RGPD (Règlement général sur la protection des données) : quels changements en mai 2018 ?

Chaque jour, nous laissons de nombreuses données personnelles sur des sites internet. Sur les réseaux sociaux, lors des échanges de mails, durant des achats en ligne…, nos informations sont collectées et exploitées par de nombreux sites. Il est donc important de mettre un système en place afin d’assurer le respect de la vie privée à chaque internaute : c'est ce qu'on appelle le RGPD (Règlement général sur la protection des données) !

Le RGPD expliqué en trois minutes

Pourquoi un nouveau règlement ?

La protection des données dans l’Union Européenne était, jusqu'à présent, réglementée par une Directive européenne adoptée en 1995. En janvier 2012, une réforme de ce texte a été proposée par la Commission européenne en vue de renforcer les droits des particuliers, tout en allègeant les obligations pesant sur les entreprises. Après des années de négociations un nouveau texte a finalement vu le jour à la fin de l'année 2015.
En vertu de ce texte dénommé Règlement général sur la protection des données (RGPD), lorsqu’une entreprise met en place un produit ou un service qui occasionnera une collecte de données, elle doit s’assurer dès le moment de sa conception qu’il est bien conforme à la réglementation. C’est le principe dit du « Privacy by Design » ou « Privacy by Default », un des grands principes du RGPD.

Le texte tient essentiellement compte des récentes évolutions technologiques et les défis qui les accompagnent. Il se présente sous forme de 99 articles consacrant de nouveaux chantiers que doivent opérer les entreprises. Adopté le 4 mai 2016, il est entré en vigueur le 24 mai 2016 et sera appliqué à partir du 25 mai 2018. En France, ce règlement vient mettre à jour les principes de la loi Informatique et Libertés du 6 janvier 1978.

Le Champ d’application du RGPD

Nous ferons une distinction ici, entre le champ matériel et le champ géographique.

Champ matériel du règlement

Le RGPD s’applique « au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». On entend par donnée à caractère personnel toute information personnelle permettant d'indentifier ou de géolocaliser une personne.

De manière générale, on parle de traitement des données lors de toute opération de collecte, d'enregistrement, d'organisation, de conservation, adaptation ou modification, extraction, de consultation, d’utilisation, de communication par transmission, diffusion ou toute autre forme de mise à disposition, de rapprochement ou d’interconnexion, ainsi que de verrouillage, effacement ou destruction.

Il en résulte que vous pouvez être concerné par le RGPD dans la plupart des cas de fonctionnement d'une entreprise moderne.

Champ géographique du règlement

Sur le plan territorial, le RGPD s’applique « au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. » Autrement dit, toute entreprise sur le territoire européen opérant un traitement des données à caractère personnel est contraint de respecter les prescriptions du RGPD. Aussi, même si un établissement ou un responsable de traitement n’est pas établi sur le territoire de l’Union Européenne, il peut être contraint dans certains cas, de se soumettre aux dispositions du règlement.

Quelle procédure pour être en conformité avec le RGPD ?

Pour se mettre en règle par rapport au RGPD, les entreprises et administrateurs doivent entreprendre de nombreuses démarches. Nous vous exposons ici, quelques une de ces démarches et un plan d'actions à réaliser en interne.

Ne collecter que les données utiles

Les entreprises ne devront collecter que les données nécessaires à leur fonctionnement.

Désigner un Data protection officer (DPO)

Le DPO — Délégué à la protection des données en français — est le pilier central du RGPD. Sa désignation est obligatoire pour les organismes publics, les entreprises faisant des traitements de grands volumes de données. Toutes les entreprises de plus de 250 salariés doivent désigner un DPO. C’est ce dernier qui est le garant du principe de « Privacy by Design ». Il s’assure donc que le traitement qui se fait des données ne portera pas atteinte à la privée et aux libertés fondamentales.

Tenir un registre des traitements

Les entreprises ayant plus de 250 employés sont tenues d’inscrire tous leurs traitements de données personnelles dans un registre qui sera toujours actualisé. À tout instant, la CNIL peut demander à consulter ce document. Il doit comporter entre autres, l’identité et les coordonnées du responsable de traitement, le destinataire à qui les données seront communiquées, ainsi que la finalité du traitement. Par ailleurs, notons que le RGPD prévoit que des procédures de certification et de labellisation seront proposées par les institutions de l’UE et le comité européen de la protection des données afin de juger de la conformité au règlement des traitements réalisés par une entreprise.

Faire une analyse d’impact relative à la protection des données

Il s’agit de procéder à la vérification de l’ensemble des traitements de données personnelles informatisées ou non. Le but c’est de parvenir à identifier les processus concernés par le Règlement et de les soumettre à une étude d’impact (PIA : Privacy Impact Assessment) afin d’évaluer leur niveau de conformité et les risques qui en résultent pour les personnes concernées.

Garantir les droits des personnes

En dehors des droits — accès, rectification, opposition — qui existaient déjà, le Règlement crée de nouveaux droits qu’il faut garantir aux personnes. Il s’agit par exemple du droit à la limitation du traitement, du droit à l’oubli, à l’effacement des données ou encore du droit à la portabilité des données. Par ce dernier droit, le RGPD entend faciliter les transferts de données personnelles entre prestataires de services. Le Règlement prévoit également un droit d’opposition spécifique pour les traitements de marketing direct. Il consacre aussi une protection spécifique des mineurs. Lorsqu’une personne juge le traitement de ses données non conforme au Règlement, il peut jouir d’un droit à réparation du préjudice subi, en exerçant des recours en justice.

Il est à noter aussi que le consentement des personnes en ce qui concerne l'utilisation de leurs données personnelles doit être demandé de manière claire et séparément. L'accès à un service ne peut êre empêché par un refus.

Rédiger une charte de bonnes pratiques

La charte de bonne pratique est un outil qui rappelle aux collaborateurs, les bonnes pratiques et des sanctions encourues lorsque la loi n’est pas respectée. Par exemple, un employé ne peut supprimer ou même avoir accès à des informations qui ne relèvent pas de sa fonction, ou enregistrer sans l’accord de sa hiérarchie, des données sur des supports externes.

Revoir les contrats de sous-traitans qui ont accès aux données

Parmi les bonnes pratiques, pensez à revoir les contrats avec les partenaires ou sous-traitants qui ont accès aux données afin de s'assurer qu'ils ont mis en place des procédures et systèmes de sécurité pour garantir l'intégrité des données.

Besoin d'accompagnement pour vous mettre en conformité avec le RGPD ? Consultez nos avocats spécialisés dans le domaine. Pour en savoir plus sur notre prestation cliquez ci-dessous.