REGLEMENT GENERAL EUROPEEN SUR LA PROTECTION DES DONNEES (RGPD) : PREPAREZ-VOUS !
Le règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD » ou en anglais « GDPR ») entre en application à compter du 25 mai 2018.
Dans une optique d’harmonisation européenne et de renforcement de la législation actuellement en vigueur, le RGPD renforce les obligations incombant aux organismes privés et publics en matière de collecte et de traitement de données à caractère personnel.
- A qui s’appliquent les nouvelles dispositions du RGPD ?
Dès le 25 mai 2018, le RGPD s’appliquera :
- A l’entreprise responsable du traitement ou au sous-traitant qui collecte et traite des données personnelles « dans le cadre de son activité» et dont l’établissement est situé sur le territoire de l’Union Européenne, quel que soit le lieu de réalisation du traitement concerné (dans ou hors Union) ;
- A tout responsable du traitement ou sous-traitant non établi au sein de l’Union Européenne, dont les traitements visent des résidents européens et sont liés à une offre de biens ou de services faite à ces derniers ou au suivi du comportement de ces personnes au sein de l’Union Européenne (« profilage »).
Le RGPD concerne non seulement les futurs traitements de données à caractère personnel mais également les traitements en cours lors de son entrée en application. En cas de violation de ces dispositions européennes, des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, lorsqu’une entreprise est concernée, à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent pourront être prononcées.
- RGPD : 9 points à retenir
- Le traitement de données à caractère personnel doit s’effectuer de manière licite, loyale et transparente.
- Le consentement des personnes. Le RGPD impose aux responsables des traitements de fournir aux personnes concernées une information claire, transparente et exhaustive, lors de la collecte de leurs données personnelles, s’agissant notamment de leurs droits afférents à leurs données et des finalités de traitement desdites données. Lorsque le traitement de données est fondé sur le consentement, ce dernier doit être explicite et positif, c’est-à-dire résulter d’une action de la personne, et être donné pour une ou plusieurs finalités données – à charge pour le responsable du traitement d’en rapporter la preuve, le cas échéant.
- Le renforcement des droits des titulaires de données à caractère personnel. Aux termes du RGPD, les personnes disposent de nouvelles prérogatives : le droit à l’effacement des données, le droit à la limitation de leur traitement, le droit de s’opposer à tout moment au traitement de ses données à des fins de prospection, et le droit à la portabilité des données personnelles.
- Les mineurs de moins de 16 ans. Le régime de protection est d’autant plus renforcé à l’égard des mineurs de moins de 16 ans : le consentement du titulaire de la responsabilité parentale est impératif afin que le traitement des données le concernant soit licite.
- Les concepts de « Privacy by Design » et « Privacy by default ». Le premier impose aux organismes de collecte et de traitement des données de prévoir, dès la conception de leurs systèmes d’exploitation et de leurs offres de produits et/ou services, les mesures de sécurité appropriées et nécessaires à la protection des données. Le principe de responsabilisation (« accountability ») leur impose d’être en mesure de prouver la conformité de leurs systèmes au RGPD. Le concept « Privacy by default » exige que seules les données personnelles nécessaires aux finalités de traitement déterminées soient effectivement traitées.
- La notification de tout incident de sécurité. Le responsable d’un traitement a l’obligation de notifier, dans les meilleurs délais, à l’autorité de contrôle nationale toute brèche dans la sécurité de son système impliquant une fuite des données. Toute violation de données à caractère personnel doit également être communiquée à la personne qui en est titulaire, lorsque cette violation conduit à causer « un risque élevé» pour ses droits et libertés.
- L’analyse d’impact de tout traitement à risque pour les droits et libertés des personnes physiques concernées.
- La tenue d’un registre des traitements. Le RGPD impose aux organismes de collecte de données ayant plus de 250 salariés d’établir et de tenir à jour un registre des traitements. La tenue d’un registre à jour est dans tous les cas fortement recommandée puisqu’elle permettra, le cas échéant, de respecter auprès de la CNIL le respect des obligations RGPD. A noter : les obligations de déclarations auprès de la CNIL sont supprimées.
- La nomination d’un Délégué à la Protection des Données (ou Data Protection Officer). Obligatoire dans certaines hypothèses, sa nomination est fortement recommandée puisqu’il est en charge de veiller au respect du RGPD et à sa mise en conformité au sein de la structure pour laquelle il a été désignée, et de faire le lien avec l’autorité de contrôle ainsi qu’avec les personnes concernées par la collecte et le traitement des données.
Toute entreprise et, plus généralement, tout opérateur économique est donc tenu d’ici le 25 mai 2018 de mettre en place les actions de mise en conformité au RGPD et, en priorité, de faire la cartographie des données personnelles collectées.
Notre cabinet vous accompagne dans ces démarches. Pour plus d’informations, contactez Me Jeannie MONGOUACHON.