Vingt-trois ans après la loi Informatique, fichiers et libertés du 6 janvier 1978, une nouvelle loi s’apprête à la remplacer.
Concrètement, il s’agit du projet de loi n°490 actuellement discuté au Parlement lequel est en réalité l’application du « paquet européen de protection des données » qui repose sur le règlement (UE) n° 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (Règlement Général sur la Protection des Données, RGPD).
Ce projet de loi fait couler beaucoup d’encre et il est important de savoir de quoi il s’agit et ce que va changer le RGPD à compter du 25 mai 2018, date de son entrée en application, d’autant que les sondages récents soulignent que pour les trois quarts des entreprises, le RGPD est une « inconnue »…
Le RGPD et le traitement des données à caractère personnel
Les données à caractère personnel sont définies comme toute information relative à une personne physique identifiée ou identifiable (identité, adresse, numéro de téléphone etc…)
Ces données sont omniprésentes dans les traitements des entreprises et des administrations.
Le régime entourant ces données sera désormais encadré par une nouvelle loi qui devra se mettre en conformité avec le RGPD.
Concrètement, le RGPD s’applique aux « traitements » de données à caractère personnel étant précisé que le traitement de données est défini dans le RGPD comme « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel ».
Le RGPD a vocation à s’appliquer au traitement de ces données qu’il soit automatisé ou non par un responsable de traitement ou par un sous-traitant établi sur le territoire de l’Union Européenne.
Qui sont les personnes visées par les nouvelles obligations du RGPD ?
Les personnes visées par les obligations du RGPD sont la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement.
En réalité, le RGPD aura un impact très important sur les procédures de gestion des données personnelles des entreprises et des administrations, ainsi que sur l’organisation qu’elles devront mettre en place.
Egalement, le RGPD vise le responsable de traitement lui-même ainsi que le sous-traitant.
Ainsi, alors que jusqu’à présent, seul le responsable de traitement répondait auprès de la Cnil des manquements à la réglementation, avec le RGPD, désormais le sous-traitant pourra être responsable s’il n’a pas respecté les obligations du règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions du responsable de traitement.
Les nouvelles obligations pour les entreprises
Tout d’abord, le RGPD prévoit la tenue d’un registre des traitements de données personnelles pour les entreprises de plus de 250 salariés.
Il s’agit d’un registre contenant des informations supplémentaires à celles figurant dans le registre actuellement tenu par le correspondant informatique et libertés, comme par exemple le transfert des données vers un pays tiers.
Egalement, le RGPD ne prévoit, de manière générale, plus de demandes d’autorisations auprès de l’autorité de contrôle pour la mise en œuvre des traitements.
Ce sera au responsable de traitement de procéder lui-même à une évaluation de son projet préalablement à la mise en place du traitement.
En clair, il devra effectuer une véritable « analyse d’impact » relative à la protection des données.
Les nouvelles obligations des entreprises en cas de violation de données personnelles
Le responsable de traitement devra désormais avertir la Commission nationale de l’informatique et des libertés (« Cnil ») dans les meilleurs délais et, si possible, 72 heures au plus tard après avoir pris connaissance, de toute violation de données à caractère personnel.
Cela signifie qu’il aura une obligation de notification dès qu’une quelconque faille de sécurité aura entraîné la destruction, la perte, l’altération, la révélation ou l’accès non autorisé à ces données, sauf lorsque les violations en question ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques.
Les personnes concernées devront également être informées par le responsable de traitement dès qu’il y aura un tel risque.
En d’autres termes, cela signifie que les entreprises vont devoir adapter leurs process afin de répondre à ce besoin de vigilance accrue.
A ce titre, la CNIL a d’ores et déjà préconisées six étapes à respecter par les entreprises pour s’adopter au RGPD. Il s’agira de :
- Désigner un pilote pour organiser les actions à mener ;
- Cartographier les traitements de données personnelle ;
- Prioriser les actions à mener en fonction des risques que font peser les traitements de l’entreprise sur les droits et libertés des personnes concernées ;
- Gérer les risques ; mener une analyse d’impact sur la protection des données pour chaque traitement identifié comme susceptible de générer un risque pour les droits et libertés des personnes concernées ;
- Organiser les processus internes, pour assurer un haut niveau de protection des données à tout moment, quels que soient les événements pouvant survenir au cours de la vie d’un traitement ;
- Documenter la conformité.
En résumé, le nouveau dispositif sera assorti d’une responsabilité accrue pour les responsables de traitement des données personnels.
Le renforcement des droits des personnes concernées
Si le RGPD maintient certains droits des personnes concernées par le traitement des données personnelles tels que le droit à l’information ou encore à rectification, il consacre par ailleurs de nouveaux droits.
Une des nouveautés est le « droit à la portabilité » lequel permettra à toute personne de récupérer auprès d’un responsable de traitement les données qu’elle a fournies la concernant dans un format structuré et de les transmettre à un autre responsable de traitement.
Egalement, une des nouveautés est le « droit à la limitation du traitement » lequel permettra à toute personne de demander au responsable de traitement qu’il procède à la limitation du traitement des données dans certains cas.
Le « délégué à la protection des données » : nouvel acteur majeur
Le RGPD crée également un nouvel acteur majeur dans la protection des données personnelles : le délégué à la protection des données (« Data Protection Officer » ou « DPO »).
Contrairement au « correspondant informatique et libertés » lequel était facultatif avec la loi Informatique et libertés de 1978, la désignation d’un délégué à la protection des données sera obligatoire dans trois cas et notamment pour toutes les « autorités et organismes publics » ou encore pour toutes les entreprises dont les activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Ce « DPO » devra veiller à la conformité du traitement mis en œuvre par le responsable du traitement ou le sous-traitant à la règlementation applicable à la protection des données à caractère personnel et notamment au RGPD.
Conclusion : le RGPD est-il une contrainte ou une opportunité pour les entreprises ?
Le RGPD est un règlement compliqué et coûteux à mettre en œuvre.
Il pourra s’avérer très contraignant pour les entreprises d’autant que les sanctions administratives en cas de manquement des entreprises au respect de leurs obligations seront extrêmement alourdies.
En effet, le dispositif prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial de l’entreprise auxquelles s’ajoutent des sanctions pénales.
Néanmoins, il pourrait également être une véritable opportunité pour les entreprises désireuses d’accroître la confiance de leurs salariés ou encore de leurs clients et partenaires.
Ainsi, le RGPD pourrait s’avérer être un réel défi pour les entreprises qui verront la mise en conformité au RGPD comme un véritable moyen de se distinguer de la concurrence, cela passant nécessairement par la recherche de la transparence et par l’utilisation efficace des données afin de mieux connaître ses clients …
Louise BARGIBANT
Avocat collaborateur
