Le règlement européen sur la protection des données (RGPD) entre en application le 25 mai 2018.
Le RGPD définit le nouveau droit applicable à la protection des données personnelles.
La loi nationale, dite « loi informatique et libertés » se verra également modifiée en 2018, afin notamment de régler les spécificités nationales permises par le règlement.
Qui est concerné par le RGDP ?
Sont soumises au RGPD toutes les organisations, publiques ou privées, qui traitent des données personnelles.
La notion de « donnée personnelle » vise toute information permettant d’identifier une personne physique : nom, prénom, ou toute autre information permettant l’identification directe ou indirecte.
Le « traitement » vise un outil – généralement informatisé – qui permet de collecter, organiser, traiter des données personnelles.
Le responsable de traitement est la personne physique ou morale qui détermine, seule ou conjointement, les finalités et les moyens du traitement (art. 4 RGPD).
Qu’est-ce que cela change ?
Parmi les nouveautés issues du RGPD, l’on notera :
- La fin des déclarations à la CNIL, qui sont remplacées par l’obligation de documenter sa conformité ; c’est, dès lors, un principe de responsabilité (« accountability ») qui s’applique.
- L’apparition d’un certain nombre d’obligations et de responsabilités à la charge des sous-traitants.
- La prise en compte de la dimension internationale. Ainsi, la localisation du responsable de traitement est indifférente dès lors que les données de citoyens européens sont concernées. Le transfert des données personnelles hors de l’Union Européenne se trouve, quant à lui, encadré par des outils supplémentaires.
- La consécration et le renforcement de certains droits des personnes physiques (droit à l’information, droit à l’oubli), et l’instauration de nouveaux droits, tels le droit à la portabilité des données. Le consentement des enfants est encadré : un mineur de 16 ans ne peut consentir seul au traitement de ses données (seuil qui peut être abaissé jusqu’à 13 ans par les Etats membres).
- La mise en place d’un régime fort de sanctions administratives. Ainsi les autorités locales – en France, la Commission Nationale Informatique et Libertés (CNIL) – pourront prononcer des sanctions allant jusqu’à 2% du chiffre d’affaires (ou 10 millions d’euros) ou 4% du chiffre d’affaires (ou 20 millions d’euros), en fonction de la nature du manquement.
A partir d’aujourd’hui, tout responsable de traitement doit être en mesure de démontrer qu’il a mis en œuvre des mesures techniques, juridiques, organisationnelles pour protéger les données personnelles et respecter les dispositions du RGPD.
4 principes clefs : transparence, consentement, droit des personnes, sécurité
Les conditions et modalités du traitement sont précisées à l’article 5.1 du RGPD, qui prévoit notamment que les données personnelles doivent être :
- « traitées de manière licite, loyale et transparente au regard de la personne concernée »
- « collectées pour des finalités déterminées, explicites et légitimes, […] »
- « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées »
- « exactes et, si nécessaire, tenues à jour, […] »
- « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées […] » étant précisé que des exceptions sont prévues : fins archivistiques dans l’intérêt intérêt public, fins de recherche scientifique ou historique, fins statistiques
- « traitées de façon à garantir une sécurité appropriée […] à l’aide de mesures techniques ou organisationnelles appropriées »
Les mesures doivent être proportionnées aux risques identifiés
Toutefois, les mesures doivent être adaptées aux contraintes de l’organisation et aux risques identifiés :
« Compte tenu de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement ». (art. 24.1. RGPD)
Ainsi, la collecte et le traitement de données sensibles ou les traitements de données dit « à risques » génèrent des obligations renforcées.
Pour certaines organisations, la désignation d’un délégué à la protection des données (DPP) est obligatoire ; c’est le cas des autorités et organismes publics, des organismes réalisant un suivi régulier et systématique des personnes à grande échelle, ainsi que des organismes traitant à grande échelle des données sensibles ou relatives à des condamnations pénales ou infractions.
Dans les cas où la désignation d’un délégué à la protection des données ne constitue pas une obligation, celle-ci est néanmoins encouragée par la CNIL.
La mise en place d’un nouveau traitement susceptible de générer des risques élevés est subordonnée à la conduite d’une analyse d’impact.
Pour aller plus loin
Un guide à destination des TPE/PME, édité en partenariat par la CNIL et Bpifrance, aborde de façon très pratique les étapes permettant de faire le point et s’organiser pour assurer sa conformité.
La CNIL propose également sur son site une palette d’outils et de modèles fort utiles, parmi lesquels la version mise à jour du modèle de registre des activités de traitement.
Retenons enfin que la mise en conformité au RGPD représente, au-delà des contraintes pour les organisations, une opportunité de se mettre en valeur et de communiquer, face à des utilisateurs mieux informés et de plus en plus sensibles au respect de leurs droits.
Cette démarche nécessitant la mise en œuvre de compétences à la fois juridiques et techniques, les conseils en propriété industrielle sont des interlocuteurs naturels pour l’accompagner.
Par Annie Hellstern