L’entrée en application du Règlement européen sur la protection des données personnelles (ci-après le « Règlement » ou le « RGPD ») est imminente.
Concrètement, cela signifie qu’à compter du 25 mai 2018, c’est le RGPD qui encadrera l’ensemble de vos pratiques en matière de traitement des données personnelles (qu’il s’agisse du traitement de vos données clients, prospects ou salariés, même pour les sociétés en BtoB) : une date butoir, mais pas couperet, pour la mise en conformité de votre société.
D’application directe, le RGPD harmonise et renforce la protection des personnes en matière de données personnelles. Cela se traduit notamment par un renforcement des droits des personnes physiques (le Règlement consacre de nouveaux droits comme le droit à la portabilité des données ou le droit à leur effacement, de nouvelles modalités d’obtention du consentement…) et par un pouvoir de sanction accrue de la CNIL qui pourra infliger à une entreprise récalcitrante une amende pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial en cas de manquement.
Ce qui change véritablement pour les entreprises est l’angle sous lequel elles doivent appréhender la gestion des données relatives à des personnes physiques qu’elles manipulent et traitent dans le cadre de leur activité. En effet, le RGPD consacre un principe d’accountability qui s’applique tant à l’égard des responsables de traitement que des sous-traitants (tels que les éditeurs de logiciels).
Ce principe d’accountability signifie deux choses : (i) tout responsable de traitement ou sous-traitant doit prendre les mesures appropriées en vue de respecter les droits des personnes physiques (transparence et sécurité des données) ; (ii) tout responsable de traitement ou sous-traitant doit pouvoir rapporter la preuve de la conformité d’un traitement au Règlement.
Cela implique pour les entreprises de documenter leurs pratiques et de pouvoir expliquer, le cas échéant, les finalités des traitements de données, les durées de conservation des données et de prouver le respect des dispositions fixées par le RGPD. Parmi les outils de mise en conformité, on conseillera aux entreprises, d’être attentif à :
- L’adoption de règles internes à l’entreprise (pour les transferts de données par exemple), de politique de confidentialité et de sécurité ;
- La rédaction d’informations simples à destination des personnes concernées ;
- La documentation et la conservation des décisions relatives à la mise en œuvre d’un traitement, que celui-ci soit réalisé par le responsable du traitement ou un sous-traitant ;
- La réalisation d’une analyse d’impact pour les traitements présentant des risques particuliers au regard des droits et libertés des personnes concernées ;
- L’adoption de l’approche « Privacy by design » ;
- La désignation d’un délégué à la protection des données.
Le mois à venir est l’occasion pour votre entreprise de vérifier quelles mesures préventives et/ou correctives peuvent être adoptées en vue de se conformer au RGPD, étant souligné que le respect de ce Règlement peut véritablement présenter un avantage compétitif au regard de vos concurrents.
En somme, le RGPD encourage une forme d’autorégulation des entreprises qui pourrait prendre la forme de l’adoption de chartes de bonnes pratiques basées sur les référentiels développés par la CNIL et qui devront être adaptées au gré des interprétations fournies par la CNIL, le groupe de travail européen « G29 », la réglementation interne, ainsi que la jurisprudence à venir.
Pour être complet, il faut préciser que l’adoption d’une loi à ce sujet est toujours en discussion au Parlement.
Le Cabinet est à votre disposition pour évoquer avec vous les solutions qui s’imposent afin d’être conforme le plus rapidement possible à cette règlementation, dont la plupart des dispositions datent de …1978.
Charlotte GALICHET