Le Règlement Général pour la Protection des Données dit « RGPD » (ou Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) entrera en vigueur le 25 mai 2018.
Les entreprises ne disposent plus que de 4 mois pour s’organiser et se mettre en conformité. Voici quelles sont les principales dispositions du RGPD.
Dans quels pays s’applique le RGPD ?
Le RGPD s’applique dans tous les pays membres de l’Union Européenne.
Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler ».
En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.
A quoi s’applique le RGPD ?
Le RGPD s’applique à tout « traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».
A qui s’applique le RGPD ?
Le RGPD s’applique à toute organisation responsable de traitement ou sous-traitants.
Qu’en est-il des obligations déclaratives ?
Le RGPD prévoit qu’afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).
En contrepartie, les obligations déclaratives sont supprimées dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Quant aux traitements soumis actuellement à autorisation, le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.
Quelles sont les dispositions à prendre pour assurer cette conformité ?
– Tenir un registre des traitements qui devra mentionner le nom et les coordonnées du responsable du traitement (ou DPO), les finalités du traitement, le type de personnes concernées, les destinataires à qui ces données seront communiquées, l’existence de transferts de données en dehors de l’UE, les délais prévus pour l’effacement des données ainsi qu’une description générale des mesures de sécurité techniques et organisationnelles.
– Documenter la mise en conformité afin d’être en mesure d’en justifier à tout moment aux autorités (rédaction et la mise en œuvre de politiques de gestion de données personnelles, procédures relatives à l’exercice des droits des personnes concernées, notices d’information, réalisation d’audits et d’études d’impacts).
– Veiller à ne traiter que des données strictement nécessaires aux traitements (principe de minimisation)
– Désigner un DPO (« Data Protection Officer » ou délégué à la protection des données)
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué s’ils appartiennent au secteur public, si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou si leurs activités principales les amène à traiter des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
En dehors de ces cas, la désignation d’un DPO est facultative mais conseillée. Le DPO peut être interne ou externe. Il est en charge de la mise en conformité des traitements au RGPD. Il informe et conseille le responsable de traitement ou le sous-traitant, contrôle le respect du RGPD, conseille l’étude sur la réalisation d’une étude d’impact sur la vie privée (EIVP), ou encore coopère avec l’autorité de contrôle.
– Réaliser des études d’impact obligatoires : pour tous les traitements à risque (origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, données génétiques ou biométriques), le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées. En cas de risque élevé, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les « CNIL » européennes pourront s’opposer au traitement à la lumière de ses caractéristiques et conséquences.
– Mettre en œuvre les nouvelles règles d’expression du consentement : Le RGPD impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Le RGPD met fin au consentement implicite, purement passif ou au cas de silence mais aussi aux cases pré-cochées par défaut. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non équivoque. Pour un traitement de données sensible, celui-ci peut être retiré à tout moment et l’exercice du droit d’accès et de rectification est permanent. L’exercice des droits doit pouvoir se faire par voie électronique, si les données ont été collectées par ce moyen.
– Mettre en œuvre les nouvelles règles pour les mineurs de moins de 16 ans : rédaction en termes clairs et simples de l’information sur les traitements de données les concernant et recueil du consentement auprès du titulaire de l’autorité parentale. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.
– Respecter le droit à l’effacement (droit à l’oubli numérique) de la personne concernée en cas d’atteinte à la vie privée.
– Mettre en œuvre le droit à la portabilité qui permet à la personne concernée de récupérer les données qu’elle aurait fournies à une organisation pour les transmettre à une autre dans le cadre d’un autre traitement.
– Notifier les failles de sécurité et les violations des données personnelles : en cas de violation de données à caractère personnel, le responsable de traitement doit notifier cette violation à l’autorité de protection des données dans les 72 heures et informer les personnes concernées si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.
Qu’en est-il du transfert des données hors Union Européenne ?
– Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et approprié. Les responsables de traitement et les sous-traitants doivent mettre en place des règles d’entreprises contraignantes (Binding Corporate Rules) pour les transferts des données hors Union Européenne au sein d’une même entreprise ou d’un même groupe.
Par ailleurs, les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.
Quelles sont les sanctions ?
Les sanctions s’appliquent aux responsables de traitement et aux sous-traitants.
Les autorités de protection peuvent prendre les dispositions suivantes : avertissement, mise en demeure l’entreprise, limitation temporaire ou définitive d’un traitement, suspension des flux de données ; injonction de satisfaire aux demandes d’exercice des droits des personnes telles que rectification, limitation ou effacement des données.
Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
N’hésitez pas à consulter le cabinet pour une assistance à la mise en conformité et le suivi des actions dans le cadre de cette nouvelle réglementation.