• 16 rue Breteuil, 13001 MARSEILLE
  • +33 (0) 6.58.68.53.35
  • contact@jodeau-avocat.com

Règlement sur les données personnelles – quels changements ?

Règlement sur les données personnelles – quels changements ?

Quelles sont les obligations issues du règlement général européen sur la protection des données personnelles (RGDP/GDPR) entrées en vigueur le 25 mai 2018 ?

Ceux qui n’ont pas entendu parler du Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) du 27 avril 2016 devaient probablement vivre dans une grotte très reculée !

Ce règlement vient renforcer les règles de protection des données personnelles collectées par les organisations privées et publiques et est entré en vigueur le 25 mai 2018.

Ce règlement est rendu applicable à toutes les organisations privées ou publics qui sont implantées ou ayant une activité dans l’Union Européenne et ou dès lors qu’un résident de l’UE est concerné par un traitement de données personnelles.

Pour rappel, une donnée personnelle est toute information qui, directement ou indirectement, permet l’identification d’une personne physique (nom, prénoms, numéro de téléphone, numéro de sécurité sociale, adresse, adresse IP…).

Les traitements de ces données doivent être entendu de manière large. Il s’agit de toute opération qui a pour objet une donnée personnelle (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission diffusion ou toute autre forme de mise à disposition, rapprochement…).

Ainsi, les fichiers de ressources humaines d’une société sont tout autant concernés que les fichiers prospects ou clients.

Voici les deux grandes lignes directrices du règlement :

  • La suppression des déclarations auprès de la CNIL : cette suppression est certes un soulagement administratif pour les entreprises mais il n’est pas sans contrepartie. Par ailleurs certaines formalités vont demeurer (demande d’avis pour les secteurs police/justice, demande d’autorisation pour certains traitements de données de santé…)
  • Une responsabilité accrue des acteurs : Moins de formalités, mais plus de responsabilité pour les sociétés, les administrations, les associations et mêmes les sous-traitants. Ils doivent donc être en mesure de prouver à tout moment qu’ils sont en conformité ce qui implique la mise en place d’outils, de documentation et de procédures permettant la preuve de cette conformité.

La mise en conformité va évidemment dépendre du niveau d’importance et d’utilisation des données personnelles pour votre activité.

Plusieurs étapes seront nécessaires pour s’assurer d’être conforme à la réglementation. La CNIL en a dessiné plusieurs pour aider les entreprises à se lancer dans ce projet plus ou moins fastidieux selon les cas. Il s’agit de la méthode en 6 étapes :

  1. Désignation d’un pilote (DPO = Data Protection Officer ou DPD = délégué à la protection des données). Cette personne peut être une personne de l’entreprise suffisamment indépendante vis-à-vis des autres directions pour pouvoir assurer une gestion efficace et impartiale.
  2. Cartographie des traitements. Il s’agit là de recenser les différents traitements des donnés personnelles afin de pouvoir avoir une vue précise de votre situation et de permettre l’élaboration d’un registre des traitements.
  3. Priorisation des actions. La mise en conformité ne se fera pas en un jour et nécessite de déterminer les actions prioritaires en fonction des risques.
  4. Analyse d’impact sur la protection des données (PIA). Ce PIA vise à analyser les données à traiter et doit être fait avant la mise en place du traitement lorsque des risques élevés sont détectés.
  5. Organisation. Il s’agit de mettre en place des procédures adaptées en interne pour assurer le suivi de la protection des données.
  6. Documentation. La mise en place d’une documentation sera nécessaire pour la démonstration de votre mise en conformité. Chaque action doit faire l’objet d’un document actualisable.

 

Quelles sont les sanctions ? Cette question se posera naturellement dans une logique de gestion des risques. La réglementation est venue considérablement renforcer les possibilités de sanction en cas d’infraction :

  • Action personnelle ou de groupe pouvant donner lieu à des dommages et intérêts.
  • Sanctions pénales pouvant aller jusqu’à 1.500.000 euros.
  • Sanction administratives comprises entre 10 et 20 millions d’euros ou 2 à 4% du chiffre d’Affaires annuel consolidé.

 

Au-delà des sanctions, il est clair que les entreprises qui ne sont pas conformes risqueront également d’altérer considérablement leur image auprès du public et surtout de leurs utilisateurs ou clients. FACEBOOK en est un exemple récent.

Nous nous tenons à votre disposition, avec nos partenaires en sécurité informatique, pour vous accompagner juridiquement et techniquement dans votre en mise en conformité.

Cabinet JODEAU AVOCAT

À propos de l’auteur

Jean Jodeau administrator