01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

#RGPD : vos obligations avant/après

RGPD obligation responsable de traitement

Par Jean-Philippe SOUYRIS et Stéphane ASTIER

 

 

La logique du Règlement général pour la Protection des Données (RGPD), qui entrera en vigueur le 25 mai prochain développe une approche pragmatique en matière de protection des données personnelles.

Abandonnant la logique déclarative issue de la loi informatique et libertés, le RGPD s’appuie sur une responsabilisation (accountability) des acteurs traitant des données qu’il s’agisse d’entreprises ou d’entités publiques responsables de traitements mais également de fournisseurs de solutions informatiques permettant la mise en œuvre effective de ces traitements.

Lorsque l’on compare le million et demi de formalités préalables accomplies auprès de la CNIL depuis 1979 aux 3.5 millions de PME que comptait déjà la France en 2012 https://www.economie.gouv.fr/cedef/chiffres-cles-des-pme , force est de constater que peu d’entreprises étaient sensibilisées à l’obligation de déclarer leurs traitements !!

Disons-le, une forme de pratique « pas vu / pas pris » s’est généralisée en dehors des secteurs sanctionnés par la Cnil ayant eu un fort écho médiatique (https://www.haas-avocats.com/data/gdpr-comment-sensibiliser-direction/).

La logique d’accountability ou de responsabilisation imposée par le RGPD a précisément pour objet de transformer cet état de fait en axant sa démarche, d’une part sur le renforcement des obligations existantes (I.), et, d’autre part, sur la création d’obligations nouvelles (II.).

A bien y regarder, loin de constituer une nouvelle réglementation européenne obscure venant peser sur l’économie sous couvert de protection de la vie privée des personnes, le RGPD ouvre de nouvelles pistes de développements : valoriser ses données, renforcer la confiance de ses clients et partenaires, sécuriser son patrimoine informationnel, définir les bonnes pratiques de gouvernance en sont des exemples.

[dt_default_button link= »https://www.haas-avocats.com/livre-blanc-rgpd-le-role-du-dpo-le-delegue-a-la-protection-des-donnees/ » button_alignment= »default » animation= »fadeIn » size= »medium » default_btn_bg_color= » » bg_hover_color= » » text_color= » » text_hover_color= » » icon= »fa fa-chevron-circle-right » icon_align= »left »]DPO : Quel est le rôle du Délégué à la protection des données ? Découvrez notre livre blanc RGPD et DPO[/dt_default_button]

 

1/ Un renforcement des obligations du responsable de traitement

Les obligations maintenues :

  • Respect du Principe de finalité : vos traitements doivent avoir un but précisément défini
  • Respect du principe de proportionnalité qui deviendra le principe de minimisation : seules les données nécessaires à la finalité doivent être traitées.
  • Limitation de la durée de conservation des données.
  • Obligation d’information des personnes : qu’il s’agisse d’un formulaire de collecte, de l’exécution d’un contrat, ou de vos salariés, les personnes concernées par vos traitements de données doivent être informées de la finalité, des données collectées, de leurs destinataires, de leur durée de conservation, des droits qu’elles détiennent sur ces données…

Les obligations préexistantes renforcées

  • Encadrer des transmissions de données : les transmissions de données à vos sous-traitants devront être encadrées par un contrat prévoyant les garanties de sécurité et de confidentialité imposées à ce dernier, qui ne pourra pas recruter un autre sous-traitant sans votre accord préalable.
  • Assurer la sécurité du traitement : vous devrez prendre les mesures de sécurité techniques et organisationnelles appropriées compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, du traitement ainsi que des risques pour les droits et libertés des personnes physiques.
  • Garantir les droits des personnes : vous devrez répondre dans un délai d’un mois aux personnes concernées qui souhaitent faire valoir leurs droits sur leurs données.
  • Recueillir du consentement : le consentement bénéficie d’une nouvelle définition, il devra être libre, spécifique, éclairé et univoque

2/ La création de nouvelles obligations à la charge du responsable de traitement

  • Garantir les nouveaux droits des personnes concernées : droit à l’effacement, droit à la limitation du traitement, droit à la portabilité des données
  • Notifier les failles de sécurité dans les 72h : à l’autorité de contrôle ainsi qu’à la personne concernée si elle est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique,
  • Etablir un registre des activités de traitement qui sera imposé à de nombreuses entreprises
  • Désigner un DPO qui sera obligatoire dans de nombreux cas. La personne adéquate pour assumer ce rôle, compte tenu des compétences et de l’indépendance requise, notamment pour assumer la mission de contrôle de la conformité juridique des traitements, risque d’être difficile à trouver, heureusement, cette fonction peut être externalisée.
  • Mener une étude d’impact sera obligatoire dans de nombreux cas, elle permettra de documenter les mesures de sécurité imposées au responsable de traitement, mais aussi de respecter les principes de privacy by design et by default.

 

Bien que non exhaustive, cette liste permet d’appréhender l’ampleur de la tâche et le chemin à parcourir pour atteindre les objectifs de conformité et avec eux envisager un développement optimum de son activité digitale.

Car le sujet est bien là : que l’on veuille pérenniser son activité digitale ou assurer une transition digitale maîtrisée, la démarche de conformité est une nécessité. Cette démarche doit conduire à placer le juridique au cœur du dispositif de gouvernance en établissant un dialogue constant avec chaque département (DSI, DRH, Direction marketing etc.)

[dt_default_button link= »https://www.haas-avocats.com/e-marketing-protection-des-donnees-que-dit-le-rgpd/ » button_alignment= »default » animation= »fadeIn » size= »medium » default_btn_bg_color= » » bg_hover_color= » » text_color= » » text_hover_color= » » icon= »fa fa-chevron-circle-right » icon_align= »left »]Livre blanc RGPD et E-marketing : quelles pratiques adopter ?[/dt_default_button]

C’est dans ce contexte que le Cabinet HAAS, fort de près de 20 ans d’expérience dans l’environnement digital et de sa triple labélisation CNIL intervient auprès de ses clients.

Définition des enjeux, cartographie des traitements, établissement des registres, externalisation de la fonction DPO, mise en place d’études d’impact etc. nos solutions sur-mesure s’adaptent à votre organisation dans une double logique de souplesse et d’efficacité.

Vous souhaitez en savoir plus sur notre offre « Data Compliance » ?

Cliquez ICI

 

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com