GDPR – RGPD : Règlement général sur la protection des données

Un acronyme : GDPR en anglais ou RGPD en français. En forme longue, cela donne « Règlement Général sur la Protection des Données ». Les termes de cet intitulé sous-entendent qu’il s’agit là d’une série de dispositions (Règlement Général).  Ces dernières ont pour objectif d’instaurer un dispositif particulièrement fiable et efficace de protection des données personnelles. Dans la réalité, même s’il n’est pas sibyllin, cet ensemble de règles s’avère complexe à maîtriser pour une raison bien précise : le RGPD compte 99 articles dont les contenus entretiennent des liens entre eux et, surtout, se complètent. Sans compter que le texte se cantonne à des directives et des orientations. Elle ne donne aucune indication sur la façon de concrétiser ses dispositions.

La mise en œuvre pratique de ces mesures dans le cadre de vos activités nécessite de les appréhender pleinement, aussi bien point par point, mais également dans leur globalité puisqu’elles forment un ensemble logique. Par ailleurs, elle implique d’être familiarisé à l’établissement, la manipulation ainsi que la sécurisation des bases de données. Et le temps presse ! En effet, ces règles deviendront obligatoires dans l’Union Européenne à compter du 25 mai 2018. Pour vous aider à mettre en place cette démarche de protection des données, faites le choix d’un encadrement par un professionnel. Les experts mandatés par Factory Group ont les compétences nécessaires pour cet accompagnement. En attendant de les contacter, initiez-vous aux grandes lignes du RGPD en lisant les paragraphes subséquents.

L’historique et le planning d’application

Le 4 mai 2016, le RGPD est publié dans le Journal officiel de l’Union Européenne. Tous les ressortissants des pays de l’Union Européenne seront soumis aux dispositions du RGPD dès le 25 mai 2018. Ce jour-là, la mise en conformité des procédures de collecte et de traitement des données personnelles avec les règles du RGPD devra être achevée. Une fois entrée en vigueur, la RGPD mettra un point final à l’existence en France de la Loi informatique et libertés appliquée depuis 1978. Enfin, la RGPD annule et remplace la directive 95/46/CE relative à la protection des données à caractère personnel.

La portée du RGPD

Le RGPD constitue un règlement européen. De ce fait, le texte s’applique dans son intégralité à tous les pays qui sont membres de l’Union Européenne. Il est inutile de le transposer dans la législation nationale pour le rendre obligatoire. Par ailleurs, toutes les données personnelles sont concernées, qu’il s’agisse d’une adresse mail personnalisée ou d’une plaque d’immatriculation par exemple. Ces données personnelles rendent possible l’identification de la personne physique à qui elles appartiennent.

L’interlocuteur au niveau national

En France, la Commission Nationale de l’Informatique et des Libertés (CNIL) est le garant de la bonne application des dispositions du RGPD : l’organisme est l’autorité « chef de file » (on dit aussi « guichet unique ») sur le territoire français. Les entreprises françaises souhaitant se lancer dans des traitements transnationaux devront contacter le CNIL et non les autorités de protection des données des pays qu’elles comptent cibler. En revanche, les entreprises européennes qui opèrent en France sont tenues de s’adresser à l’autorité chef de file du pays où se trouve leur siège. Il faut savoir que suite à l’entrée en vigueur du RGPD , la CNIL deviendra membre du Comité européen de la protection des données (CEPD).

Les cibles du RGPD

Le texte s’adresse à tous les individus et les organismes publics et privés (entreprise, association, ONG, etc.) qui sont amenés à traiter des données personnelles aussi bien en ligne qu’ailleurs. Pensez, par exemple, à la base de données de la Banque de France ou celle d’un moteur de recherche tel Google ou celle d’une plate-forme de CRM OnBoarding. Le règlement européen les désigne explicitement par « responsables de traitement » ainsi que « sous-traitants ». Ces protagonistes officient sur le territoire de l’Union Européenne.

On entend par « responsable de traitement », les organisations qui définissent les buts et les conditions dans lesquelles sont réalisés les traitements de données personnelles. Il peut s’agir d’une entreprise ou d’un service au sein d’une entreprise. Un responsable de traitement possède un représentant légal en contact avec la CNIL.

Le texte concerne également les responsables de traitement et les sous-traitants basés à l’étranger dans un cas spécifique : lorsqu’ils sont amenés à manipuler des données personnelles appartenant à des clients et prospects résidents sur le territoire de l’UE. C’est ce qui arrive lorsqu’une entreprise vend des biens ou qu’elle propose des prestations de services à une clientèle qui réside dans l’Union Européenne.

En définitive, les dispositions prévues par ce texte entrent en jeu aussitôt que les données d’un résident européen sont soumises à un traitement spécifique à la fois dans le réel que sur Internet.

Le dispositif pour le RGPD

Les responsables de traitement ont l’obligation de créer et d’appliquer des mesures techniques et des méthodes organisationnelles garantissant réellement la protection renforcée des données personnelles. Le but est que les traitements des données ne mettent pas en péril la vie privée des individus concernés. La réflexion et la démarche doivent être introduites alors même que l’activité, qui requiert la collecte et le traitement de données, est encore à l’état de projet (principe du « Privacy By Design »). Cette anticipation donne le temps de trouver des stratégies amenant à une réduction significative du volume de données recueillies.

Il va de soi que cet impératif européen est complexe à observer pour les néophytes et, globalement, pour tous ceux qui n’ont pas l’habitude d’élaborer de telles procédures. Voilà pourquoi il est chaudement recommandé de faire appel à l’équipe de connaisseurs au sein de Factory Group. Les experts de l’agence sauront mettre le fonctionnement de votre activité en conformité avec les exigences du RGPD. Il est à faire remarquer que l’élaboration de procédures internes, visant à constamment protéger les données personnelles, s’avère nécessaire pour s’assurer un réel respect du RGPD. C’est là un autre point qui justifie le concours de Factory Group.

L’intervention d’un expert est d’autant plus indispensable que le règlement contraint l’entreprise à démontrer qu’il y a effectivement un alignement. Ainsi, il ne suffit pas de respecter la réglementation. Il vous faut être capable de prouver cette conformité grâce à la création d’une riche documentation continuellement actualisée. Celle-ci est accompagnée des outils de conformité suivants : registre des traitements réalisés (les traitements sont ainsi cartographiés), notes sur les éventuelles failles de sécurité à remettre à la CNIL, certification de traitements, adoption en interne de codes de conduites, nomination d’un DPD (Délégué à la Protection des Données, avec possibilité d’externaliser cette fonction), réalisation d’Études d’Impact sur la Vie Privée (EIVP).

Somme toute, le RGPD instaure une véritable responsabilisation des entreprises lorsqu’il s’agit d’exploiter les données personnelles. Cette responsabilisation rend les obligations déclaratives inutiles : le RGPD les a donc annulées. Toutefois, le règlement européen laisse la CNIL décider de ce qu’il adviendra des traitements de données nécessitant l’obtention d’une autorisation préliminaire de sa part.

Lorsque les données sont transférées dans des pays qui ne sont pas membres de l’Union Européenne, le responsable de traitement et le sous-traitant accompagnent l’opération d’un recours aux Règles d’Entreprises Contraignantes (BCR) ainsi que de clauses contractuelles autorisées par la CNIL et la Commission Européenne. Parallèlement, la CNIL impose à l’initiateur du transfert des accords contraignants. Enfin, responsables de traitement et sous-traitants sont tenus d’adhérer à des codes de conduite, ou, à défaut, ils enclenchent un mécanisme de certification des opérations. Des engagements contraignants doivent apparaître dans les deux cas.

Les nouveaux droits acquis grâce au RGPD

Les droits des personnes sont étoffés par ce règlement européen. Dans un souci de transparence accrue, tous les individus, dont les données personnelles vont faire l’objet d’un traitement futur, reçoivent au préalable de l’entreprise une information annonçant la procédure et détaillant l’utilisation qui sera faite de leurs données. L’information est exposée de manière claire. L’entreprise veille également à ce qu’elle soit intelligible. Elle s’assure aussi que sa compréhension est facilement accessible. Cette obligation d’information s’applique, même lorsque le traitement vise des données de mineurs âgés de moins de 16 ans.

Comme suite aux explications qu’elle reçoit, la personne est libre de donner son accord ou de s’opposer à l’exploitation de ses données. Concernant les mineurs de moins de 16 ans, leur consentement est soumis à l’accord du titulaire de l’autorité parentale. C’est d’ailleurs lui qui communique l’agrément exprimé par l’enfant. Une fois adulte, un enfant peut changer d’avis en retirant son approbation. Cette volte-face entraîne la suppression de ses renseignements personnels de la base de données du responsable de traitement.

Les modalités selon lesquelles l’assentiment est notifié sont définies par le responsable de traitement. Elles doivent pouvoir donner lieu à une matérialisation de la notification de la décision d’accord en cas de litige. Par ailleurs, le règlement européen introduit la notion du droit à la portabilité des données. Concrètement, les données doivent pouvoir être récupérées par ses propriétaires sur un support rendant possible leur réutilisation. Cette obligation s’explique par l’autorisation accordée aux propriétaires de ces données de transmettre ces dernières à d’autres tiers.

Les recours et les sanctions

Chaque personne est autorisée à intenter des recours individuels à l’encontre d’un responsable de traitement ou d’un sous-traitant qui n’a pas respecté les dispositions du RGPD. Les associations œuvrant pour la protection des droits et libertés des personnes dans le domaine des traitements de données sont également habilitées à faire un recours juridictionnel collectif contre les responsables de traitement et les sous-traitants. Il est à noter que les autorités de contrôle (la CNIL par exemple) ne sont pas non plus à l’abri d’un recours ni d’une réclamation.  Les recours, déposés notamment auprès de la CNIL, constituent le moyen d’obtenir la réparation des préjudices subis du fait de la violation des dispositions du RGPD.

Concernant les sanctions administratives, elles s’imposent aux responsables de traitement ainsi qu’aux sous-traitants qui enfreignent les obligations du RGPD. Elles prennent plusieurs formes :

  • Avertissement,
  • Mise en demeure,
  • Restriction sur les traitements,
  • Ordre d’interrompre les flux de données,
  • Obligation de répondre positivement aux demandes formulées concernant la jouissance des droits des personnes,
  • Obligation d’effacer ou de corriger des données,
  • Retrait d’une certification,
  • Paiement d’une amende allant de 10 à 20 millions d’euros ou entre 2% et 4% du chiffre d’affaires d’une entreprise.

Vous l’avez constaté, même si les sanctions sont graduées, elles sont sévères, car le RGPD reconnaît désormais toute la responsabilité des responsables de traitement et des sous-traitants. Vous avez là un autre argument légitimant l’assistance d’un professionnel de la protection des données et à un expert du RGPD. Factory Group saura vous aider pour vous préparer correctement à l’entrée en vigueur de ce règlement européen. La gouvernance des données personnelles transitant dans votre structure sera optimale et ne vous exposera à pratiquement aucun risque de réclamation ni de recours.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *