Le compte à rebours est lancé : dans moins d’un an, le 24 mai 2018, entrera en vigueur le Règlement européen 2016/619 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données dit « RGPD » (règlement général sur la protection des données). Toutes les entreprises sont donc contraintes de s’intéresser aux apports du RGPD mais surtout elles doivent prendre les mesures nécessaires pour se mettre en conformité.
L’entrée en vigueur du texte va-t-elle révolutionner les pratiques des entreprises et startups françaises actuelles ? Comment anticiper le basculement à la nouvelle réglementation ? Focus sur la portée des nouvelles obligations qui vont incomber aux startups et sociétés innovantes en matière de collecte, de traitement et de conservation des données personnelles.
I- A qui s’applique ce RGPD ?
Le règlement général sur la protection des données (RGPD) vise les administrations, les grands groupes, les PME et les startups, quel que soit leur niveau de développement.
Les critères d’application des dispositions du RGPD sont liés :
– au lieu de l’établissement principal (en Union européenne) ;
– au lieu de traitement des données à caractère personnel ;
– aux personnes concernées (ressortissant en Union européenne) ;
– à la typologie de traitement des données à caractère personnel et leur niveau de sensibilité.
Le RGPD s’applique donc sur l’ensemble du territoire de l’Union européenne et en dehors dès lors que les données traitées portent sur des résidents européens. Ainsi, le nouveau règlement s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.[1]
II- Quelles sont les conséquences pour ma société au 25 mai 2018 ?
A) La confirmation de droits déjà reconnus par la loi informatique et libertés
Depuis 1978 et l’adoption de la Loi informatique et libertés, la France dispose d’une législation protectrice des données personnelles collectées et utilisées par les responsables de traitement.
Avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, appelés « finalités », doivent respecter les droits et libertés des individus. Ils limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.
Une fois que l’objectif poursuivi par la collecte des données est atteint, il n’y a pas lieu de les conserver et celles-ci doivent être supprimées. La durée de conservation des données doit être définie au préalable par le responsable du traitement, en tenant compte des éventuelles obligations à conserver certaines données.
En outre, après avoir donné leur accord, les personnes concernées disposent de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient les données le concernant :
- un droit d’accès aux données[2]
- un droit de les rectifier[3]
- et enfin un droit de s’opposer à leur utilisation[4].
Le nouveau règlement européen vient renforcer l’ensemble de ces droits en exigeant des responsables de traitement la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.
L’expression du consentement, déjà présente en France depuis l’adoption de la Loi Informatique et Libertés, est précisément encadrée. Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.[5]
B) Le renforcement des droits reconnus par la loi Informatique et libertés
Le Règlement offre également un certain nombre de droits nouveaux aux utilisateurs afin de renforcer la protection de leurs données. En voici les principaux :
1) Création de la portabilité des données
Le Règlement européen consacre un droit nouveau en France et en Europe : celui de la portabilité des données. [6]
Selon ce nouveau texte de loi, une personne sera autorisée à récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers.
2) Renforcement de la protection des mineurs
Par ailleurs, la législation européenne comporte des dispositions spécifiques nouvelles pour les mineurs de moins de 16 ans.[7] L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, pouvant être aisément compris l’enfant, bien que son consentement doive être officiellement recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans.
3) La reconnaissance du droit à réparation
Malgré les protections établies par les textes, il arrive que certaines personnes regrettent d’avoir donné leur consentement suite à une utilisation dommageable de leurs données personnelles.
Afin donc de permettre à ces dernières de retirer et d’effacer leurs données, le règlement a introduit le principe des actions collectives. Il reconnaît désormais un droit à réparation à toute personne ayant subi un dommage matériel ou moral du fait d’une violation du nouveau règlement par le responsable du traitement ou d’un de ses sous-traitants. [8]
4) De nouvelles garanties au service de la confidentialité des données
En outre, une obligation de sécurité et de notification des violations de données personnelles est mise à la charge de tous les responsables de traitements. Ainsi, les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées. [9]
Lorsqu’il constate une violation, par un tiers, de données à caractère personnel, le responsable de traitement de ces données doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne. [10]
5) L’obligation de se conformer au nouveau règlement
En amont de la mise en œuvre d’un traitement de données à caractère personnel, les entreprises devront procéder à une analyse d’impact (PIA) pour mesurer le niveau de faisabilité de ce traitement au regard des obligations du RGPD.
C) Simplifier les démarches administratives et responsabiliser les entreprises
1) La fin des formalités préalables
Le règlement européen vise également à simplifier les démarches de toute entreprise et startup et à accroître la transparence des échanges entre les responsables du traitement des données et les autorités de contrôle nationales.
Ainsi, le règlement supprime la nécessité de formalités préalables auprès des autorités de contrôle.
Sauf exception, il ne sera donc bientôt plus nécessaire d’effectuer des déclarations ou des demandes d’autorisation préalable à la mise en place de traitements de données à caractère personnel.[11]
2) Création d’un Délégué à la Protection des données
Soucieux d’accroître la responsabilisation des acteurs responsables du traitement des données personnelles, le Règlement a institué l’obligation pour ces derniers de nommer un Délégué à la Protection des Données (le « Data Protection Officer »). Ce dernier aura pour mission d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi de contrôler le respect de la législation européenne, notamment en s’assurant qu’un registre des traitements de données est bien tenu en interne (en remplacement des formalités préalables à la CNIL). [12]
Le délégué, qui doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions », peut être un membre du personnel du responsable du traitement ou du sous-traitant, ou exercer ses missions sur la base d’un contrat de service.[13]
A titre d’exemple, le G29 estime que la géolocalisation des clients d’une chaine de fastfood à dimension internationale à des fins statistiques, ou le traitement des données des patients d’un hôpital obligent les entités concernées à désigner un délégué à la protection des données personnelles. [14]
Les avocats pourront devenir délégués à la protection des données personnelles.
Enfin, le RGPD prévoit la possibilité pour les entreprises d’être certifiées ou d’adhérer à des Codes de conduites pour valoriser leur gouvernance de protection des données.
III. Quels sont les risques ? Les sanctions ?
Les responsables de traitement, comme les sous-traitants, peuvent faire l’objet de sanctions administratives lourdes en cas de méconnaissance des dispositions du RGPD.
Déterminées par les autorités de contrôle, les sanctions pourront aller du simple avertissement à l’injonction de se mettre en conformité avec le nouveau texte européen. Enfin, une amende administrative pouvant atteindre 4% du chiffre d’affaires annuel du responsable de traitement fautif.
SYNTHESE DES SANCTIONS
IV. A retenir : les bons réflexes pour me préparer au RGPD
Le règlement général sur la protection des données personnelles repose sur une logique de responsabilisation et de transparence, alors que les obligations des organismes au regard de la loi informatique et libertés reposaient en grande partie sur les formalités préalables.
En pratique, cette notion nouvelle de responsabilité va notamment se traduire par :
1. La prise en compte de la protection des données dès la conception d’un service ou d’un produit ;
2. la mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées.
Ainsi, il est primordial d’effectuer les diligences suivantes, comme le recommande la CNIL[15] :
• « Réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
• Evaluer leurs pratiques et la mise en place des procédures (notification des violations de données, gestion des réclamations et des plaintes, etc.) ;
• Identifier les risques associés aux opérations de traitement et la prise en compte des mesures nécessaires à leur prévention ;
• Maintenir une documentation assurant la traçabilité des mesures. »
Un audit est fortement recommandé pour faire un état des lieux des traitements et préparer les outils à mettre en place avant le 25 mai 2018. Faites-vous conseiller pour votre mise en conformité avec les dispositions du nouveau règlement européen, afin d’éviter toute sanction future. Pour toutes question, contactez-nous : cb@bondard.fr.
Cet article a été co-rédigé par Maître Céline Bondard, fondatrice du cabinet Bondard avec la contribution de Maître Paul-Henry Derreumaux, avocat au sein du cabinet Bondard ;
Et par Maître Yaël Cohen-Hadria, Conseil spécialisé sur la protection des données, auprès du cabinet Bondard
[1] www.cnil.fr : « Règlement européen sur la protection des données : ce qui change pour les professionnels »
[2] Cons. const., 16 sept. 2010, n° 2010-25 QPC, Jean-Victor C. : JurisData n° 2010-030630
[3] Article 6 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[4] Article 38 – Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
[5] Article 7 du Règlement : « Conditions applicables au consentement »
[6] Article 20 du Règlement : « Droit à la portabilité des données »
[7] www.cnil.fr : « Règlement européen sur la protection des données : ce qui change pour les professionnels »
[8]Article 82 -1 du règlement : « Droit à réparation et responsabilité »
[9] Article 32 du Règlement : « Sécurité du traitement »
[10] Article 33 du règlement : « Notification à l’autorité de contrôle d’une violation de données à caractère personnel
[11]www.cnil.fr : « Règlement européen sur la protection des données : ce qui change pour les professionnels »
[12] Articles 37 à 39 du Règlement
[13] Article 37 du Règlement : « Désignation du délégué à la protection des données »
[14]www.cnil.fr : “Guidelines on Data Protection Officers (‘DPOs’)”
[15] www.cnil.fr : « Comment se préparer au règlement européen sur la protection des données ? »