Déclarations CNIL : quel est l'impact du nouveau règlement ?

Le 25 mai 2018, entrera en application le Règlement général sur la protection des données (RGPD) qui vient moderniser la règlementation en matière de protection de données. Ce texte modifie à plusieurs niveaux les obligations actuelles en matière de traitement des données personnelles, aussi bien en terme de collecte que de traitement.

En France, l’une des modifications majeures qu'implique ce règlement dans le contrôle de la gestion des données personnelles concerne le rôle de la Commission Nationale de l’Informatique et des Libertés (CNIL). Le RGPD vient remodeler le contrôle qu’exerce la CNIL. En effet, conformément à loi Informatique et Libertés actuellement en vigueur, les entreprises procédant à des traitements de données doivent effectuer des déclarations à la CNIL et obtenir de celle-ci des autorisations. Mais le RGPD vient supprimer cette déclaration et renforcer la responsabilité de chaque société.

De nouvelles mesures à prendre

Le Règlement Général sur la Protection des Données instaure de nouveaux principes dans le système de protection de données : le privacy by design, privacy by default et l’Accountability. C’est cette dernière qui consacre la logique de responsabilisation. En effet, ce principe met fin aux formalités préalables auprès de la CNIL et oblige les entreprises à prendre les mesures nécessaires en vue de garantir le respect du règlement. Le RGDP consacre donc une absence d’obligation préalable de déclaration, mais les entreprises doivent procéder à la mise en place d’outils internes d’audit. À la demande de l’autorité de contrôle, chaque entreprise doit être en mesure de prouver la conformité de leur traitement aux dispositions du RGDP. Pour ce faire, elles doivent :

• Ne collecter que les données nécessaires à l'activité de l'entreprise ;
• Obtenir le consentement des personnes pour collecter leurs données personnelles, de manière claire et simple et indépendamment d'autres processus et sans leur interdire un service en cas de refus d'utilisation de données;
• Tenir à jour un registre des traitements,
• Rédiger une charte de bonnes pratiques ;
• Désigner un Data Protection Officer (DPO) si la situation l'impose

Comment s’y prendre concrètement ?

Il est important de faire un audit sur les outils mis en place au sein de votre société ce qui concerne le traitement des données personnelles. Pour ce faire :

Cartographiez les traitements

Il s’agit de faire un inventaire des traitements afin d’identifier les processus qui sont concernés par le règlement. Après l’identification, il faut ensuite évaluer le niveau de conformité des moyens mis en place en les soumettant à une étude d’impacts. C’est une mesure prévue par le règlement général sur la protection des données.

Révisez les contrats avec les fournisseurs

Le RGDP instaure le principe de coresponsabilité qui met fin à l’immunité dont bénéficiaient les sous-traitants des entreprises faisant des traitements de données. Désormais, le contrat signé avec des prestataires ou sous-traitants dans le cadre du traitement de données doit comporter certaines clauses, notamment des clauses de confidentialité. Ces clauses doivent bien définir quelles sont leurs nouvelles obligations.

Mettez en place un registre des traitements

C’est une obligation consacrée par l’article 30 du RGDP. Selon ledit article, toute entreprise employant plus de 250 personnes a l’obligation de tenir un registre qui comportera l’ensemble de ces traitements. C’est une obligation aussi bien à la charge du responsable de traitement que du sous-traitant. L’autorité de contrôle (CNIL) peut décider à tout moment de consulter ce registre. Le registre doit comporter des informations telles que le nom et les coordonnées du responsable de traitement, les destinataires des données, les finalités des traitements, etc. Ici, également, vous pouvez trouver sur internet des modèles de registre sur internet. Mais il est toujours mieux de faire recours aux avocats. Les modèles peuvent être incomplets ou comporter de fausses informations. Cela vous exposerait à des risques de rejet.

Définir une politique avantageuse et rédiger une charte de bonnes pratiques

Afin de sécuriser les données dans la durée, il est important d’avoir un bon plan d’action. Après l’identification des traitements concernés par le règlement et la procédure de certification, il faut revoir les modalités d’exercice des droits des personnes, depuis le recueil de consentement jusqu’au droit à l’oubli. Il faut également redéfinir des paramètres tels que la durée de conservation des données, les finalités des traitements, etc. Cela implique donc une révision de la politique de confidentialité. Vous pouvez confier votre dossier aux avocats de Captain Contrat qui se chargeront de vous élaborer une politique solide, en conformité avec le règlement. De la même manière, ils peuvent se charger de mettre en place une charte de bonnes pratiques en vue d’optimiser la sécurité au sein de votre entreprise.

Pour conclure, il faut retenir que le règlement européen qui entre en vigueur le 25 mai 2018 supprime les formalités préalables qui se faisaient auprès de la CNIL. Désormais, les entreprises qui effectuent des traitements de données ne sont plus obligées de faire une déclaration auprès de l’autorité de contrôle. Cependant, elles sont tenues de mettre en place certaines mesures en vue de garantir le respect de la vie privée des personnes. Pour être sûr de bien respecter toutes ces mesures, vous pouvez solliciter l’accompagnement de Captain Contrat qui met à votre disposition de nombreuses ressources afin de vous aider dans le processus de mise en conformité.