Ce qu’il faut retenir du Règlement Général sur la Protection des Données !

Adopté en avril 2016 par le Parlement Européen, ce nouveau règlement est entré en vigueur dès le 25 mai 2016, vingt jours après sa publication au Journal Officiel de l’Union Européenne.

Toutes ces obligations s’appliquent quelle que soit la taille des entreprises (TPE, PME et aux grands groupes…). Ce règlement d’application directe comprend néanmoins 56 marges de manœuvres nationales. Avec un texte d’application nationale devenant parfois complexe et peu lisible (certaines obligations se contredisant à l’échelle européenne et nationale), une procédure d’adoption est tout de même confirmée au 25 mai 2018.

Une réécriture de la loi est prévue dans les prochains mois par voie d’ordonnance pour définir plus précisément les obligations du DPO (Data Protection Officer) et plusieurs décrets seront prévus pour mettre en œuvre certaines dispositions (sur les missions de la CNIL ou pour le traitement spécifique autour du numéro de sécurité sociale…).

Les grands principes de ce règlement européen

Le renforcement des droits des personnes

Les 3 principaux droits des personnes sont maintenus, à savoir :

  • Un droit d’accès de la personne à ses données,
  • Un droit de rectification et de suppression de ses données,
  • Un droit d’opposition à son traitement sous réserve d’avoir des motifs légitimes pour les faire.

Au delà du 25 mai 2018, ces droits sont renforcés et de nouveaux droits apparaissent comme le droit à la portabilité des données qui offre aux personnes la possibilité de récupérer une partie de leurs données, dans un format ouvert et lisible, et de les transmettre facilement d’un système d’information à un autre.

Une nouvelle gouvernance

Cette gouvernance est portée à la fois :

  • Au niveau européen, chargé de coordonner les actions de la CNIL et de ses homologues européens (un équivalent du G29 formulant des avis contraignants),
  • Au niveau national, avec le renforcement des pouvoirs de la CNIL,
  • Et au niveau de l’entreprise : il s’agit une gouvernance portée par un Délégué à la Protection des Données (DPO).

La responsabilité de tous les acteurs

Aujourd’hui, seul le responsable des traitements engage sa responsabilité en cas de manquement aux dispositions et prescriptions en matière de protection des données. Avec le règlement européen, le sous-traitant voit sa responsabilité engagée.

Le responsable des traitements devient responsable de la gestion des données qui est faite et par voie de conséquence, a en charge :

  • L’obligation de l’utilisation d’outils permettant cette bonne gestion (permettant par exemple la purge des données, une fois le temps de conservation dépassé).
  • La réalisation d’une analyse documentée d’impact, préalablement à des traitements dits risqués, comme par exemple des traitements de suivi généralisé ou de suivi systématique des personnes.
  • La mise en place de mesure de sécurisation et de confidentialité des données.

Une documentation à tous les niveaux

La mise en œuvre des traitements va reposer sur une obligation de documentation de tout ce qui est fait au niveau des traitements :

  • Outil choisi et sa documentation afférente
  • Réalisation d’une analyse d’impact documentée
  • Tenue d’un registre des traitements

Des sanctions dissuasives

Au-delà des sanctions, lourdes et sans précédent, prévues par le RGPD (importantes amendes administratives allant jusqu’à 4% du chiffre d’affaires annuel mondial), c’est la capacité des entreprises à prouver plus de transparence et à montrer une volonté de préserver les données et la vie privée des consommateurs qui est en jeu.

Le plus grand risque à craindre est la perte de confiance de ses clients. La conformité au règlement européen est une chance pour votre entreprise, un véritable argument commercial en revendiquant vos bonnes pratiques auprès de vos clients.

 

Concrètement, comment se préparer ?

Etape 1 – Désigner un pilote

Pour piloter la gouvernance des données personnelles de votre entreprise, vous aurez besoin de recruter ou de nommer un responsable délégué à la protection des données pour exercer une mission, à la fois d’information, de conseil en interne.

Etape 2 – Cartographier vos traitements de données personnelles

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles.

L’élaboration d’un registre des traitements vous permet de faire le point. Il détaille précisément la façon dont vous collectez les données, vous les utilisez, la façon dont vous avez collecté le consentement, le lien entre le consentement et la donnée.

La CNIL est consciente du travail lourd et chronophage et a donc décidé de le rendre obligatoire uniquement pour les entreprises de plus 250 salariés. Pour les autres, une simple cartographie des données suffit.

Etape 3 – Prioriser les actions à mener

Sur la base de votre registre ou de la cartographie de vos traitements, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et libertés des personnes concernées.

Etape 4 – Gérer les risques

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements une analyse d’impact sur la protection des données (PIA).

Etape 5 – Organiser les processus internes

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant compte de l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès…).

Etape 6 – Documenter la conformité

Pour prouver votre conformité, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. Cette documentation vous permettra également de répondre aux questions de la CNIL en cas de contrôle.

 

En résumé, il ne faut pas prendre le RGDP à la légère et l’ignorer ou le sous-estimer serait faire preuve d’une extrême négligence. De prochains articles de notre blog vous détailleront les enjeux spécifiques de ce règlement appliqué à la gestion des campagnes publicitaires, des Cookies, des mailings, de vos données et bases de données ainsi que la relation prestataire/fournisseur.

 Une question ? Un projet ? Contactez-nous ! N° vert : 0 805 960 360 appel gratuit depuis un poste fixe Contactez-nous