Le nouveau Règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018, et viendra renforcer les dispositions de la loi Informatique et Libertés du 6 janvier 1978 et la loi pour une République numérique promulguée le 8 octobre 2016. Ce texte européen, d’application directe pour chaque État de l’Union, impose des obligations aux entreprises en matière de gouvernance et de protection des données à caractère personnel, reconnue comme un véritable droit fondamental (Article 2 du RGPD : « Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel »).

Les entreprises doivent donc se conformer dans les délais à cette réglementation en mettant en place une véritable politique de gouvernance de leurs données personnelles, sous peine de s’exposer à de sévères sanctions administratives, dont le montant pourra atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Il est aujourd’hui impératif pour les sociétés de se préparer en organisant le traitement de leurs données personnelles et en mettant en place un plan d’action.

Toutes entreprises, institutions, organes et organismes de l’Union européenne amenés à traiter des données à caractère personnel, automatisé ou non automatisé, entrent dans le champs d’application de ces nouvelles dispositions.

Les données concernent toute opération liée au traitement d’une information se rapportant à un personne physique (âge, sexe, nom, numéro de sécurité sociale, etc…).

En d’autres termes, la quasi-totalité des entités économiques est impactée par les dispositions de ce règlement.

Prioritairement, les sociétés devront désigner un responsable des données personnelles qui sera en charge de piloter leur conformité. Ce « DPO » (anciennement CIL) pourra être désigné en interne, sous certaines conditions, ou externalisé auprès d’un cabinet professionnel.

Il sera un véritable relais entre l’entreprise et les organes de contrôle, aura un rôle central dans l’entreprise et pour principales missions de :

 recenser toutes les données personnelles

Les entreprises devront tenir un registre qui détaillera les différents traitements et leur gestion : qui est responsable du traitement, s’agit-il de données sensibles, le lieu d’hébergement des données, le temps de conservation, leur finalité …

Cet inventaire devra impérativement être tenu à jour et mis à disposition des organes de contrôle. Cette cartographie des données permettra également de vérifier la conformité de leur gestion aux obligations imposées et le cas échéant, de gérer les données à risques.

Les données personnelles recouvrent un nombre important de données, qui va de la gestion d’un fichier client, au badge de restauration jusqu’au fichier des véhicules de fonction (seules celles gérées par le CE des entreprises semblent être exclues du champs).

 prendre les mesures nécessaires pour se conformer

Le pilote désigné devra mettre en place les mesures nécessaires pour gérer la gestion des données à risque, c’est-à-dire qui ne sont pas conformes aux obligations imposées par les textes.

Dans cette hypothèse, et si un risque élevé est identifié, il conviendra de mener une étude d’impact approfondie (PIA) afin d’évaluer le risque pris et de déterminer les mesures ou process à mettre en place en interne pour traiter ces risques (éléments à protéger, impacts potentiels, consentement renforcé, supports…).

 assurer le suivi de la conformité des données

La dernière phase pour le pilote désigné est d’organiser le suivi, la sensibilisation, et le maintien de cette conformité sur le long terme.

Ainsi, au delà de sa mission de mise en conformité, il devra intégrer une véritable mission de sensibilisation en interne, de remonter d’information, de traitement des réclamations et des demandes, et d’anticiper les violations de données (qui s’imposent aussi aux sous-traitant de l’entreprise).

Les dispositions de ce règlement sont contraignantes pour les entreprises qui doivent repenser leur système (ou son absence) de gouvernance interne des données, ce qui explique le délai de mise en conformité de deux ans qui leur est laissé pour s’y conformer (28 mai 2018). En tout état de cause, il convient de se préparer dès aujourd’hui vu que ces obligations s’imposent aux entreprises mais également aux sous-traitants, et prendre des mesures telles que l’information des sous-traitants pour s’assurer de leur conformité, un mailing de mention aux clients ou encore un retro-planning des process à mettre en place.

Pour plus de détails : https://www.cnil.fr/fr/reglement-europeen-protection-donnees

Colombe Dougnac - Conseil en Propriété Industrielle Cabinet SoPI - www.cabinetsopi.com

Comentaires:

• 
  Le DPO est l’élément central de la démarche, RASLE Bruno, 3 novembre 2017

  Je ne peux que conformer que la présence d’un Délégué à la protection des données (ou DPO, pour Data Protection Officer) est indispensable si l’on veut espérer être sur le chemin vertueux de la conformité, qu’il soit interne ou externe (la sclérose qui empêchait les responsables de traitement de désigner un Correspondant Informatique et Libertés en présence de plus de 50 personnes ayant accès au traitement disparaissant avec le RGPD).

  En accès libre, une version annotée et commentée du RGPD : http://www.afcdp.net/Reglement-annote-et-commente-avec

  Bruno Rasle - Délégué général de l’AFCDP- delegue.general chez afcdp.net - Tel. +33 (0)6 1234 0884 - www.afcdp.net