Applicabilité du RGPD le 25 mai 2018

Le Règlement Général sur la Protection des Données (RGPD) sera applicable le 25 mai 2018. Issu du règlement européen 2016/379 du 24 mai 2016 relatif à la protection des personnes physiques à l’égarddu traitement des données à caractère personnel et à la libre circulation de ces données, il s’applique à tout organisme qui met en œuvre un traitement de données personnelles et qui est établi sur leterritoire de l’UE.

La CNSA a consulté un cabinet spécialisé pour obtenir les meilleurs éclaircissements, voici le résumé de cette consultation. Si vous en manifestez le besoin, nous pourrons organiser une journéed’information sur le thème, avec l’intervention de notre cabinet d’avocat.

Les objectifs et modalités de cette réglementation:

La protection des données numériques est devenue un enjeu capital à l’heure des évolutionstechnologiques. Le RGPD a pour objectifs de moderniser le cadre législatif, de l’harmoniser à l’échelle communautaire et de renforcer la protection de la vie privée des citoyens de l’Union.
Avec le RGPD, il appartient dès lors aux responsables du traitement des données à caractère personnel des citoyens de prouver leur conformité au Règlement, concernant par exemple l’information des personnes au moment de la collecte des données, le respect de la confidentialité des données, la prise en compte des demandes par les personnes de l’exercice de leurs droits etc.

En contrepartie, le contrôle en amont du recueil et du traitement des données sera allégé. Ainsi, à partir du 25 mai, lesformalités requises pour la mise en œuvre d’un traitement des données auprès de la CNIL disparaîtront, hormis certains traitements présentant un risque élevé pour les personnes.

Pour information, les traitements mis en œuvre avant le 25 mai 2018 et qui ont obtenu uneautorisation de la CNIL ne nécessiteront pas de nouveau consentement de la personne concernée. Néanmoins, il est conseillé de revoir les procédures des traitements en cours pour veiller à ce que leurmise en œuvre ne contrevienne pas aux dispositions du nouveau Règlement.

Les nouvelles règles pour renforcer la protection des données personnelles

1)  des exigences renforcées au moment du recueil des données ;

2)  une information plus poussée des personnes sur les risques encourus ;

3)  de nouvelles obligations pour le responsable du traitement ;

4)  des obligations renforcées pour le responsable du traitement quand il fait appel à un sous-traitant ;

5)  des obligations renforcées au niveau de la sécurisation des données (ex: signalerobligatoirement aux autorités compétentes en cas de violation des données) ;

6)  des sanctions renforcées en cas de non-respect des dispositions du Règlement.

Les obligations qui incombent au responsable de traitement

– En matière de recueil du consentement

Le responsable du traitement devra informer de manière plus approfondie les personnes concernées par la collecte de leurs données. Ainsi, il devra décliner son identité, informer de la finalité du traitement de ces données et des intérêts poursuivis, préciser aux personnes quels sont les droits dont elles bénéficient, les informer en cas de transfert des données vers un pays hors UE, et enfin indiquer la durée de conservation des données, les éventuels destinataires et la base juridique du traitement. Le consentement au traitement des données personnelles devra pouvoir être démontré par le responsable.

– En matière de protection des données

Le responsable a une obligation de transparence à l’égard des personnes concernées. La protection des données devra être assurée dès la conception du traitement (Privacy by design) ; elle devra également garantir que seules les données nécessaires seront traitées (Privacy by default).
En cas de sous-traitance, de nouvelles obligations seront imposées au responsable et au sous-traitant, qui devront signer un contrat les obligeant.

– Le registre des traitements

Ce registre permet de consigner tous les traitements mis en œuvre au sein de l’entreprise. Il recense les données collectées, la finalité du traitement, les mesures de sécurité, les destinataires des données. Il n’est pas obligatoire de tenir un tel registre pour les entreprises de moins de 250 employés sous certaines conditions : ne pas mettre en œuvre de traitement comportant un risque pour les droits et libertés des personnes, de traitement sur les données sensibles ni de traitement de suivi régulier.

Les nouveaux droits des personnes

Si les citoyens bénéficient déjà des droits d’accès, de rectification et d’opposition, le RGPD leur octroie des droits supplémentaires : le droit à l’effacement (dit encore droit à l’oubli), le droit à la limitation du traitement et à la portabilité des données.
De plus, le responsable du traitement devra répondre dans un délai d’un mois maximum à la demandede la personne (à ce jour, le délai est de deux mois).

Les éventuelles sanctions encourues

En cas de non-respect des dispositions du RGPD, le responsable encourt une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires de l’entreprise ou du groupe propriétaire de l’entreprise (20 millions d’euros ou 4% du chiffre d’affaires pour les manquements les plus graves). En France, l’autorité de contrôle est la CNIL. Elle pourra prononcer elle-même les sanctions sans recourir à un tribunal.

La Chambre vous conseille de vous rapprocher de vos prestataires en informatique afin de connaître les dispositions prises.