Gérard HAAS & Laurent GOUTORBE

Cela fait maintenant plusieurs mois que tout le monde parle du règlement européen 2016/679 du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après REPD), comme étant un bouleversement juridique majeur.

Il convient de rappeler que contrairement à la Directive européenne n°95/46/CE sur la protection des données à caractère personnel qu’il remplace, le règlement européen est un acte général et obligatoire dans tous ses éléments, de sorte qu’il s’inscrit dans l’ordre juridique des États membres sans nécessiter d’acte de transposition.

[dt_call_to_action style= »1″ background= »plain » content_size= »normal » text_align= »left » animation= »none » line= »true »]TELECHARGEZ NOTRE LIVRE BLANC SUR LE RGPD[/dt_call_to_action]

Toutefois, peu d’acteurs ont pour l’heure pris la mesure de ces bouleversements et temporisent pour attendre que le G29, la CNIL et/ou le futur Comité européen de la protection des données (CEPD), ne viennent apporter des précisions sur certains changements majeurs annoncés par le texte. Et pourquoi se précipiter alors que l’entrée en application du Règlement européen est fixée le 25 mai 2018 ? Pourtant, les différents acteurs économiques traitant de la donnée, c’est-à-dire tout le monde, ont tout intérêt à anticiper cette entrée en application :

D’une part, pour être prêts le 25 mai 2018 et être en mesure de justifier à date de la conformité de leurs traitements
D’autre part, pour apporter des gages de confiance et de garantie à leurs clients et prospects, en utilisant cette mutation comme un levier de différenciation et d’avance concurrentielles
Enfin, adopter les grands principes de « privacy by default », « privacy by design », de « minimisation » et d’« accountability » consacrés par la nouvelle réglementation.

Ainsi, les responsables de traitements doivent prendre toutes les mesures organisationnelles et techniques pour protéger la vie privée et les données personnelles des personnes dont ils collectent et traitent des données.

Si la question du caractère obligatoire ou facultatif de la désignation d’un DPO se pose encore en fonction du type de traitements mis en œuvre, tout responsable de traitements devra tenir un registre des activités de traitement effectuées sous sa responsabilité, sauf en cas de traitement « occasionnel » (article 30 du REPD).

Ainsi, toute entreprise (qu’elle ait ou non désigné un DPO) devra être en mesure de présenter son registre à l’autorité de contrôle « chef de file » (la CNIL, par exemple) ; et ce dès le 25 mai 2018.

Ce registre devra contenir :

– le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du DPO ;
– les finalités du traitement ;
– une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
– les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
– le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;
– dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données ;
– dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles.

Pour être à même de pouvoir présenter un tel registre à date, les entreprises doivent dès à présent inventorier et cartographier les traitements mis en œuvre par leurs différents services et par d’éventuels sous-traitants.

D’ailleurs, dans une publication du 16 décembre dernier, la CNIL a ainsi recommandé aux entreprises d’établir cet inventaire préalablement à la prise de fonction du DPO.

Cela nécessitera a minima de réaliser un prédiagnostic de l’existant, voire de mener un audit général des traitements mis en œuvre.

Ces travaux d’inventaire préalable sont un travail indispensable à toute entreprise désireuse d’être « data compliance » dès lors que le RGPD sera applicable.

En effet, comment respecter les principes de privacy by design, de minimisation et d’accountability si les traitements ne sont pas, au préalable, inventoriés ? Comment présenter à la CNIL un registre conforme à l’article 32 du RGPD sans cartographier au préalable les traitements mis en œuvre ? Comment s’assurer de la conformité des traitements et mener des « études d’impact sur la vie privée » (EIVP ou PIA) si l’on ne connaît pas parfaitement les traitements ? Comment permettre au DPO de mener à bien les missions qui seront les siennes s’il ignore l’existence de tel ou tel traitement.

Le 25 mai 2018, c’est demain ; raison pour laquelle les entreprises doivent dès aujourd’hui inventorier de manière exhaustive les traitements de données à caractère personnel qu’elles mettent en œuvre ou qui sont mis en œuvre pour leur compte, en menant des diagnostics ou des audits de l’existant. Le temps presse…

Pour en savoir plus sur nos services d’audits Informatique et Libertés et d’assistance juridique de cartographie de traitements et de « data compliance », contactez le Cabinet HAAS Avocats ici.