lecomte, avocat associé, Stehlin & Associés



Téléchargements