Règlement Général européen relatif à la Protection des Données personnelles : le compte à rebours a commencé

A compter du 25 mai 2018, toutes les entreprises organisant des fichiers de données personnelles devront être conformes aux nouvelles dispositions du Règlement européen sur la Protection des Données personnelles (RGPD ou GDPR selon le vocable anglais).

Ce nouveau texte est l’aboutissement de 4 années d’intenses négociations et de lobbying entre les acteurs du secteur privé et les institutions européennes. Il réforme en profondeur les règles existantes et poursuit le double objectif de : « rendre aux citoyens le contrôle de leurs données personnelles et créer un niveau élevé et uniforme de protection des données à travers l’UE ».

Les entreprises ont moins d’un an pour être prêtes.

De la cohérence juridique pour favoriser la concurrence

Le RGPD représente un outil de clarté juridique pour les entreprises en remplaçant l’actuelle mosaïque des 28 lois nationales transposant la directive de 1995 applicable aux données personnelles par une unique législation. Les avantages sont estimés à 2,3 milliards d’euros par an, selon la Commission européenne.

Le règlement prévoit également un système de guichet unique pour les entreprises ; ce qui signifie qu’elles n’auront à faire face qu’à une seule autorité de surveillance (la CNIL pour la France) ; leur permettant par la même occasion de développer leurs activités dans différents pays de l’Union Européenne de manière plus simple et moins coûteuse. La sécurité juridique pour les entreprises est ainsi renforcée et doublée d’une simplification des démarches auprès d’un seul organe.

En outre, les nouvelles règles du RGPD seront applicables à toutes les entreprises ciblant les consommateurs européens, indépendamment du fait qu’elles soient établies à l’intérieur ou à l’extérieur de l’UE. Le règlement énonce clairement que les entreprises basées en dehors de l’UE doivent respecter les mêmes normes que celles qui proposent des biens et des services sur le marché de l’UE. Cela contribue à créer une concurrence équitable pour toutes les entreprises opérant au sein de l’Union.

Une responsabilisation des entreprises pour une plus grande flexibilité

Le RGPD vise l’injection, dans l’ADN même des entreprises traitant des données à caractère personnel, du principe « d’accountability ». Ce concept valorise une démarche de co-régulation par laquelle l’entreprise doit se responsabiliser et définir par elle-même les mesures de conformité qu’elle estime les plus adaptées à sa situation et sur la base desquelles elle est tenue de rendre compte, tant auprès des autorités de contrôle que des personnes fichées (clients, prospect, administrés, adhérents ou salariés).

L’entreprise bénéficie ainsi d’une certaine souplesse dans la définition de son programme de conformité. Cette flexibilité n’abaisse pas en parallèle le niveau des contrôles susceptibles d’être opéré par les autorités publiques.

La contrepartie de cet engagement est la suppression des formalités déclaratives auprès de la CNIL (sauf quelques exceptions). Pour apporter la preuve de sa conformité à la législation en matière de protection des données personnelles, les entreprises devront définir des normes internes et tenir une documentation (registre des données, politique de durée de conservation, politique de sécurité, etc.) qui devra obligatoirement être mise à la disposition de la CNIL en cas de contrôle.

De nouveaux outils

D’un point de vue opérationnel, la conformité au RGPD reposera sur la mise en place de différents outils.

Les entreprises devront notamment réaliser une analyse d’impact dont l’objet devra porter, d’une part, sur l’évaluation des risques inhérents à leurs traitements de données personnelles et, d’autre part, sur la détermination des mesures à mettre en œuvre pour atténuer les risques identifiés.

La démarche d’analyse d’impact est basée sur une approche de gestion des risques a priori qui vise à anticiper et minimiser les potentielles intrusions engendrées par l’utilisation des nouvelles technologies dans la sphère de la vie privée.

Concrètement, les traitements visés devraient concerner les traitements ayant recours à des technologies sensibles tels que la biométrie, les traitements collectant des données relatives aux enfants ou des données relatives à la santé, les traitements effectuant des opérations de ciblage publicitaire, les traitements donnant lieu à la constitution de listes noires ainsi que les traitements de vidéosurveillance.

En matière de sécurité des données, toutes les entreprises responsables de traitement de données seront dorénavant soumises à une obligation de notification auprès de leur autorité de protection des données en cas de faille détectée dans leur système informatique et pour toute violation de sécurité occasionnant une fuite de données personnelles. Cette notification devra intervenir sans délai ou, au plus tard, dans les 72 heures à compter de la constatation de la faille de sécurité. Le responsable doit également informer la personne concernée par la violation de ses données, si la violation a ou peu avoir des conséquences graves pour la vie privée de cette personne, sauf si la CNIL a constaté que les données personnelles étaient chiffrées (donc incompréhensibles pour les personnes extérieures à l’entreprise).

Les entreprises tributaires de cette obligation devront tenir un inventaire des violations dont elles ont été victimes, détaillant les modalités, leurs effets et les mesures prises pour y remédier. Cet inventaire doit être mis à la disposition de l’autorité de contrôle locale.

Un chef d’orchestre de la conformité

La conformité passera également par la nomination d’un délégué à la protection des données (le DPO) qui remplacera le Correspondant Informatique et Libertés (Cil) actuel. La désignation d’un DPO sera obligatoire pour :

  1. les entités appartenant au secteur public,
  2. les entreprises dont les activités principales demandent la réalisation d’un suivi régulier et systématique des personnes à grande échelle comme le profilage,
  3. ainsi que les entreprises dont les activités impliquent le traitement à grande échelle de données sensibles (données biométriques, données de santé, données révélant les opinions politiques, etc.) ou relatives à des condamnations pénales et infractions.

Doté de moyens propres, le DPO aura pour large tâche de piloter en interne et en externe les actions de conformité au RGPD dont le non respect par l’entreprise pourra être lourdement sanctionné (jusqu’à 20 millions d’euros ou 4% du chiffre d’affaire mondial).

Le RGPD s’inscrit dans le prolongement de la transition numérique des entreprises. Outre l’objectif de conformité, sa mise en œuvre constitue également une opportunité business pour faire de la protection des données un élément de valorisation de leurs fichiers. La mise en œuvre des nouvelles règles devrait permettre de favoriser la confiance des clients tout en améliorant la performance et la sécurité des fichiers de données ; ce qui constituera un avantage marketing et concurrentiel majeur pour les entreprises.

PARTAGER
Article PrécédentL’intérêt du SEO pour les entreprises du bâtiment et de l’industrie
Article Suivant[ITW] Nathalia de la société Semrush – QueDuWeb 2017

Sabine Deloges est avocate en droit de la propriété intellectuelle, des médias et des technologies de l’information. Elle a débuté sa carrière en tant que juriste d’entreprise des chaînes thématiques des groupes M6 et Disney avant de rejoindre le barreau en 2006.

Sabine intervient en conseil et en contentieux sur les problématiques liées à l’environnement numérique (e-commerce, protection des données personnelles, responsabilité des acteurs de l’internet). Elle assiste de façon régulière les sociétés françaises et internationales développant des activités dans la production, l’édition et la distribution de contenus créatifs (livres, cinéma, télévision, musique, photographies, spectacles etc.). Notamment, elle collabore directement avec leurs équipes internes pour les accompagner au plus près de leurs besoins dans le déploiement de leurs nouveaux modèles économiques, la mise en place de leurs schémas contractuels et la sécurisation juridique de leurs projets.