Depuis le 25 mai 2018 le Reglement Européen sur la Protection des Donnees (RGPD) est applicable. De nombreuses formalités auprès de la CNIL ont disparues. En contrepartie, la responsabilité des organismes concernés est renforcée. Ils doivent assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité.
Pour assurer une gestion conforme des données personnelles de votre structure, il est fortement conseillé de désigner une personne responsable qui exerce une mission d’information, de conseil et de contrôle en interne : le Délégué à la Protection des Données (DPO).
Cette personne sera chargée de s’assurer de la mise en conformité au règlement européen. Ce DPO constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Qu’elles sont les obligations imposées par ce Règlement Européen sur la Protection des Données (RGPD) et comment procéder pour garantir une mise en conformité et éviter les sanctions prévues.
- Les nouvelles obligations pour les structures
- Garantir les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données, gestion des réclamations et des plaintes
- Etablir un registre des activités de traitement imposé à de nombreuses entreprises
- Mener une étude d’impact sera obligatoire dans de nombreux cas, elle permet de documenter les mesures de sécurité imposées au responsable de traitement, mais aussi de respecter les principes de privacy by design et by default.
- Désigner un Délégué à la Protection des Données (DPO) qui est obligatoire dans de nombreux cas. La personne doit avoir les compétences et l’indépendance requise pour assumer la mission de contrôle de la conformité juridique des traitements. Cette mission peut être externalisée.
- Notifier les failles de sécurité dans les 72h : à l’autorité de contrôle ainsi qu’à la personne concernée si elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique
- Tenir un registre d’activités de traitement
Ce RPGD impose que chaque donnée personnelle traitée soit recensée au sein d’un registre des traitements qui doit contenir :
- le nom et les coordonnées de chaque client, prospect, fournisseur ou partenaire pour le compte duquel des données sont traitées
- les objectifs de ces traitements de données
- l’origine et la sensibilité des données traitées,
- l’estimation du nombre de personnes concernées,
- l’existence ou non de sous-traitance,
- la transmission des données à des destinataires,
- le nom et les coordonnées de chaque responsable de traitement et sous-traitant
- le nom et les coordonnées du DPO (s’il y en a un)
- les catégories de traitements effectués pour le compte de chaque client, prospect, fournisseur ou partenaire
- les transferts de données hors UE effectués (s’ils existent)
- une description générale des mesures de sécurité techniques et organisationnelles mises en place.
- Le principe de responsabilisation
Le RGPD développe une approche pratique en matière de protection des données personnelles.
La loi informatique et libertés avait un caractère déclaratif, le RGPD s’appuie sur une approche de responsabilisation des entités traitant des données qu’il s’agisse d’entreprises ou d’entités publiques responsables de traitements mais également de fournisseurs de solutions informatiques permettant la mise en œuvre effective de ces traitements.
Le principe de responsabilisation imposée par le RGPD a pour but de renforcer les obligations existantes et d’en créer de nouvelles.
- Les sanctions en cas de non mise respect des dispositions du RGPD
Jusqu’à présent la loi informatique et libertés n’avait pas été appliquée par les entreprises et les sanctions, trop faibles, ne se sont révélées ni dissuasives ni efficaces.
C’est la raison pour laquelle le règlement dispose que, les amendes prononcées en cas d’infraction aux règles applicables devront être : « effectives, proportionnées et dissuasives ».
En fonction des violations, le RGDP relève le plafond des sanctions pécuniaires.
Une sanction de 10 millions d’euros ou égale à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent s’appliquera à une première série de « violations » à savoir : manquements du responsable de traitement et des sous-traitants aux obligations qui leur sont imposées au titre de la protection des données, de l’analyse d’impact, du délégué à la protection des données, du registre des activités de traitement, de l’information des personnes concernées et de la sécurité des données personnelles.
Ce montant sera porté à 20 millions d’euros, ou, dans le cas d’une entreprise, un plafond correspondant à 4% du chiffre d’affaires annuel mondial s’appliquera à une seconde série de « violations » considérées comme particulièrement graves (RGPD art. 83.5) à savoir notamment, les manquements aux « principes de base d’un traitement » (licéité, traitement des données sensibles, etc.), ainsi qu’aux dispositions portant sur le droit des personnes concernées et le transfert de données personnelles vers les pays tiers.
- La désignation d’un Délégué à la Protection des Données
Dépassant de loin les fonctions des Correspondants Informatique et Libertés (CIL), le DPO a vocation à se généraliser grâce à ce texte. Facultatif dans certains cas, obligatoire dans d’autres, le DPO constitue en effet une nouvelle fonction à intégrer dans l’organisation des entreprises comme des entités publiques.
La désignation d’un délégué à la protection des données est obligatoire en 2018 si :
- vous êtes un organisme public,
- vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et à des infractions.
Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne, disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
- Quelles sont les missions d’un DPO ?
Les missions du DPO sont fixées à l’article 39 du RGPD qui prévoit que ses missions couvrent à minima les points suivants :
- Etablir la cartographie des traitements
- Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données (consentement de la personne, intérêt légitime, contrat, obligation légale)
- Contrôler le respect du droit en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant
- Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 du RGPD
- Coopérer avec l’autorité de contrôle
- Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet.
Bien que non exhaustive, cette liste permet d’appréhender l’ampleur de la tâche et les difficultés pour atteindre les objectifs de conformité et optimiser, en toute sécurité, l’activité digitale de la structure.
Cette démarche de conformité est une nécessité, elle doit conduire à établir un dialogue permanent avec chaque département de l’entreprise concerné.
Le Cabinet d’Avocat Mizrahi est à votre disposition pour mettre en place la définition des enjeux, la cartographie des traitements, l’établissement des registres, l’externalisation de la fonction DPO, la mise en place d’études d’impact etc…
Nos solutions sur-mesure s’adaptent à votre organisation dans une double logique de souplesse et d’efficacité.