Sans bouleverser les grands principes de la loi « Informatique et libertés », le nouveau règlement européen sur la protection des données personnelles (dit « RGDP ») opère toutefois un changement majeur concernant la protection de ces dernières, en ce qu’il prévoit la responsabilisation des entreprises qui devront être en mesure de démontrer, dès l’entrée en vigueur du règlement, leur conformité à ses dispositions.

Pour rappel, le RGDP s’appliquera automatiquement dans tous les États membres de l’Union européenne à compter du 25 mai 2018.

Chaque État membre conserve toutefois une marge de manœuvre nationale concernant une cinquantaine de sujets figurant dans le règlement. En France, le projet de loi destiné à assurer l’adaptation de la législation nationale au droit de l’Union européenne adopté le 17 décembre dernier par le conseil des ministres a été déposé fin décembre et est actuellement en discussion au parlement.

Le RGDP concerne tous les acteurs, entreprises privées, secteur public, associations… à partir du moment où ces derniers sont situés sur le territoire de l’Union européenne, mais également tous les traitements de données visant directement un résident européen.

Entreprises, comment préparer la mise en conformité aux nouvelles règles ?

Le RGDP prévoit une simplification des formalités préalables se traduisant par la suppression de l’obligation de déclaration préalable dès lors que les traitements de données ne constituent pas un risque pour la vie privée des personnes.

En contrepartie de cet allègement des formalités, les entreprises doivent dorénavant garantir la sécurité des données personnelles, impliquant pour ces dernières la mise en œuvre les mesures techniques et organisationnelles internes à cet effet.

Dans ce cadre, le plan d’action suivant s’impose :

1. Désignation d’un délégué à la protection des données personnelles (DPO) pour exercer les missions d’information, de conseil et de contrôle en interne

La désignation d’un délégué à la protection des données sera obligatoire :
 si l’entreprise appartient au secteur public,
 si son activité implique la réalisation d’un suivi régulier et systématique des personnes à grande échelle, ou
 si l’activité implique à grande échelle le traitement de données dites « sensibles ».

Le RGDP ne dresse pas une liste précise des entreprises soumises à cette obligation cependant le G29, dans ses lignes directrices du 13 décembre 2016, a indiqué que la notion de « traitement à grande échelle » devra s’apprécier au regard : du nombre de personnes concernées, du volume de données traitées et/ou des différentes catégories de données traitées, de la durée et la continuité des traitements ainsi que de leur étendue géographique.

Quelques exemples : chaîne de fast food international pour le traitement de données de géo-localisation des clients, compagnies d’assurance et banques, fournisseurs d’accès internet et téléphonie. Les traitements de données patients/clients par des médecins/avocats ne seraient en revanche pas concernés.

Le DPO peut être désigné en interne, mais cette fonction peut aussi être externalisée. Les cabinets d’avocats peuvent s’en charger.

En tout état de cause, eu égard à l’ampleur des mesures à mettre en place en vue de se conformer à la nouvelle règlementation, il est désormais indispensable de désigner en interne une équipe spécifiquement chargée de superviser les aspects relatifs à la protection des données. Il est à noter que le DPO ne pourra en aucun cas être tenu responsable d’un manquement, cette responsabilité incombant au responsable de traitement.

2. Réalisation d’un inventaire des traitements de données personnelles mis en œuvre au sein de l’entreprise

Il est primordial d’établir cette cartographie destinée à répertorier le type de données collectées et stockées par l’entreprise, leur provenance, leur destination, le but de leur traitement etc. et ce afin de pouvoir ensuite déterminer les actions à mettre en œuvre.

Le RGDP impose également aux entreprises la tenue d’un registre des traitements de données personnelles.

 Pour tous les traitements de données pouvant engendrer un risque élevé pour les droits et libertés des personnes, les entreprises doivent réaliser une étude d’impact complète avant la mise en œuvre du traitement, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. Sont notamment concernés les traitements suivants : évaluation/scoring (y compris le profilage) ; surveillance systématique ; collecte de données sensibles ; croisement de données… En cas de doute quant au fait de savoir si le traitement présente des risques élevés pour les droits des personnes, il convient de faire réaliser l’analyse d’impact par précaution.

3. Mise en place de procédures garantissant la protection et la sécurité des données

Désormais, les entreprises doivent garantir la gestion effective de la sécurité des données personnelles et notamment : des incidents de sécurité, des demandes de rectification, d’accès, de modification ou de suppression des données collectées par les personnes concernées, des changements de prestataire, des notifications de violations de données à l’autorité de protection des données etc.

4. Audit et revue des contrats avec les sous-traitants (hébergeurs, plateformes cloud…)

Cet audit doit permettre de déterminer quelles sont les modifications à apporter aux contrats afin d’y inclure clairement le rôle et les responsabilités des sous-traitants en matière de données personnelles conformément aux nouvelles obligations prévues par le RGDP.

En effet, ce dernier impose dorénavant la conclusion d’un contrat écrit comportant un certain nombre de clauses obligatoires, sous peine d’amende (article 28 du RGPD). A titre d’exemple, le contrat doit notamment indiquer les informations selon lesquelles le sous-traitant :
 ne traite les données personnelles que sur instruction documentée du responsable de traitement (le sous-traitant peut désormais être tenu responsable dès lors qu’il agit en dehors des instructions données par le responsable de traitement) ;
 veille à ce que les personnes autorisées à traiter des données personnelles s’engagent à respecter la confidentialité ou soient soumises à une obligation légale appropriée de confidentialité ;
 ne recrute pas lui-même un autre sous-traitant sans l’autorisation écrite préalable, spécifique ou générale, du responsable de traitement.

Si le sous-traitant peut voir sa responsabilité engagée notamment en cas de violation des obligations relatives à la sécurité et à la confidentialité des données personnelles, le responsable de traitement n‘est en aucun cas déchargé de la responsabilité qui lui incombe de préserver la sécurité des données traitées par un prestataire pour son compte.

Dans une affaire récente, la CNIL a prononcé une sanction pécuniaire d’un montant de 100.000 euros avec publication de la décision, à l’encontre de la société Etablissements Darty Et Fils, pour méconnaissance de l’obligation de garantir la sécurité des données personnelles traitées). La violation en cause avait permis à des tiers d’accéder à plusieurs milliers de données de clients de la société. La CNIL a considéré « qu’en retenant un logiciel standard dit sur étagère proposé par son prestataire, il incombait à la société de procéder aux vérifications des caractéristiques de ce produit qui auraient permis d’identifier le risque résultant de l’existence d’un accès aux données des clients contenues dans l’outil de gestion des demandes de service après-vente et d’empêcher celui-ci ».

Les entreprises doivent être extrêmement vigilantes dans le choix de leurs sous-traitants et s’assurer que ces derniers remplissent les obligations de sécurité et de confidentialité des données.

5. Information des personnes concernées

L’obligation d’information des personnes concernées est renforcée. De nouveaux droits pour les personnes doivent désormais également faire l’objet d’une information de la part du responsable de traitement :
 le droit d’effacement des données personnelles,
 le droit à la portabilité des données,
 le droit pour la personne concernée de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage.

Enfin, le responsable de traitement doit mettre en place les mesures appropriées permettant de communiquer dans les meilleurs délais à la personne concernée la survenance d’une violation de données susceptible d’engendrer un risque élevé pour les droits et libertés de ladite personne.

Conclusion

Même si les amendes administratives encourues en cas de violation des obligations contenues dans le règlement ne constituent que le dernier pallier des sanctions possibles, leurs montants sont considérablement renforcés : le plafond maximal des amendes s’élèvera à hauteur de 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, la sanction étant proportionnée au type de violation en cause.

En outre, en cas de traitement illicite de données personnelles, la CNIL pourra également décider de limiter voir d’interdire à une entreprise de procéder au-dit traitement, ce qui pourrait s’avérer lourd de conséquences.

Au-delà des sanctions, les impacts de cette nouvelle règlementation sont encore difficiles à appréhender. Toutefois, la conformité au RGDP constituera un véritable atout pour les entreprises qui pourra être valorisé comme gage de confiance auprès des clients et partenaires, de plus en plus soucieux de la protection effective de leurs données. Il est vivement conseillé aux entreprises d’adopter un certain nombre d’outils tels que : codes de conduites, règles internes d’entreprises etc. Certaines entreprises ont déjà obtenu des labels de conformité de la CNIL garantissant que leurs procédures sont conformes aux obligations imposées par le RGPD et par la Loi Informatique et Libertés.

Anaïs Olivier Avocat olivier.anais@avocat-conseil.fr

Comentaires:

• 
  action du responsable de traitement contre le sous-traitant, Thomas, 11 avril 2018

  Est-il possible pour le responsable de traitement de se retourner contre le sous-traitant en cas de condamnation de la CNIL ?

  Est-il possible de prévoir dans une clause que le sous-traitant sera responsable des pénalités en cas de condamnation du responsable de traitement ?

  En vous remerciant !