Entrée en vigueur du RGPD le 25 mai « 2018: Keep calm and prepare for GDPR »

Que vous soyez un organisme privé ou public, une association ou une entreprise, quelle que soit votre taille, et que vous soyez implanté dans l’UE et/ou visiez des résidents européens, le traitement de données à caractère personnel doit figurer parmi vos bonnes résolutions pour 2018.

 

Dans un contexte où la data est devenue le carburant de l’innovation, la question de la protection des données à caractère personnel se pose comme l’un des enjeux majeurs d’un business éthique.

 

C’est en tout cas l’un des chantiers de l’Union européenne, qui a refondu en 2016 son cadre juridique par l’adoption du Règlement général européen relatif à la protection de données à caractère personnel (« RGPD », ou « GDPR » en anglais).

 

Après avoir laissé deux ans aux acteurs concernés pour s’adapter, le RGPD entrera en vigueur le 25 mai 2018. A compter de cette date, tous les traitements de données à caractère personnel devront être en conformité avec ses dispositions ainsi qu’avec les textes de droit national des Etats-Membres qui viendront le compléter à titre subsidiaire. Sa mise en œuvre concerne toutes les entreprises dans l’UE (et sous certaines conditions hors UE) qui collectent, utilisent ou stockent des données à caractère personnel de manière automatisée ou sous forme de fichiers (données de salariés, clients, prospects, fournisseurs…).

 

Demain, il n’y aura plus de formalités préalables (à quelques exceptions près) mais les entreprises devront pouvoir justifier à tout moment et en toute transparence, de leur conformité à la nouvelle réglementation (accountability) ; la protection de la vie privée devra intervenir dès la conception des systèmes et des pratiques, et faire partie des paramètres par défaut (privacy by design et privacy by default) ; pour de multiples entreprises, un registre spécifique devra être tenu et un Délégué à la protection des données (DPO), nommé.

 

Tandis que les obligations des responsables de traitement et des sous-traitants sont renforcées, les individus voient leurs droits réaffirmés (notamment leur consentement) et en acquièrent de nouveaux (notamment portabilité, oubli, recours collectifs…) qu’il faudra mettre en œuvre.

 

S’il ne s’agit pas d’une date « couperet » selon la CNIL, les entreprises devront néanmoins, a minima, être en conformité avec le régime juridique antérieur, et pouvoir justifier de réels efforts pour atteindre le niveau de protection exigé par le Règlement… Notons que le projet de révision de la loi française (la fameuse « Loi Informatique et Libertés ») a été présenté en Conseil des ministres le 13 décembre dernier.

 

Il ne s’agit donc plus de se demander si ce processus « doit » être enclenché mais « comment » le mener avec le plus d’efficacité possible.

 

Ici les retardataires et bons élèves restent à égalité face à l’ampleur de la tâche et aux questionnements, plus ou moins nouveaux, qu’elle peut soulever. Malgré l’adversité, et au-delà de la question des pénalités, ces efforts sont aussi de futurs atouts : valorisation de son capital data, confiance de l’ensemble des acteurs (collaborateurs, partenaires, clients-prospects…), meilleure organisation des processus internes etc.

 

Convaincus ? Voici nos 6 propositions de résolutions (à adapter selon le degré de maturité de votre organisme…) :

 

Résolution n° 1 : Mettre en place la gouvernance

Impossible de mener un tel chantier sans chef(s) d’orchestre et responsable(s) projet. Ancien CIL, nouveau délégué à la protection des données (DPO), relais informatique et libertés, équipe « privacy » : la gouvernance du projet doit être organisée et tous les métiers impliqués.
Attention, certaines entreprises se verront dans l’obligation de désigner un DPO (par exemple, en cas de traitement de données sensibles).

 

Résolution n°2 : Cartographie et état des lieux des traitements de données à caractère personnel

Cette étape est cruciale pour se mettre en conformité aux exigences du RGPD. Elle vous permettra d’identifier :

• les différentes catégories de données à caractère personnel traitées dans le cadre de vos activités ;
• l’ensemble des traitements (ex. collecte, conservation, modification…) des données à caractère personnel;
• les buts poursuivis par ces traitements (ex : gestion des recrutements, gestion des clients) ;
• le(s) fondement(s) sur le(s)quel(s) se fondent les traitements (ex : consentement de la personne, intérêt légitime, contrat, obligation légale) ;
• les personnes impliquées dans le traitement des données à caractères personnel (ex : salariés, prestataires, sous-traitants etc.) ;
• les flux (origine et destination des données), afin notamment d’identifier les éventuels transferts en dehors de l’UE.

Cette étape centrale ne doit pas être négligée, d’autant plus qu’elle vous sera utile pour compléter le « registre » des activités de traitement…

Un DPO (interne ou externe) pourra vous aider à mener ce diagnostic et le tenir à jour dans le temps.

 

Résolution n°3 : Adopter un plan d’actions et un calendrier de mise en conformité

Une fois cette cartographie établie, vous devrez alors identifier les actions nécessaires pour vous mettre en conformité et les prioriser (selon les risques mais aussi selon vos propres urgences, ex. contrat en cours de renégociation).

Les exemples ci-dessous illustrent certaines des actions indispensables à envisager :

• s’assurer de la connaissance de vos prestataires et autres partenaires et, surtout, celle de vos sous-traitants de leurs nouvelles obligations et responsabilités en matière de données à caractère personnel (sur ce point, les notions de « responsable de traitement », « responsables conjoints » et « sous-traitant » devront être correctement assimilées afin d’inclure/de négocier les clauses contractuelles adaptées stipulant les obligations de chacun en matière de sécurité, de confidentialité et de protection des données à caractère personnel traitées) ;
• revoir et le cas échéant, modifier les mentions d’information des personnes concernées afin qu’elles soient conformes aux exigences du Règlement et revoir les modalités d’exercice de leurs droits (droit d’accès, de rectification, à l’oubli, à la portabilité etc.) ;
• s’assurer que les transferts de données hors UE sont encadrés par des garanties appropriés (ex. clauses contractuelles types de la Commission européenne, BCR etc.). ;
• auditer la fiabilité des systèmes de sécurité et, au besoin, les renforcer ;
• etc.

 

Résolution n° 4 : Gérer les risques : l’analyse d’impact

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (PIA – Data Protection Impact Assessment), lorsqu’un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées. Le G29 a établi plusieurs critères dans ses lignes directrices afin de vous aider à déterminer si votre traitement est susceptible d’engendrer des risques élevés¹.

Même lorsqu’elle n’est pas obligatoire, une telle analyse est fortement conseillée. En tout état de cause, le PIA doit être réalisé avant la mise en œuvre du traitement.

 

Résolution n°5 : Organiser les processus internes et assurer la traçabilité des données à caractère personnel

Afin d’assurer votre conformité dans le temps, il convient de définir des procédures en interne afin d’encadrer tout le cycle de vie d’un traitement et de sensibiliser vos collaborateurs et partenaires. Ces procédures permettront de suivre vos flux de données et, ainsi, d’en garantir la licéité.

L’organisation des procédures en interne devra également permettre de prendre en compte la protection des données à caractère personnel dès la conception d’une application ou d’un traitement et répondre ainsi aux exigences de privacy by default et privacy by design posées par le Règlement.

C’est aussi le moment de prévoir les processus à mettre en œuvre en cas de crise, comme par exemple une faille dans le système de sécurité impactant les données à caractère personnel, ou bien pour répondre aux réclamations et aux demandes des personnes concernées quant à l’exercice de leurs droits.

 

Résolution n°6 : Anticiper le futur Règlement européen « e-privacy »

Vous pensiez en avoir fini ? Le Règlement « vie privée et communications électroniques » (« dit e-privacy »)², lex specialis, arrive…

Ce texte, destiné à remplacer la Directive « vie privée et communication électroniques »³ est actuellement en cours de négociation au sein du Conseil. Son champ d’application matériel concernera tout fournisseur de services ou de réseaux (y compris les OTT, l’IoT, les applications mobiles…) qui traitent des données de communications électroniques (contenu comme métadonnées, y compris non personnelles) mais aussi tout outil qui accèdent ou captent les informations stockées ou émises par un équipement terminal (ex. tracking online et offline). A l’ère de la digitalisation de la société, peu d’entreprises seront donc exemptées…

Il est donc recommandé d’anticiper d’ores et déjà l’impact que pourra avoir ce texte sur vos pratiques.
Notre société d’avocats est disponible pour vous accompagner : l’appréhension de ces sujets est stratégique pour assurer la conformité juridique de vos projets et optimiser votre compétitivité !

 

 

Marie-Mathilde Deldicque, Avocat
Nina Gosse, Avocat

 

contact@dgfla.com

#DSM #UE #data #donneespersonnelles

 

 

^[1] Voir G29, “Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679”, WP248, April 4, 2017.

^[1] Proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE.

^[1] Directive 2002/58/ce du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.