Laurent Badiane
et Charlotte de Dreuzy,
KGA Avocats,
À compter du 25 mai 2018, avec l’entrée en application du Règlement Européen de protection des données à caractère personnel ¹ (RGPD), les obligations des entreprises et organismes publics en matière de protection des données personnelles vont être sensiblement renforcées. Laurent Badiane, avocat associé et Charlotte de Dreuzy, avocat collaborateur du département IP/IT du cabinet KGA AVOCATS, font le point.
1 – Règlement (UE) 2016/679 du Parlement européen
et du Conseil du 27 avril 2016.
Ces derniers devront être en mesure de justifier de la conformité de leurs pratiques en matière de protection des données personnelles à cette nouvelle règlementation, notamment en cas de contrôle de la Commission Nationale Informatique et Libertés (CNIL).
Il est donc impératif de se préparer dès maintenant, si cette démarche n’a pas déjà été initiée, à l’entrée en application du RGPD.
Ce qui va changer
Le RGPD repose sur une logique de responsabilisation et de transparence des entreprises et organismes publics.
Ainsi, les formalités préalables auprès de la CNIL, qui étaient jusqu’alors pratiquées, disparaitront pour la quasi-totalité des traitements.
Les entreprises et organismes publics devront, en revanche, mettre en place une organisation ainsi que des mesures et outils internes garantissant une protection optimale des personnes dont les données sont traitées, et ce, en conformité avec les dispositions du RGPD.
Ils devront notamment :
- Documenter systématiquement et tout au long de leur mise en œuvre la conformité légale de leurs traitements ;
- Respecter les principes de protection des données dès la conception d’un service ou d’un produit et ce par défaut ;
- Dans certains cas, désigner un délégué à la protection des données ;
- Selon la nature des traitements, réaliser une analyse d’impact relative à la protection des données ².
Le RGPD prévoit également une généralisation de l’obligation de notification des failles de sécurité.
Ce passage à une logique de responsabilisation des entreprises et ce renforcement des obligations de sécurité vont conduire la CNIL à opérer davantage de contrôles. Ses pouvoirs de sanction seront par ailleurs renforcés, ses amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise sanctionnée ³.
2 – Pour plus d’information :
https://www.solutions-numeriques.com/juridique-rgpd-les-precisons-apportees-par-le-g-29-sur-les-analyses-dimpact/
3 – Article 83 du Règlement européen de protection des données personnelles
Comment se mettre en conformité ?
Afin d’aider les entreprises à se préparer à l’entrée en application du RGPD, la CNIL a publié plusieurs outils dont une méthodologie reposant sur six étapes.
En premier lieu, il convient de 1- désigner en interne une personne chargée dans un premier temps de piloter la mise en conformité, puis, par la suite, de piloter la gouvernance des données.
Il conviendra ensuite de 2- recenser les différents traitements de données mis en œuvre par la structure afin 3- d’identifier les risques associés à ces traitements, notamment par la réalisation si besoin d’analyse d’impact, et 4- mettre en œuvre les actions nécessaires pour assurer la sécurité des données et la protection des droits et libertés des personnes concernées.
En parallèle, 5- des processus internes devront être mis en place pour garantir une parfaite conformité légale des traitements tout au long de leur mise en œuvre. Une procédure spécifique dédiée à la gestion des incidents de sécurité devra par exemple être établie.
Enfin, pour chaque traitement de données, l’entreprise devra être en mesure de 6- documenter sa conformité légale en réunissant dans un dossier documentaire le registre décrivant les caractéristiques du traitement, l’analyse d’impact éventuellement réalisée, les mentions d’information destinées aux personnes dont les données sont collectées et traitées, ou encore les contrats conclus avec les prestataires définissant les rôles et responsabilités de chaque acteur.
_______________
L’entrée en application du RGPD approchant, cette mise en conformité, dont les impacts opérationnels sont d’ampleur, doit impérativement être mise en place rapidement.
Consciente de la complexité que cela représente pour les PME et TPE, la CNIL s’est engagée à publier d’ici décembre 2017 des contenus spécifiques pour aider ces acteurs à mettre en place la gouvernance de leurs données.
Dans cette attente, il n’en reste pas moins nécessaire pour ces entreprises d’anticiper en procédant d’ores et déjà à la désignation d’un pilote ainsi qu’à un audit des traitements qu’elles mettent en œuvre.