Le règlement général sur la protection des données du 27 avril 2016, dit RGPD (Règlement 2016/679/UE du Parlement européen et du Conseil qui abroge la Directive 95/46/CE du 24 octobre 1995) est entré en vigueur le 25 mai 2016 et sera applicable à partir du 25 mai 2018.

Le Règlement met à la charge des grandes entreprises (entreprises de plus de 250 salariés) et de leurs sous-traitants de nouvelles obligations en matière de traitement des données personnelles, quelle que soit leur activité. Apparaissent ainsi les obligations relatives à la désignation d’un Délégué à la protection des données personnelles, aux analyses d’impact ou encore à la tenue d’un registre des activités du traitement.

Les TPE et PME sont également concernées par ces nouvelles obligations, particulièrement lorsque les datas font partie de leur business model.

Le RGPD renforce le droit des personnes au niveau individuel, dans un cadre juridique complexe, encore mouvant, mais appelé à être durable (un projet de loi relatif à la protection des données personnelles est en préparation et permettra la mise en œuvre concrète du Règlement européen et de la Directive du 27 avril 2016).

Les nouvelles obligations pèsent sur le responsable du traitement, c’est-à-dire sur la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement (art. 4, §7). Avec la directive 95/46/CE, la principale obligation à la charge du responsable du traitement consistait en l’accomplissement de formalités préalables (déclarations des traitements ou demande d’autorisation auprès de la Cnil). Le RGPD supprime cette obligation d’accomplir des formalités préalables. Désormais, le responsable du traitement doit rendre compte et respecter un certain nombre d’obligations. L’abandon du système déclaratif et le principe d’accountability apparaissent comme les réelles nouveautés du RGPD.

Les autres nouveautés apportées par le Règlement concernent non seulement les personnes, mais aussi les acteurs et les traitements. La mise en conformité va obliger les entreprises à modifier les procédures existantes ou à mettre en place des procédures sécurisées de traitement des données personnelles (notamment les notifications de violation de données en cas de faille de sécurité, la gestion des demandes des personnes concernant leurs droits, les demandes d’accès, les plaintes, etc.).

Les entreprises vont également devoir faire un effort important de documentation, à la fois au niveau des traitements (registre des traitements, analyses d’impact, encadrement des transferts de données hors UE) mais également au niveau de l’information des personnes (mentions d’information, consentement, etc.).

Cette documentation, qui permettra de faire l’inventaire de toutes les données traitées, d’identifier les risques à l’aune du Règlement et de prévoir les mesures adéquates pour les éviter, sera remise à l’autorité de contrôle pour permettre à l’entreprise de prouver sa conformité en cas de contrôle.

 

Les étapes de la mise en conformité

  1. Piloter : désigner un délégué à la protection des données (DPD/DPO)

Le DPD est le premier outil de la mise en conformité et demeure incontournable, quelle que soit la taille de la société. Il sera également utile de constituer un comité de pilotage qui va définir des échéances et les exigences à mettre en place.

Le DPD doit avoir des compétences en matière juridique et technique et une parfaite connaissance de l’organisme. Il sera une véritable aide pour l’entreprise, porteur de la mise en conformité, étant précisé que la responsabilité pèsera toujours sur le responsable du traitement[1].

  1. Etablir une cartographie des traitements et des conventions
  • Cartographier les traitements 

La deuxième étape de la mise en conformité consiste à faire un état des lieux de la protection des données au sein de l’entreprise afin de s’assurer que le traitement est conforme aux exigences légales en termes de sécurité, de conservation limitée des données et de respect des droits des personnes.

  • Cartographier les conventions

La mise en conformité nécessite de modifier certaines dispositions existantes dans les conventions et les mentions d’information. Il est recommandé de cartographier les contrats avec les partenaires commerciaux et les sous-traitants afin d’adapter, de modifier ou d’introduire des nouvelles dispositions. A noter d’ailleurs que certaines dispositions devront obligatoirement être introduites dans les contrats de sous-traitance.

  1. Prioriser les tâches et les actions à mener en fonction des risques

Cette étape sera mise à exécution à l’issue de l’étape précédente, en fonction de l’état des lieux qui aura été réalisé et en fonction de la politique interne de l’organisme.

  1. Gérer les risques

Le RGPD nécessite clairement d’avoir une approche basée sur la gestion des risques.

A cet égard, le Règlement met notamment en place les études d’impact sur la vie privée ou encore intègre le principe d’accountability, autant d’outils que l’entreprise va devoir apprendre à s’approprier.

  1. Organiser la mise en œuvre de la conformité

L’entreprise, avec l’aide de son Délégué à la protection des données personnelles (DPD), va devoir établir un plan de mise en conformité.

Il s’agira notamment de réviser les procédures internes, d’identifier des relais métiers et d’organiser la circulation de l’information au sein de l’entreprise.

  1. Documenter à tous les niveaux

Le RGPD impose d’être conforme à la règlementation et de pouvoir le prouver.

Le registre et le bilan sont les deux éléments essentiels de la documentation.

  • Le Registre des activités de traitement

Le Registre est tenu par le DPD. Il permet de lister les différentes collectes des données, les catégories de données traitées, les outils de traitement, les procédures de vérification de la sécurité des données, les mesures prises en cas de faille de sécurité, les habilitations des accès, etc.

  • Le Bilan

Le bilan répertorie les actions menées pour la protection des données personnelles (par exemple des formations, des sessions de sensibilisation, la circulation de l’information au sein de l’entreprise, les éventuels réseaux mis en place, etc.)

 

Les sanctions

Les sanctions administratives prévues par le Règlement sont élevées et particulièrement dissuasives, pouvant s’élever dans certains cas[2] jusqu’à 10 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu (article 83).

Le Règlement prévoit, par ailleurs, un cumul possible avec des sanctions pénales (article 84).

L’appareil répressif mis en place est sans commune mesure avec l’appareil répressif existant et va coexister avec un régime de responsabilité solide. En effet, les sanctions administratives et/ou pénales pourront être prononcées mais la victime pourra également obtenir réparation de son préjudice via le système de responsabilité civile ou administratif ou encore cumuler les deux.

En parallèle des sanctions financières, l’entreprise condamnée pourra se voir interdire de poursuivre en tout ou partie le traitement de données personnelles, d’utiliser les données traitées illégalement ou encore de les transférer.

La véritable sanction pour l’entreprise ne sera pas nécessairement la sanction administrative, mais plutôt une sanction ressentie en termes d’image puisque le consommateur, le client ou le partenaire qui se considérera lésé pourra engager une action en justice.

 

Les contours d’un cadre juridique nouveau sont donc en train de se dessiner, de façon plus ou moins claire il faut bien l’avouer, obligeant ainsi les entreprises à s’adapter à une nouvelle règlementation et à appréhender différemment le traitement de données personnelles.

Les entreprises, quel que soit leur taille et leur secteur d’activité, vont devoir se mettre en ordre de marche dès aujourd’hui, si ce n’est pas déjà fait, afin de se mettre en conformité avec la nouvelle règlementation applicable à la protection des données personnelles.

L’enjeu est majeur, sur le plan juridique et mais surtout sur le plan économique.

La mise en conformité engendre certes un coût important mais fait aussi entrer l’entreprise dans un cercle vertueux, la responsabilisant elle et ses partenaires vis-à-vis de ses clients. Il est ainsi à prévoir, et surtout à espérer, que la mise en conformité sera génératrice de confiance et d’activité pour l’ensemble des acteurs.

 

[1] La désignation d’un DPD n’est pas obligatoire dans tous les cas et sera analysée au cas par cas au regard du critère du « traitement à grande échelle ». Il est toutefois recommandé d’en désigner un systématiquement, en interne ou en externe, notamment un avocat. Le DPD doit être indépendant du responsable du traitement et ne doit donc pas cumuler ses fonctions avec des fonctions de direction (un DSI, un directeur marketing ou encore un directeur financier ne peut donc pas être désigné comme DPD)

[2] Notamment en cas de violation des dispositions relatives aux obligations générales, à la sécurité des données, à l’analyse d’impact, au DPO.