Comment se mettre en conformité avec le règlement européen sur la protection des données personnelles ?

Le Règlement général sur la protection des données (RGPD) s'appliquera dès le 25 mai 2018 à toute entreprise européenne qui collecte, traite et stocke des données personnelles.

Quelles sont les entreprises concernées par le RGPD ?

Le règlement vise toutes les entreprises susceptibles de collecter et de traiter les données d'un citoyen européen. TPE et PME, banques, assurances, vendeurs en ligne et sociétés du CAC 40...

Toutes les entreprises sont concernées dès lors que des traitements de données à caractère personnel sont effectués. Les données à caractère public comme le chiffre d'affaires, l'adresse du siège social ou l'effectif sont, en revanche, exclus.

Selon différents spécialistes, le RGPD introduit des changements importants pour les entreprises. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, les entreprises devront être en mesure de prouver à n'importe quel moment, que les données à caractère personnel sont protégées et impossible à utiliser en cas de vol.

Quand faut-il désigner un délégué à la protection des données ?

Les entreprises tenues de nommer un Correspondant Informatique et Liberté doivent désormais nommer un Délégué à la protection des données (il peut s'agir de la même personne).

Celui-ci a pour mission de s'assurer que son entreprise respecte la réglementation en matière de protection des données personnelles. C'est en outre l'interlocuteur privilégié de la Cnil, l'organisme de contrôle.

En pratique, la désignation de cet homme clé est obligatoire si :

  • l'entreprise est un organisme public ;
  • les activités de base de l'entreprise (gestion des enregistrements vidéo dans une société de sécurité, gestion du fichier patients dans un hôpital...) l'amènent à réaliser un suivi régulier et systématique des personnes à grande échelle et/ou l'amènent à traiter à grande échelle des données dites sensibles ou relatives à des condamnations pénales et à des infractions.

Dans les autres cas, la désignation du délégué n'est pas obligatoire même si elle reste conseillée.

La Cnil a mis en ligne un téléservice permettant de désigner en ligne le délégué à la protection des données.

Quand faut-il tenir un registre des activités de traitement de données ?

L'existence du registre des activités de traitement n'est pas récente. Sous l'empire de la loi Informatique et libertés, seul le responsable du traitement était concerné. Le règlement général sur la protection des données étend désormais cette obligation aux sous-traitants.

La tenue du registre ne s'impose qu'aux entreprises qui emploient plus de 250 employés. Mais, les entreprises dont le nombre d'employés est inférieur à ce seuil sont également concernées si :

  • leurs activités de traitement sont susceptibles de présenter un risque élevé pour les droits et les libertés des individus ;
  • leurs activités de traitement ne sont pas occasionnelles ;
  • ou, leurs activités de traitement consistent à traiter des données sensibles (telles que des données sur la santé) ou des données relatives aux condamnations pénales.

Précisons que l'absence de désignation d'un délégué à la protection des données ne dispense pas l'entreprise de tenir un registre des activités de traitement.

Quand faut-il mener une étude d'impact sur la protection des données ?

Si les activités de traitement des données personnelles sont susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, il est nécessaire de réaliser, pour chacune de ces activités, une étude d'impact sur la protection des données.

L'étude d'impact a pour but d'évaluer les risques inhérents au traitement de données personnelles et de déterminer les mesures à mettre en œuvre pour atténuer les risques identifiés.

Cette analyse doit être effectuée avant la collecte des données, c'est-à-dire dès la conception des produits ou des outils, et en concertation avec le délégué à la protection des données.

Quand faut-il signaler la violation de données personnelles à la CNIL ?

Sauf cas exceptionnels, toute violation de données personnelles doit être notifiée à la CNIL sous 72h.

Cela vise les violations de sécurité entraînant, de manière accidentelle ou non, la destruction, la perte, l'altération, la divulgation non autorisée des données personnelles ou leur accès non autorisé.

Les conditions de validité de la collecte des données personnelles sont-elles les mêmes ?

Les principes posés depuis la loi Informatique et Libertés du 6 janvier 1978 restent identiques : principe de finalité, de proportionnalité, de loyauté, d'exactitude, de sécurité, de confidentialité…

En revanche, les exigences relatives au consentement et au devoir d'information de l'entreprise ont été renforcées.

Chaque personne doit être informée en amont de l'usage de ses données et doit donner son accord pour leur traitement et/ou pouvoir s'y opposer. Ce consentement doit être documenté et tracé. Le responsable de traitement doit toujours être en mesure de prouver qu'il a bien été donné.

Il n'y a pas de consentement en cas de silence, de case cochée par défaut ou d'inactivité. Le consentement doit s'exprimer par un acte positif clair. En outre, une personne qui a accepté que ses données soient collectées doit pouvoir retirer son consentement aussi aisément qu'elle l'a donné.

En ce qui concerne les mineurs de moins de 16 ans, le consentement doit être recueilli auprès du titulaire de l'autorité parentale. L'information doit être rédigée en des termes clairs et simples, que l'enfant peut aisément comprendre. Devenu adulte, son consentement doit pouvoir être retiré et les données effacées.

Par ailleurs, l'entreprise doit désormais se contenter de collecter les données strictement nécessaires. L'ancien texte prévoyait simplement que les données collectées ne devaient pas être excessives.

Quelles sont les sanctions encourues par l'entreprise en cas de non-conformité ?

La logique affichée n'est pas celle de la répression mais de la responsabilisation des entreprises.

Un éventail de sanctions graduées est donc mis en place : avertissements, mises en demeure, limitations du traitement, suspensions des flux de données .... En l'absence d'effet, l'entreprise pourra se voir infliger une amende pouvant atteindre 20 millions d'euros ou 4 % de son chiffre d'affaires mondial.