Nos fiches disponibles

RGPD et mise en conformité pour le 25 mai 2018

separateur

Le RGPD (Règlement général pour la protection des données à caractère personnel) entrera en vigueur le 25 mai 2018.

Exit les déclarations auprès de la CNIL. Le principe est un contrôle a posteriori et non plus un contrôle a priori, c'est-à-dire la mise en place d'un système d'auto-responsabilisation aussi appelé d'accountability.

A titre d'exemple, la déclaration est remplacée par la tenue d'un registre, non obligatoire pour les entreprises de moins de 250 employés mais fortement recommandé, listant de manière détaillée les traitements réalisés par le responsable du traitement.

Ce registre sera tenu par une personne qui ne sera pas forcément le délégué à la protection des données (ou DPO) que l'entreprise devra nommer sous certaines conditions.

Si le RGPD concerne toutes les entreprises qui manipulent des traitements de données à caractère personnel, il impacte directement les sous-traitants, en particulier les sociétés d'informatique (ex SSII) qui gèrent les parcs informatiques de leurs clients ou ont accès à leurs bases de données, soit dans le cadre d'une externalisation de services, soit dans le cadre de la gestion de la maintenance de sites web ou de bases de données. Les sous-traitants sont considérés comme co-responsables des fichiers qu'ils traitent pour le compte du responsable du traitement.

Le RGPD modifie radicalement la vision du traitement de la donnée à caractère personnel dans l'entreprise, entendue comme tout élément permettant d'identifier directement ou indirectement une personne physique.

De périphérique, la donnée à caractère personnel est recentrée pour toute nouvelle offre de services de l'entreprise: c'est le privacy by design.

Il n'y a pas lieu de collecter et de traiter plus de données qu'il n'est nécessaire à la satisfaction de la finalité du fichier traité: c'est le privacy by default ou principe de minimisation des données.

Aussi, lorsqu'un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

L'analyse d'impact est un processus permettant de décrire le traitement, d'en évaluer la nécessité ainsi que la proportionnalité et d’aider à gérer les risques pour les droits et libertés des personnes physiques, liés au traitement de leurs données à caractère personnel, en les évaluant et en déterminant les mesures nécessaires pour y faire face.

Une procédure de notification auprès de la CNIL est prévue en cas de violation de données.

Enfin les sanctions pourront aller du simple avertissement à une amende pécuniaire pouvant atteindre 4% du chiffre d'affaire mondial de l'entreprise ou 20 milliions d'euros, à concurrence du montant le plus élevé.
Le nouveau Comité européen émettra des lignes directrices au regard de l'application du RGPD. Il est prévu qu'un rapport sur son application soit publié en 2019.

Cette fiche sera mise à jour au fur et à mesure de la rédaction de ces lignes directrices.

Jean Leclercq
Avocat
Droit de l'informatique