Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

RGPD : Prêts pour le 25 mai 2018 ?

Par Mathieu Lajoinie, Avocat.

1ere Publication

L’échéance approche : le 25 mai 2018 entrera en vigueur du Règlement général sur la protection des données, dit RGPD, applicable dans l’ensemble de l’Union européenne. Ce règlement a vocation à remplacer l’actuelle réglementation qui oblige les entreprises qui collectent et traitent des données personnelles à respecter des formalités déclaratives auprès de la Cnil. En contrepartie de la fin des obligations déclaratives, les entreprises sont responsabilisées. Ces dernières auront l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives au RGPD. Et il conviendra de pouvoir justifier du respect de cette obligation.

Plus de déclaration auprès de la Cnil.

Dorénavant, les entreprises n’auront plus à déclarer leurs traitements de données personnelles auprès de la Cnil. En effet, le RGDP supprime, à compter du 25 mai 2018, la plupart des obligations déclaratives auprès des autorités de contrôle. Pour rappel, la mise en place d’un système de traitement de données personnelles est actuellement en France subordonnée à sa notification préalable à la Commission nationale de l’informatique et des libertés (Cnil).

De telles déclarations sont actuellement nécessaires lors de la mise en place d’un système de traitement de données personnelles – même lorsqu’il concerne un nombre restreint de personnes. La suppression de ce régime de notification préalable à compter du 25 mai 2018 représente donc une évolution majeure pour de nombreuses entreprises, qui se contentaient jusqu’alors de déclarer leurs systèmes de traitement sans concrètement s’assurer par la suite qu’ils restaient conformes à la législation applicable en matière de protection des données personnelles.

Mise en œuvre d’une analyse d’impact pour les « traitements à risque ».

L’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA- Data Protection Impact Assessment), lorsqu‘un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.

Le DPIA doit donc être mené avant la mise en œuvre du traitement. Il doit être démarré le plus en amont possible et devra être mis à jour tout au long du cycle de vie du traitement. Il est également recommandé de revoir un DPIA de manière régulière pour s’assurer que le niveau de risque reste acceptable.

Un DPIA doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Ainsi, généralement, les traitements qui remplissent au moins deux des critères suivants doivent faire l’objet d‘une analyse d’impact : évaluation/scoring, décision automatique avec effet légal ou similaire, surveillance systématique, collecte de données sensibles, collecte de données personnelles à large échelle, croisement de données, personnes vulnérables (patients, personnes âgées, enfants, etc.), usage innovant (utilisation d’une nouvelle technologie), exclusion du bénéfice d’un droit/contrat.

Toutefois, il est à noter que cette étude d’impact ne sera pas exigée pour les traitements qui ont fait l’objet d’une formalité préalable auprès de la Cnil avant le 25 mai 2018, ainsi que les traitements qui ont été consignés au registre d’un correspondant « informatique et libertés ».
Cette dispense d’obligation de réaliser un DPIA, pour les traitements en cours régulièrement mis en œuvre, sera limitée à une période de 3 ans : à l’issue de ce délai, les responsables de traitement devront avoir effectué une telle étude si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Cas d’absence de mise en œuvre d’une analyse d’impact.

Selon la Cnil, un DPIA n’est pas nécessaire quand le traitement ne présente pas de risque élevé pour les droits et libertés des personnes concernées, ou lorsque la nature, la portée, le contexte et les finalités du traitement envisagé sont très similaires à un traitement pour lequel un DPIA a déjà été mené, ou bien quand le traitement répond à une obligation légale ou est nécessaire à l’exercice d’une mission de service public.

La responsabilité du responsable de traitement.

Le RGPD définit à son article 1 le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

Ce responsable de traitement est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.

En effet, les responsables de traitement deviennent les premiers garants de la protection des données qu’ils traitent : ils doivent définir dès la conception du traitement, mettre en œuvre à tout moment les mesures techniques et organisationnelles nécessaires pour assurer la conformité des traitements qu’ils opèrent et enfin, pouvoir le démontrer en cas de contrôle par une documentation adéquate.

Une entreprise peut demander à un sous-traitant la mise en œuvre d’un traitement de données personnelles pour son compte. Le responsable du traitement est toujours rattaché à l’entreprise mais c’est le sous-traitant qui est chargé de réaliser le traitement.

Dans un tel cas, l’article 28 du RGPD indique qu’un contrat doit nécessairement régir le traitement effectué par un sous-traitant : ce contrat doit encadrer la réalisation du traitement (objet, durée, nature, finalités, type de données traitées, obligations et droits du responsable du traitement etc...).
C’est toutefois le responsable du traitement initial qui reste le premier à mettre sa crédibilité en jeu.
Un sous-traitant ne peut être qualifié de responsable du traitement que dans le cas où il définirait lui-même les finalités et moyens du traitement mis en œuvre.

Information des salariés.

Le traitement de données personnelles doit être réalisé de manière loyale et licite, ce qui impose d’informer les personnes préalablement au traitement de leurs données personnelles.

Cette obligation, déjà présente au sien de l’article 32 de la loi Informatique et Libertés, imposait déjà transmission de nombreuses informations, à savoir : identité du responsable du traitement, finalité poursuivie par le traitement, caractère obligatoire ou facultatif des réponses, conséquences éventuelles d’un défaut de réponse, destinataires ou catégories de destinataires des données, existence d’un transfert de données en dehors de l’EEE...

Le RGDP ajoute la transmission de nouvelles informations : la base juridique du traitement (consentement, exécution d’un contrat, intérêts légitimes, etc.), la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée, les coordonnées du DPD, et le droit de retirer son consentement à tout moment et d’introduire une réclamation devant les autorités de contrôle. A mon sens, la remise des informations prévues par les articles 13 et 14 du RGDP et par l’article 32 de l’actuelle loi Informatique et Libertés pourrait être réalisée par le biais de notes internes.

Risques et sanctions en cas de manquement.

Le RGDP accroît considérablement le pouvoir de sanction des autorités de contrôle. Outre leur pouvoir d’imposer des mesures correctrices (avertissement, interdiction du traitement, suspension du transfert de données hors EEE, etc.), les autorités nationales pourront désormais sanctionner d’une amende administrative pouvant atteindre 10.000.000 € ou 2 % du chiffre d’affaires mondial de l’exercice précédent, le montant le plus élevé étant appliqué.

D’autres manquements, plus graves, affectant par exemple la licéité du traitement, le recueil du consentement, les droits des personnes (droit d’accès, de rectification, d’effacement...) et les principes applicables aux transferts de données pourront donner lieu à des amendes administratives pouvant atteindre 20.000.000 € ou 4 % du chiffre d’affaires mondial de l’exercice précédent.

Mathieu Lajoinie
Avocat au barreau de Paris
www.avocat-lajoinie.fr
contact chez avocat-lajoinie.fr

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

53 votes