RGPD, mode d’emploi

12 Jun 2018 | Corporate & associe

 

 

Prenant note de l’entrée dans l’ère du numérique et de l’éclatement ces dernières années de plusieurs scandales tels que Facebook-Cambridge Analytica, le Parlement européen a décidé de renforcer la règlementation européenne en ce qui concerne la protection des données personnelles. Ainsi depuis le 25 mai 2018, date de sa mise en application, c’est le RGPD (Règlement général sur la protection des données) qui donne le la, remplaçant la directive relative à la protection des données en vigueur depuis 1995. Le RGPD a rebattu les cartes pour les entreprises qui doivent maintenant se mettre aux normes sous réserve de subir de nombreuses sanctions.

 

Petit rappel sur la notion de « données personnelles »

 

Avant de rentrer dans le vif du sujet, il convient de faire un petit rappel sur ce que renferme la notion de « donnée personnelle » (Article 4).

Une donnée personnelle désigne toute « Information se rapportant à une personne physique susceptible d’être identifié, directement ou indirectement ».

Ainsi de manière plus concrète sont inclus dans cet ensemble : le nom, l’adresse, le numéro de sécurité sociale, le numéro de téléphone et toute autre information pouvant permettre de remonter jusqu’à l’identité de la personne.

 

Les Principes du RGPD

 

Cinq principes (Article 5) fondent le RGPD et donnent le ton aux nouvelles politiques de protection des données que doivent mettre en place les entreprises. Ainsi transparence et sécurité sont les maîtres mots.

Le consentement des utilisateurs est désormais au centre du processus de traitement des données.

  1. Le principe de Licéité, loyauté, transparence. Le consentement de la personne est une condition préalable nécessaire à l’utilisation des données personnelles. De plus le consentement doit pouvoir être retiré à tout moment si tel est le souhait de l’utilisateur.
  2. Finalité déterminée, explicite et légitime. L’information recueillie doit servir à l’exécution du contrat ou des conditions précontractuelles.
  3. Adéquate, pertinente et limité.
  4. Données exactes et tenues à jour. Les données utilisées doivent être vérifiées et actualisées de manière régulière.
  5. Limitation et restriction de l’utilisation des données. L’information ne peut être utilisée pour toute autre finalité sans consentement préalable de l’utilisateur.
  6. Garantir la sécurité de l’utilisation. L’entreprise doit garantir à l’utilisateur la protection de ses données en sécurisant au maximum son système interne.

D’autre part deux cas particuliers sont à connaître. Le premier concerne le traitement des données relatives aux enfants (Article 8). D’un autre côté sont à prendre en compte également le cas des certaines données personnelles dont le traitement est interdit (Article 9). Il s’agit des données concernant l’ethnie, les opinions politiques/religieuses/philosophiques, les données biométriques …

 

Des droits toujours plus importants qui imposent de nouvelles contraintes aux entreprises

 

En parallèle du respect des principes précédemment énoncés, les entreprises doivent intégrer les nouveaux droits (Chapitre 3) accordés aux citoyens européens. Ceux-ci disposent à présent d’un pouvoir bien supérieur à ce qui leur été confié sous la précédente directive et augmente considérablement leur maîtrise de l’information.

Ø Le droit à la portabilité, à la limitation des données

Ø Le droit d’information, d’opposition, d’accès, de rectification, d’effacement

Ø Le droit lié au profilage

 

Les obligations imposées par le RGPD aux entreprises

 

Le RGPD prévoit quatre obligations (Chapitre 4) qui devront impérativement être suivies par toutes les entreprises qu’elles soient des multinationales où des PME dans la mesure où elles sont confrontées à la problématique du traitement des données.

  1. Privacy by Design. Le responsable du traitement (ie. L’employeur) doit veiller à la mise en place des « mesures techniques et organisationnelles » (Article 25) nécessaire aux respects des principes et des droits énoncés précédemment.
  2. Assurer la sécurité du traitement des données à caractère personnel. Les entreprises devront protéger les données personnelles notamment en pseudonymisant et en les chiffrant. (Article 32)
  1. Analyse de l’impact relative. Il est nécessaire lors de l’utilisation d’un mode de traitement des données comprenant un niveau de risque élevé d’analyser l’impact qu’il pourrait avoir sur la protection des données personnelles. (Article 35)
  2. Nomination d’un délégué à la protection des données (DPO). En charge de la supervision des opérations de protection des données. Non obligatoire. (Article 37,38,39).

 

De manière concrète que devra faire l’entreprise pour se mettre en conformité avec les exigences du RGPD ?

 

  1. Recenser, cartographier. Établissement d’un registre des traitements (Article 30). La première chose à faire est de « cartographier » c’est-à-dire identifier l’ensemble des opérations de traitement de données qu’effectue l’entreprise dans le cadre de ses activités en prenant soin également d’identifier les catégories de données personnelles traitées, les objectifs pour lesquels l’entreprise utilise ces données et finalement répertorier l’ensemble des acteurs qui y ont accès ainsi qu’identifier les flux engendrés par le traitement de ces données (hors UE ?).
  2. Identifier les irrégularités et les risques. Identifier tout manquement aux exigences posées par le RGPD (voir plus haut).
  3. Mettre en place les mesures nécessaires pour gérer ces risques. Mener une analyse d’impact sur la protection des données pour chacun des traitements identifiés comme risqués du point de vue du respect des droits de la personne (PIA).
  4. Respecter la première obligation de « privacy by Design ». Identifier et implémenter tous les outils (informatiques et organisationnels) nécessaires pour assurer la protection des données personnelles de manière continue ainsi que la prise en compte des droits des utilisateurs (accès, rectification …).
  5. Respecter la seconde obligation de « Accountability ». Être dans la capacité de prouver le respect bon du RGPD : conserver des traces documentaires des traitements effectués et conserver des preuves statuant du bon respect du RGPD par l’entreprise (nouvelles mesures…).
  1. Nommer un DPO. Il est conseillé (non obligatoire) de nommer une personne qui sera responsable de la problématique de la protection des données au sein de l’entreprise.

Vous pouvez trouver d’avantage d’informations sur le site de la CNIL.

 

Que risque l’entreprise en cas de non-conformité

 

Les sanctions encourues en cas de non-respect des obligations imposées par le RGPD sont d’une ampleur bien plus importante que ce qu’il en était auparavant. Une des caractéristiques du RGPD est en effet l’accroissement des pouvoirs de contrôle et de sanction accordé aux autorités compétentes

(Commission de la vie privée en Belgique).

Parmi les sanctions l’amende administrative représente la plus importante avec un plafond qui passe de 150 000 euros avant le 25 mai 2018 à 4% du Chiffre d’affaires annuel mondial de l’entreprise (ou 20 millions) dans les cas de violation les plus graves.

D’autres sanctions sont également possibles telles que : la suspension d’accès aux données personnelles, l’effacement des données …

Toutefois l’UE s’est montrée compréhensive et ne mettra en application les sanctions qu’après 2019 laissant encore quelque mois aux entreprises pour se familiariser avec ce nouveau règlement.

 

Ecrit par Rifka ABIHSSIRA © Cabinet Lieutenant Guillaume 

Le 12/06/2018

 

A propos de Lieutenant Guillaume

Le cabinet Lieutenant Guillaume est spécialisé dans l\'aide aux starters, c\'est-à-dire aux créateurs d\'entreprise dont la société n\'est pas encore constituée. Passionné, nous nous efforçons de donner accès à des formations pointues aux jeunes entrepreneurs.

About LG