Règlement européen sur la protection des données : êtes-vous à jour ?

Le Règlement général sur la protection des données (RGPD) constitue une modernisation importante des lois européennes sur la protection des données. Le droit s'efforce de coller aux avancées technologiques et notamment d’Internet en protégeant les données personnelles via principalement le droit d’accès et le droit à l’oubli.

Le RGPD devrait provoquer une profonde transformation des habitudes des entreprises manipulant des données mais son impact doit être anticipé.

Les implications du règlement européen sur la protection des données

Le droit applicable imposera la notification de toutes violations des données personnelles dans les 72 heures. Des sanctions importantes sont prévues en cas de non-respect des délais.

Droit à l’oubli

A l’instar de la décision de la Cour de justice de l’Union européenne en 2014 à propos de Google Search, le droit à l’oubli est étendu, ce qui implique pour les sites internet et organismes qui gèrent des données de pouvoir répondre à la demande de suppression de données concernant un individu.

Renforcement de l’obligation du consentement

Il n’y aura plus de consentement tacite pour que les données personnelles soient utilisées. Y compris quand le consentement aura été donné, il sera possible de revenir en arrière et s’opposer à tout nouvel usage. Ce seront les responsables de ces traitements qui devront prouver que le consentement a été obtenu. Ceci implique que les entreprises devront conserver la trace du consentement d’utilisation des données personnelles

Responsabilité de gestion des données

Les entreprises qui gèrent des données personnelles devront être capables à tout moment de prouver qu’elles respectent le Règlement général sur la protection des données (RGPD). Dans toutes les entreprises traitant des données personnelles, il conviendra de mettre en œuvre la protection de la vie privée en contrôlant les flux de données, leur conservation et leur modification ou suppression. Dans les grandes entreprises, devra être nommé pour gérer cette problématique un DPO (Délégué à la protection des données). Outre la centralisation du processus de protection des données et l’information transversale de l’entreprise, le rôle du DPO sera de :

• Surveiller la mise en œuvre et la formation des personnels au RGPD (notamment dans les départements marketing, communication et RH),
• Décrire la nature des données personnelles collectées, les buts et flux de la collecte,
• Enregistrer les destinataires des données personnelles, si les données ont été ou n’ont pas été transférées hors de l’UE, et les limites de délais pour leur effacement,
• Surveiller les violations de données personnelles et gérer les réponses aux requêtes de l’autorité de surveillance.

Un rôle différent si l’on est responsable du traitement ou sous-traitant

Le RGPD a des conséquences différentes si l’on est responsable du traitement des données ou sous-traitant car les entreprises impliquées dans le traitement des données personnelles n’ont pas la même responsabilité en regard de cette nouvelle loi. Il est donc essentiel avant tout traitement des données que les différents acteurs de la chaîne de traitement sachent exactement quel est leur rôle et quelle est leur responsabilité.

Se préparer au Règlement européen sur la protection des données

Jusqu’à maintenant, la permission d’utilisation des données personnelles était souvent obtenue, quand elle était demandée, par un système de cases à cocher. Le RGPD sonne la fin de ce type de système et il faut le plus vite possible préparer votre entreprise à la mise en œuvre du règlement européen sur la protection des données pour mai 2018. Il faudra de toute façon qu’une personne soit responsable du traitement des données :

1) Charge à cette personne d’établir une cartographie des données traitées, à savoir quels traitements, de quels données, dans quels buts et par quels flux dans l’entreprise.

2) Seules les données strictement nécessaires à la poursuite de vos objectifs doivent être collectées et traitées.

3) La récupération et le traitement des données doivent avoir une base juridique (contrat, obligation légale, consentement de la personne) et les mentions d’information doivent être conformes aux nouvelles lois.

4) Mise en place les moyens d’accès et de correction/suppression des données par les personnes concernées.

5) Un système de sécurité pour éviter les fuites de données.

6) Parallèlement, les prestataires ou sous-traitants ayant un rapport avec ces données devront être identifiés (hébergeurs, sociétés de sécurité, sous-traitants marketing, etc..).

Les contrats passés avec eux devront être revus avec que leur responsabilité soit clairement énoncée.

E-privacy

A la même date d’entrée en application du RGPD, le règlement complémentaire « e-Privacy » entrera en vigueur.

E-Privacy renforce le devoir d’information et l’obligation de consentement des utilisateurs en rapport avec les dispositions du RGPD. La preuve du recueil du consentement est à la charge du responsable de traitement et pour l’utilisateur, retirer son consentement devra être aussi facile que le donner. Par ailleurs, l’absence de consentement ne pourra empêcher l’accès au service sauf si le traitement de données concerné est nécessaire au fonctionnement de celui-ci. Par ailleurs, la demande de consentement doit être faite dans une forme distincte, compréhensible (termes simples et clairs) et accessible.

Quel coût et quelle application ?

Bien que la mise en œuvre du RGPD approche à grands pas, peu d’entreprises sont prêtes. Dédier une personne au respect du RGPD et mettre en place une politique adaptée, une révision des contrats avec les partenaires ainsi que des dispositifs d’alerte en cas de fuite de données et de preuve de consentement n’est pas à la portée de toutes les entreprises et de leurs finances. Quelques prestataires de services se sont déjà installés sur le marché de la mise en place d’une politique « RGPD » y compris pour former les futurs DPO et la seule chose certaine est que cela coûte cher.