RGPD (Règlement général sur la protection des données) : 5 points clés pour réussir votre mise en conformité (eu)

Un article de la Grande Bibliothèque du Droit, le droit partagé.
Europe >   Droit privé >  Droit européen >  Protection des données personnelles
Eu flag.png


Gérard Haas, Avocat au Barreau de Paris
Janvier 2018


En prévision de l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD) le 25 mai 2018, voici les 5 points clés pour vous mettre en conformité. 

La tenue d’un registre d’activités de traitement

Avec le RPGD, chaque donnée personnelle traitée doit être recensée au sein d’un registre des traitements. Que doit contenir ce registre ?


  • Le nom et les coordonnées de chaque client, prospect, fournisseur ou partenaire pour le compte duquel des données sont traitées
  • Les objectifs de ces traitements de données
  • Le nom et les coordonnées de chaque responsable de traitement et sous-traitant
  • Le nom et les coordonnées du DPO (s’il y en a un)
  • Les catégories de traitements effectués pour le compte de chaque client, prospect, fournisseur ou partenaire
  • Les transferts de données hors UE effectués (s’ils existent)
  • Une description générale des mesures de sécurité techniques et organisationnelles mises en place.


Les nouvelles obligations pour le responsable de traitement

  • Garantir les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données
  • Notifier les failles de sécurité dans les 72h : à l’autorité de contrôle ainsi qu’à la personne concernée si elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique
  • Etablir un registre des activités de traitement qui sera imposé à de nombreuses entreprises
  • Désigner un DPO qui sera obligatoire dans de nombreux cas. La personne adéquate pour assumer ce rôle, compte tenu des compétences et de l’indépendance requise, notamment pour assumer la mission de contrôle de la conformité juridique des traitements, risque d’être difficile à trouver, heureusement, cette fonction peut être externalisée.
  • Mener une étude d’impact sera obligatoire dans de nombreux cas, elle permettra de documenter les mesures de sécurité imposées au responsable de traitement, mais aussi de respecter les principes de privacy by design et by default.

Le principe d’Accountability

La logique du RGPD développe une approche pragmatique en matière de protection des données personnelles.


Abandonnant la logique déclarative issue de la loi informatique et libertés, le RGPD s’appuie sur une responsabilisation (accountability) des acteurs traitant des données qu’il s’agisse d’entreprises ou d’entités publiques responsables de traitements mais également de fournisseurs de solutions informatiques permettant la mise en œuvre effective de ces traitements.


Lorsque l’on compare le million et demi de formalités préalables accomplies auprès de la CNIL depuis 1979 aux 3.5 millions de PME que comptait déjà la France en 2012 [1], force est de constater que peu d’entreprises étaient sensibilisées à l’obligation de déclarer leurs traitements !


Disons-le, une forme de pratique «pas vu / pas pris » s’est généralisée en dehors des secteurs sanctionnés par la CNIL ayant eu un fort écho médiatique.


La logique d’accountability ou de responsabilisation imposée par le RGPD a précisément pour objet de transformer cet état de fait en axant sa démarche, d’une part sur le renforcement des obligations existantes et, d’autre part, sur la création d’obligations nouvelles.


Les sanctions en cas de non mise en conformité

Des sanctions financières

Le caractère non dissuasif et disparate des sanctions prononcées par les autorités de contrôle était depuis fort longtemps décrié.


L’amende maximale de 150 000€ prononcée par la CNIL à l’égard de la société Google a été médiatisée sans pour autant contraindre le géant américain à infléchir sa politique en matière de protection des données personnelles ou à dissuader les autres GAFA (acronyme qui désigne Google Amazon Facebook Apple). C’est sans doute la raison pour laquelle les institutions européennes ont tenu à faire figurer dans le règlement que les amendes prononcées en cas d’infraction aux règles applicables doivent être « effectives, proportionnées et dissuasives [2]».


En fonction des violations, le RGDP relève le plafond des sanctions pécuniaires.


  • Un montant de 10 millions d’euros ou correspondant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent [3] s’appliquera à une première série de « violations ». Il s’agit des manquements du responsable de traitement et des sous-traitants aux obligations qui leur sont imposées au titre de la protection des données, de l’analyse d’impact, du délégué à la protection des données, du registre des activités de traitement, de l’information des personnes concernées et de la sécurité des données personnelles.
  • Un montant de 20 millions d’euros, ou, dans le cas d’une entreprise, un plafond correspondant à 4% du chiffre d’affaires annuel mondial s’appliquera à une seconde série de « violations » considérées comme particulièrement graves [4] (RGPD art. 83.5). Ce sont notamment, les manquements aux « principes de base d’un traitement » (licéité, traitement des données sensibles, etc.), ainsi qu’aux dispositions portant sur le droit des personnes concernées et le transfert de données personnelles vers les pays tiers.


Des risques de perte de chiffre d’affaires et de compétitivité

En plus des sanctions financières et de l’atteinte à la réputation de l’entreprise (le cas Facebook), la violation des dispositions du RGPD affecte directement le chiffre d’affaires de l’entreprise et sa compétitivité. Dans un contexte de concurrence internationale, le manque de protection accordé aux données personnelles dévalorise le patrimoine de l’entreprise qui les détient.

Un client qui verrait ses données personnelles exploitées par des tiers non-autorisés en raison d’une faille de sécurité dans le système informatique de l’entreprise serait tenté de se tourner vers des concurrents plus respectueux du droit.


A terme, cette fuite de la clientèle se répercuterait directement sur le chiffre d’affaires de l’entreprise et fragiliserait ainsi sa prospérité.


Le respect du RGPD ne doit donc pas être perçu comme une contrainte mais comme un vecteur de confiance et d’adhésion.

La désignation d’un DPO

Dépassant de loin les fonctions des Correspondants Informatique et Libertés (CIL), le DPO a vocation à se généraliser grâce à ce texte. Facultatif dans certains cas, obligatoire dans d’autres, le DPO constitue en effet une nouvelle fonction à intégrer dans l’organisation des entreprises comme des entités publiques.

Quelles sont les missions d’un DPO ?

Les missions du DPO sont fixées à l’article 39 du RGPD. Cet article prévoit ainsi que les missions confiées au Délégué à la Protection des Données couvrent a minima les points suivants :


  • Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données
  • Contrôler le respect du droit en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant
  • Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 du RGPD
  • Coopérer avec l’autorité de contrôle
  • Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet

Bien que non exhaustive, cette liste permet d’appréhender l’ampleur de la tâche et le chemin à parcourir pour atteindre les objectifs de conformité et avec eux envisager un développement optimum de son activité digitale.


Car le sujet est bien là : que l’on veuille pérenniser son activité digitale ou assurer une transition digitale maîtrisée, la démarche de conformité est une nécessité. Cette démarche doit conduire à placer le juridique au cœur du dispositif de gouvernance en établissant un dialogue constant avec chaque département (DSI, DRH, Direction marketing etc.)