En prévision de l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD) le 25 mai 2018, voici les 5 points clés pour vous mettre en conformité.
1. La tenue d’un registre d’activités de traitement
Avec le RPGD, chaque donnée personnelle traitée doit être recensée au sein d’un registre des traitements. Que doit contenir ce registre lorsque vous êtes responsable de traitement ?
- le nom et les coordonnées de chaque sous-traitant et destinataire
- les objectifs de ces traitements de données
- le nom et les coordonnées de chaque responsable de traitement et sous-traitant
- le nom et les coordonnées du DPO (s’il y en a un)
- les catégories de traitements effectués pour le compte de chaque client, prospect, fournisseur ou partenaire
- les transferts de données hors UE effectués (s’ils existent)
- une description générale des mesures de sécurité techniques et organisationnelles mises en place.
Lorsque vous êtes sous-traitant, vous devez également tenir un registre spécifique recensant toutes les activités de traitements que vous effectué pour le compte de chaque client.
2. Les nouvelles obligations pour le responsable de traitement
- Garantir les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données
- Notifier les failles de sécurité dans les 72h : à l’autorité de contrôle ainsi qu’à la personne concernée si elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique
- Etablir un registre des activités de traitement qui sera imposé à de nombreuses entreprises
- Désigner un DPO qui sera obligatoire dans de nombreux cas. La personne adéquate pour assumer ce rôle, compte tenu des compétences et de l’indépendance requise, notamment pour assumer la mission de contrôle de la conformité juridique des traitements, risque d’être difficile à trouver, heureusement, cette fonction peut être externalisée.
- Mener une étude d’impact sera obligatoire dans de nombreux cas, elle permettra de documenter les mesures de sécurité imposées au responsable de traitement, mais aussi de respecter les principes de privacy by design et by default.
3. Le principe d’Accountability
La logique du RGPD développe une approche pragmatique en matière de protection des données personnelles.
Abandonnant la logique déclarative issue de la loi informatique et libertés, le RGPD s’appuie sur une responsabilisation (accountability) des acteurs traitant des données qu’il s’agisse d’entreprises ou d’entités publiques responsables de traitements mais également de fournisseurs de solutions informatiques permettant la mise en œuvre effective de ces traitements.
Lorsque l’on compare le million et demi de formalités préalables accomplies auprès de la CNIL depuis 1979 aux 3.5 millions de PME que comptait déjà la France en 2012 [1], force est de constater que peu d’entreprises étaient sensibilisées à l’obligation de déclarer leurs traitements !
Disons-le, une forme de pratique «pas vu / pas pris » s’est généralisée en dehors des secteurs sanctionnés par la CNIL ayant eu un fort écho médiatique.
La logique d’accountability ou de responsabilisation imposée par le RGPD a précisément pour objet de transformer cet état de fait en axant sa démarche, d’une part sur le renforcement des obligations existantes et, d’autre part, sur la création d’obligations nouvelles.
4. Les sanctions en cas de non mise en conformité
A. Des sanctions financières
Le caractère non dissuasif et disparate des sanctions prononcées par les autorités de contrôle était depuis fort longtemps décrié.
L’amende maximale de 150 000€ prononcée par la CNIL à l’égard de la société Google a été médiatisée sans pour autant contraindre le géant américain à infléchir sa politique en matière de protection des données personnelles ou à dissuader les autres GAFA (acronyme qui désigne Google Amazon Facebook Apple). C’est sans doute la raison pour laquelle les institutions européennes ont tenu à faire figurer dans le règlement que les amendes prononcées en cas d’infraction aux règles applicables doivent être « effectives, proportionnées et dissuasives [2]».
En fonction des violations, le RGDP relève le plafond des sanctions pécuniaires.
- Un montant de 10 millions d’euros ou correspondant à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent [3] s’appliquera à une première série de « violations ». Il s’agit des manquements du responsable de traitement et des sous-traitants aux obligations qui leur sont imposées au titre de la protection des données, de l’analyse d’impact, du délégué à la protection des données, du registre des activités de traitement, de l’information des personnes concernées et de la sécurité des données personnelles.
- Un montant de 20 millions d’euros, ou, dans le cas d’une entreprise, un plafond correspondant à 4% du chiffre d’affaires annuel mondial s’appliquera à une seconde série de « violations » considérées comme particulièrement graves [4] (RGPD art. 83.5). Ce sont notamment, les manquements aux « principes de base d’un traitement » (licéité, traitement des données sensibles, etc.), ainsi qu’aux dispositions portant sur le droit des personnes concernées et le transfert de données personnelles vers les pays tiers.
B. Des risques de perte de chiffre d’affaires et de compétitivité
En plus des sanctions financières et de l’atteinte à la réputation de l’entreprise (voir le cas Facebook), la violation des dispositions du RGPD affecte directement le chiffre d’affaires de l’entreprise et sa compétitivité. Dans un contexte de concurrence internationale, le manque de protection accordé aux données personnelles dévalorise le patrimoine de l’entreprise qui les détient.
Un client qui verrait ses données personnelles exploitées par des tiers non-autorisés en raison d’une faille de sécurité dans le système informatique de l’entreprise serait tenté de se tourner vers des concurrents plus respectueux du droit.
A terme, cette fuite de la clientèle se répercuterait directement sur le chiffre d’affaires de l’entreprise et fragiliserait ainsi sa prospérité.
Le respect du RGPD ne doit donc pas être perçu comme une contrainte mais comme un vecteur de confiance et d’adhésion.
5. La désignation d’un DPO
Dépassant de loin les fonctions des Correspondants Informatique et Libertés (CIL), le DPO a vocation à se généraliser grâce à ce texte. Facultatif dans certains cas, obligatoire dans d’autres, le DPO constitue en effet une nouvelle fonction à intégrer dans l’organisation des entreprises comme des entités publiques.
- Quelles sont les missions d’un DPO ?
Les missions du DPO sont fixées à l’article 39 du RGPD. Cet article prévoit ainsi que les missions confiées au Délégué à la Protection des Données couvrent a minima les points suivants :
- Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de protection des données
- Contrôler le respect du droit en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant en matière de protection des données à caractère personnel, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant
- Dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci en vertu de l’article 35 du RGPD
- Coopérer avec l’autorité de contrôle
- Faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l’article 36, et mener des consultations, le cas échéant, sur tout autre sujet
Bien que non exhaustive, cette liste permet d’appréhender l’ampleur de la tâche et le chemin à parcourir pour atteindre les objectifs de conformité et avec eux envisager un développement optimum de son activité digitale.
Car le sujet est bien là : que l’on veuille pérenniser son activité digitale ou assurer une transition digitale maîtrisée, la démarche de conformité est une nécessité. Cette démarche doit conduire à placer le juridique au cœur du dispositif de gouvernance en établissant un dialogue constant avec chaque département (DSI, DRH, Direction marketing etc.)
C’est dans ce contexte que le Cabinet HAAS, fort de près de 20 ans d’expérience dans l’environnement digital et de sa triple labélisation CNIL intervient auprès de ses clients.
Définition des enjeux, cartographie des traitements, établissement des registres, externalisation de la fonction DPO, mise en place d’études d’impact etc. nos solutions sur-mesure s’adaptent à votre organisation dans une double logique de souplesse et d’efficacité.
Vous souhaitez en savoir plus sur notre offre « Data Compliance » ?
Cliquez ICI
[1] https://www.economie.gouv.fr/cedef/chiffres-cles-des-pme
[2] (RGPD; article 83)
[3] (RGPD article 83.4)