Règlement GDPR

Le nouveau règlement européen GDPR « General Data Protection Regulation » ou « Règlement Général sur la Protection des Données » en français, prévoit un renforcement des contrôles et des sanctions en cas de non-respect de la protection de données personnelles, qui pourront aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires annuel mondial pour les sociétés.

Les organismes publics et entreprises privées vont donc devoir se mettre en conformité, et démontrer qu’elles respectent bien leurs nouvelles obligations relatives à la norme RGPD, en :

  • Assurant le consentement éclairé des personnes concernées quant à la collecte de leurs données et des usages qui en seront fait - consentement qui devra pouvoir être démontré par l’entreprise
  • Veillant à ne collecter que les données personnelles indispensables et à ne les conserver que le temps nécessaire - de manière à pouvoir démontrer l’utilité et la finalité de chaque information encore détenue par l’entreprise
  • Garantissant l'accès, la modification, la rectification, la suppression et la portabilité de ces données personnelles
  • Assurant la sécurité des données, afin de prévenir toute perte, vol, ou divulgation des données personnelles et en cas d’incident, informer sous 72h la CNIL ainsi que les personnes susceptibles de subir une atteinte à leurs données personnelles
  • Maintenir un registre à jour, documentant l’ensemble des mesures et procédures qui ont été mises en œuvre pour se mettre en conformité

La CNIL recommande un processus de mise en conformité RGPD en six étapes, afin que les entreprises puissent assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.

Désigner un pilote GDPR
Cartographier les traitements GDPR
Prioriser les actions GDPR
Gérer les risques GDPR
Organiser les processus GDPR
Documenter conformité GDPR

Éclairage d'expert

Sarra Jougla-Ygouf - Avocat au Barreau de Paris – Associée In Extenso Avocats

La France vient d’adopter le 12 avril 2018, après navette entre le sénat et l’Assemblée, les modifications de la loi « informatique et libertés » N°78-17, intégrant les nouvelles dispositions issues du RGPD.

Pour rappel, le RGPD est le « règlement européen sur la protection et la libre circulation des données à caractère personnel » n°2016/679 du Parlement européen et du Conseil, voté le 27 avril 2016, qui a pour date d’application impérative dans tous les états membres de l’UE le 25 mai 2018.

Certains présentent cette réglementation comme un monstre à deux têtes qui va s’abattre sur toutes les entreprises au 25 mai 2018, d’autres au contraire, laissent croire à son report en 2019… La vérité se situe plus probablement au milieu. Comme tout règlement européen, il est d’application immédiate dans tous les états membres. Il parait donc illusoire de penser que son application puisse être reportée « officiellement » en France, alors que la plupart des autres pays membres sont prêts à l’appliquer. Il serait plus exact de dire que la CNIL, autorité de contrôle française de l’application dudit règlement, n’aura peut-être pas les moyens suffisants pour contrôler effectivement son application dès le mois de mai 2018. Les moyens mis à sa disposition ne sont pas en effet, pour l’instant, à la hauteur des enjeux que le RGPD représente.

La CNIL a d’ores et déjà indiqué qu’elle tiendrait compte des « démarches engagées » par les entreprises dans leur processus de mise en conformité. Il n’est donc évidemment pas trop tard pour se pencher sur l’applicabilité de ce règlement à sa propre entreprise, et il sera toujours temps de le faire même après le 25 mai 2018.

Car il y a plusieurs manières d’envisager cette démarche.

Elle peut être vue comme une énième contrainte administrative ou bien, comme une nécessité et une opportunité. Il convient de ne pas oublier que dans l’intitulé même du règlement, il est questions de la protection des données à caractère personnel, mais également de leur libre circulation.

Par conséquent, ce règlement a non seulement pour but de protéger nos données à caractère personnel et celles de nos clients, prospects ou salariés, mais aussi de permettre leur libre circulation. Cette circulation doit juste être encadrée et régulée, afin d’éviter les abus, dérapages ou accidents, auxquels nous assistons depuis plusieurs années au sujet du traitement de ces données (Google, Facebook, mais aussi DARTY, HERTZ, Direct énergie et tant d’autres)[1]

Alors, quelles sont les entreprises concernées ?

Le règlement a prévu des seuils qui permettent de prendre en considération la situation des TPE, PME, ETI et également de tenir compte de l’activité de ces entreprises.

Vous êtes concernés à l’évidence si :

  • Votre entreprise a 250 salariés ou plus
  • Et/ou si elle traite des données à caractère personnel en masse ou de manière systématique
  • Et/ou si ces traitements portent sur des données sensibles (les données portant sur les mineurs sont particulièrement encadrées) et/ou sont susceptibles de porter atteinte aux droits et libertés individuels.

Chacun de ces critères devant être apprécié séparément. Dans ces cas, vous avez une obligation de tenue d’un REGISTRE DES TRAITEMENTS. Toutes les structures ne sentiront pas forcément visées, mais si vous stockez et conservez les données de vos clients – avec éventuellement leurs préférences – de manière systématique, pour pouvoir par exemple leur adresser des offres promotionnelles ou mieux les satisfaire, vous êtes concernés. Si vous avez un site sur lequel le client peut s’enregistrer, s’abonner, faire des achats, vous êtes également concerné. La question de l’usage des plateformes de réservations ou d’achats et de leur conformité se pose évidemment. De manière générale, tout stockage de données, sensibles ou pas, à grande échelle, doit faire l’objet d’une analyse et il convient d’étudier sa conformité aux dispositions réglementaires.

Les objectifs du Règlement général sur la protection des données (RGPD) sont, outre la mise en place d’un cadre juridique unifié au niveau européen :

  1. Un renforcement des droits des personnes, déjà amorcé par plusieurs décisions comme l’arrêt GOOGLE SPAIN, consacrant le droit à l’oubli ; ou la condamnation récente de prononçant une sanction pécuniaire suite à une faille de sécurité dans la confidentialité de son fichier de cartes de fidélité clients[2]
  2. Une conformité basée sur la transparence et la responsabilisation ;
  3. Des responsabilités partagées et précisées (le sous-traitant devient responsable comme le donneur d’ordre) ;
  4. L’encadrement strict des transferts de données hors de l’Union Européenne ;
  5. Des sanctions encadrées, graduées et renforcées.

Le règlement européen, applicable dans tous les états membres dès le 25 mai 2018, nécessite de repenser complètement l’approche du traitement des données personnelles. Nous passons d’un régime déclaratif avec sanction a posteriori, à un nouveau régime d’anticipation et de responsabilisation. Les conséquences sont multiples comme on va le voir ci-après. Ce changement de modèle se traduit d'un côté par un allègement des obligations déclaratives, mais aussi par un renforcement, voire la création, de certaines obligations pour la plupart des entreprises qui traitent les données personnelles de leurs clients. Ces obligations sont pour l’essentiel axées sur l’anticipation, l’information, la documentation et la sécurité.

ANTICIPATION

Les entreprises devront pouvoir justifier en cas de plainte, de faille de sécurité, ou de contrôle de la CNIL, de manière générale, de l’application du principe général de « Privacy by design », c’est-à-dire de l’intégration du respect de la vie privée de la personne physique, dès la conception du projet de traitement de la donnée. Ce principe nécessite de s’interroger sur la licéité du traitement, de faire des études d’impact préalable, lorsqu’elles sont nécessaires, éventuellement de recueillir le consentement de la personne physique dont la donnée a été récoltée, de l’informer de ses droits…

INFORMATION

Une obligation de transparence va désormais s’imposer aux entreprises qui gèrent, stockent, hébergent, traitent, vendent, etc… des données à caractère personnel. Les personnes physiques dont les données sont récoltées devront dans la plupart des cas être informées de la finalité du traitement, de leur droit d’accès, de rectification, droit à l’effacement et à la portabilité.

DOCUMENTATION

L’établissement d’un REGISTRE DES TRAITEMENTS comportant plusieurs volets peut être impératif selon les cas, mais pas pour toutes les entreprises.

SÉCURISATION

Tout doit être mis en œuvre pour sécuriser les données détenues par l’entreprise, selon le principe de « Security by default ». Ces mesures doivent, au-delà de la protection nécessaire et optimale, permettre une traçabilité de la donnée, toute faille de sécurité doit être déclarée à la CNIL dans un délai très bref (72 h selon le règlement).

 

Les sanctions en cas de manquement à ces obligations seront renforcées (jusqu’à 4% du CA mondial ou 20 M€), avec toutefois un accent mis sur la proportionnalité de la sanction. Ne nous leurrons pas, tous les domaines peuvent être impactés : l’organisation et la sécurisation des systèmes d’information, mais également la gestion RH, la gestion commerciale (prospection, marketing, gestion des fichiers clients…), la gestion des fournisseurs, la gestion informatique …

Et ceci, que les données soient conservées dans le serveur informatique de l’entreprise et/ou stockées et/ou hébergées et/ou retraitées par un sous-traitant.

Ces données personnelles, que certains considèrent déjà comme étant le nouvel « or noir », peuvent être convoitées par des concurrents malveillants, mais également par des « hackers » pour de la revente ou pour une rançon (ransomware du type Wannacry par exemple…). À l’heure où les « cyber-attaques » se multiplient, nous devons tous assurer la protection des données personnelles de nos clients, comme de nos salariés (qui sont également concernés par la nouvelle réglementation). Nul doute également que l’« e-réputation » des entreprises  sera également valorisée, au regard de sa conformité ou non avec cette réglementation.

Concrètement, un audit est nécessaire pour établir un diagnostic de l’activité et des pratiques et une évaluation des risques. A partir de cet audit, un plan d’actions doit être mis en place pour construire éventuellement un « registre des traitements » qui va regrouper et décrire les pratiques de l’entreprise en matière de traitement de données à caractère personnel, ou, si la constitution du registre n’est pas impérative, mettre en œuvre des actions minimales de mise en conformité avec la législation. Toute entreprise, quelle que soit sa taille doit pouvoir se mettre en conformité. Différents outils existent. Cela nécessite l’intervention d’une structure de conseil pluridisciplinaire technique et juridique, bien rodée et spécialisé, afin de permettre que ce type d’intervention soit traité correctement et au meilleur coût.

Il est donc fortement conseillé aux entreprises de prendre dès que possible les mesures adaptées à leur situation, en commençant dès aujourd’hui à se poser les bonnes questions pour intégrer les préconisations du Règlement Général Européen de Protection des Données (RGPD/GDPR) dans leurs process.

[1] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. / Agencia Espanola de Proteccion de Datos et Gonzales,
CNIL  Délibération n°SAN – 2017-006 du 27 avril 2017 prononçant une sanction pécuniaire à l'encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND
CNIL Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS
CNIL Délibération n°SAN-2017-010 du 18 juillet 2017- HERTZ
CNIL  Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE et Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-082 du 22 mars 2018 décidant de rendre publique la mise en demeure prise à l’encontre de la société DIRECT ENERGIE
[2] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain précitée
CNIL Délibération n°SAN-2018-001 du 8 janvier 2018 DARTY ET FILS précitée*