La Réglementation Générale sur la Protection des Données (RGPD)

Par Jean-Marin LEROUX-QUETEL
Docteur en droit
Avocat associé

Mise à jour du 26 avril 2018


Le règlement CE no 2016/679, dit « Règlement Général sur la Protection des Données (ou RGPD) constitue le texte de référence en matière de protection des données à caractère personnel.

90651103_blog

Il s’impose à tous les professionnels collectant ce type de données.

Sont des données à caractère personnel toutes les informations  relative à une personne physique identifiée ou identifiable. Ce sont par exemple le nom, le prénom et la photographie du visage, mais aussi les date et lieu de naissance, l’adresse du domicile, l’adresse électronique, l’adresse IP, le pseudonyme ou le numéro de téléphone, autant d’éléments qui peuvent être reliés à la personne par le recoupement d’informations que facilite le traitement automatisé des données.

Ce recoupement d’informations permet de constituer d’importantes bases de données dont l’existence fait craindre une atteinte aux libertés individuelles soit directement par l’entreprise collectrice, soit par un cessionnaire des données collectées ou encore du fait d’un piratage par un tiers desdites données.

L’objet du RGPD est de mettre en place à l’échelle de l’Union Européenne des mécanismes de protection des données individuelles.

A compter du 25 mai 2017, la Commission Nationale de l’Informatique et des Libertés (CNIL) en contrôlera le respect. Les sanctions peuvent être très lourdes (jusqu’à 4% du chiffre d’affaires annuel).

Je résumerai le règlement en trois objectifs : transparence, proportionnalité et sécurité.

La transparence repose sur une première idée simple : tout individu auprès de qui des données personnelles sont susceptibles d’être collectées doit être informé de l’existence de cette collecte mais également de son étendue ainsi que l’usage auquel elle est destinée de manière à ce qu’il y consente le cas échéant de manière éclairée.

La proportionnalité découle d’une seconde idée aussi simple et de bon sens : les données collectées doivent être en adéquation avec le but légitime poursuivi par l’entité collectrice. Il s’agit d’éviter la constitution de bases de données contenant des informations nominatives sans rapport avec le but poursuivi.

La sécurité des données collectées est le dernier élément de protection : il s’agit de s’assurer que les informations ne peuvent être acquises illégalement par un tiers. Il s’agit donc de s’assurer que des moyens suffisants sont mis en oeuvre pour éviter le piratage. Plus les données sont sensibles, plus les moyens doivent être importants.

Ce que la loi nouvelle impose aux entités collectrices, c’est de mettre en place des procédures internes tendant au respect de ces trois objectifs, mise en place dont il doit être justifié en cas de contrôle de la CNIL, avec dans certaines hypothèses l’obligation de désigner un Délégué à la Protection des Données (ou DPO).

La désignation d’un DPO est obligatoire lorsque l’activité de l’entreprise oblige à un suivi à grande échelle, régulier et systématique des personnes (par exemple les activités de transports ou bancaires) ou à traiter à grande échelle des données dites sensibles (données médicales, orientations sexuelles, convictions religieuses, etc.).

Le rôle du DPO est exprimé dans son intitulé : assurer la protection des données dans l’entité collectrice.

Ce peut être un salarié de l’entreprise ou une personne extérieure.

Faire appel à BLP AVOCATS :

35164605_blog

Notre Cabinet peut être ce délégué à la protection des données avec les garanties que confère le statut de l’avocat dont l’indépendance et le bénéfice du secret professionnel.

Nous assurerons à ce titre le lien entre la CNIL etvotre entreprise ainsi que sa communication avec les tiers s’agissant de la protection des données (l’identité du DPO doit figurer sur le site web de l’entreprise).

En tant que DPO, notre Cabinet assure une permanence vous assurant 365 jours par an, 7 jours sur 7, un accompagnement en cas de d’urgence pour gérer au mieux un incident majeur.

Voir notre politique de confidentialité

La désignation d’un DPO, lorsqu’elle est facultative, est recommandée : c’est un gage de sérieux vis-à-vis des clients et partenaires de l’entreprise.

Ne voyez par le RGPD comme une contrainte supplémentaire imposée aux professionnels mais comme une opportunité de valoriser et protéger votre entreprise en sécurisant la question des données.

Comment vous accompagner ?

Notre travail consistera avec notre client, et le cas échéant ses sous-traitants, à établir dans un premier temps un inventaire (ou registre) des données personnelles utilisées dans l’entreprise.

Dans un deuxième temps, ces données seront analysées pout déterminer si leur collecte a bien recueilli le consentement des clients, si ils ont été informés de la finalité du traitement des informations recueillies et si la collecte est proportionnée au but poursuivi.

34078504_blog

Cette analyse peut être plus poussée. Nous recommandons ainsi de préciser les moyens mis en oeuvre pour assurer la confidentialité et la sécurité des données en fonction de l’exposition au risque ainsi que de lister les mesures complémentaires à mettre en place (à l’instar du document unique obligatoire pour la prévention des risques d’accident du travail et de maladie professionnelle dans l’entreprise).

Cette analyse plus poussée peut être obligatoire pour certains traitements strictement définis par le RGPD: c’est ce que le règlement appelle l’étude d’impact relative à la protection des données (DPIA). Pour les situations les plus sensibles, notre Cabinet s’adjoindra le concours d’un consultant informatique indépendant.

En toute hypothèse, un document de synthèse sera établi pour justifier de l’ensemble de ces démarches dans l’hypothèse d’un contrôle opéré par la CNIL mais également pour en faire un outil de travail.

Enfin, il est important de sensibiliser l’ensemble des personnels à la problématique de la protection des donnée.

Et après ?

La protection des données ne peut être envisagée de manière statique. Le processus décrit ci-dessus doit être régulièrement reconduit, en particulier dès lors que la collecte de données évolue. Nous recommandons d’y procéder au moins une fois par an et une fois par semestre dans les secteurs sensibles.

51837513_blog

De manière permanente, l’entreprise doit rester attentive à toute atteinte ou tout risque d’atteinte aux données personnelles : toute tentative de vol, tout vol de données ou tout accès par une personne non autorisée doit conduire à une information de la CNIL dans les 72 heures suivant la découverte de l’incident. Il en est de même en cas de perte ou de suppression par erreur de données dans des fichiers. Lorsque la violation des données crée un risque élevé d’atteinte pour les personnes. Celles-ci doivent en être immédiatement informées. Doivent être portées à leur connaissance les conséquences possibles de la violation.

Le rôle de notre Cabinet, en tant que DPO, est de vous accompagner dans la gestion de ce type d’incidents.

 

Nous contacter.