Le règlement européen relatif à la protection des données personnelles (RGPD) entre en vigueur le 25 mai 2018: serez vous prêt pour la protection des données personnelles de votre entreprise (fr)

Un article de la Grande Bibliothèque du Droit, le droit partagé.


Europe >   Droit privé >  Droit européen >  Protection des données personnelles
Fr flag.png
Eu flag.png



Auteur:Thierry Vallat, Avocat.
Septembre 2017


Le règlement européen relatif à la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018. D’ici là, les entreprises devront s’être mis en conformité.

Elles devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Et vous, à neuf mois de la date fatidique, serez vous en règle avec le RGPD à temps ?

En effet, à la différence d'une directive, ce règlement va directement s'appliquer dans la loi interne des états membres sans besoin d'une transposition dans le droit national.

Il n'est pas trop tard pour vous y mettre et six axes principaux ont été pointés par la CNIL:

- Le DPO ou délégué à la protection des données

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le DPO ou délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un "correspondant informatique et libertés", qui vous donnera un temps d'avance et vous permettra d'organiser les actions à mener.

Cette désignation du DPO sera obligatoire si vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Mais même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux

-la cartographie du traitement des données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données de votre activité, commencez par recenser de façon précise les traitements de données personnelles que vous mettez en oeuvre. La tenue d'un registre des traitements vous permet de faire le point.

Dans le cadre du futur règlement, les organismes doivent tenir une documentation interne complète sur leurs traitements de données personnelles et s’assurer que ces traitements respectent bien les nouvelles obligations légales.

Pour être en capacité de mesurer l’impact du règlement sur votre activité et de répondre à cette exigence, vous devez au préalable recenser précisément :

- Les différents traitements de données personnelles, - Les catégories de données personnelles traitées ; - Les objectifs poursuivis par les opérations de traitements de données ; - Les acteurs (internes ou externes) qui traitent ces données. Vous devrez notamment clairement identifier les prestataires sous-traitants afin d’actualiser les clauses de confidentialité ; - Les flux en indiquant l’origine et la destination des données, afin notamment d’identifier les éventuels transferts de données hors de l'Union européenne.

- Prioriser les actions à mener

Sur la base du registre des traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

1- Assurez-vous que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.

2- Identifiez la base juridique sur laquelle se fonde votre traitement (par exemple : consentement de la personne, intérêt légitime, contrat, obligation légale)

3- Révisez vos mentions d’information afin qu’elles soient conformes aux exigences du règlement (articles 12, 13 et 14 du règlement)

4- Vérifiez que vos sous-traitants connaissent leurs nouvelles obligations et leurs responsabilités, assurez-vous de l’existence de clauses contractuelles rappelant les obligations du sous-traitant en matière de sécurité, de confidentialité et de protection des données personnelles traitées.

5- Prévoyez les modalités d'exercice des droits des personnes concernées (droit d'accès, de rectification, droit à la portabilité, retrait du consentement...)

6- Vérifiez les mesures de sécurité mises en place.

- Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une étude d'impact sur la protection des données (en anglais, Privacy Impact Assessment ou PIA).

- Organiser les processus internes

Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

- Documenter la conformité

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

En cas de défaut, la sanction sera lourde: 30 millions d'euros ou 4% du CA mondial !

Les TPE et PME n'auront en revanche pas à désigner un DPO ou tenir un registre de traitement qui sera obligatoire seulement pour les entreprises de plus de 250 salariés. En revanche, elles seront tenues de respecter les obligations de "privacy by design" de l'article 25-1 et de sécurité par défaut.

Pour résumer:

- Tenir un registre des traitements

- Identifier le périmètre des données sensibles

- Garantir les droits des personnes

- Revoir les contrats fournisseurs

- Rédiger une charte de bonnes pratiques

- Définir les nouvelles missions du DPO

- Se préparer à la possibilité d’une fuite de données


(Source: La Cnil préconise six étapes pour se préparer au règlement européen.)