Vous avez peut-être entendu parler du RGPD, le règlement européen sur la protection des données personnelles du 27 avril 2016. Sinon, il est temps de vous en préoccuper.
S’agissant d’un règlement, il est d’application directe dans les différents Etats membres de l’Union Européenne, à compter de son entrée en vigueur fixée au 25 mai 2018.
La France était déjà dotée d’une législation en la matière, la loi Informatique et Libertés du 6 janvier 1978, laquelle va être adaptée pour mettre en œuvre et compléter ce nouveau cadre juridique européen.
Le règlement RGPD change totalement l’approche du traitement des données personnelles, par rapport à la loi française applicable jusqu’ici.
Au revoir le système déclaratif, c'est aujourd'hui le système de la "conformité documentée", avec à la clé des sanctions financières alourdies (jusqu’à 4% du chiffre d’affaires hors taxes mondial ou 20 millions d’euros).
La philosophie du règlement : c’est de responsabiliser tous les acteurs qui sont amenés à traiter de données personnelles, en intégrant la protection de ces données dès la conception des outils, notamment informatiques, utilisés par l’entreprise.
Le but étant d’unifier et de renforcer la protection des personnes physiques, qui doivent retrouver la maîtrise de leurs données personnelles.
En pratique, tout « responsable de traitement » ou « sous-traitant » de données personnelles, au sens du RGDP, est principalement tenu de :
tenir un registre des traitements de données.
Mener une analyse d’impact, pour certains types de traitements présentant des caractéristiques susceptibles d’engendrer « un risque élevé pour les droits et libertés des personnes physiques » (en raison de leur nature ou des données traitées).
En outre, les personnes physiques sont dotées de droits nouveaux (droit à la portabilité des données, droit à la limitation, droit à la minimisation, etc.), qui vont nécessiter une évolution des mentions d’information devant leur être délivrées lors du recueil de leurs données.
La Commission Nationale de l’Informatique et des Libertés (CNIL) est en cours d’élaboration de lignes directrices permettant de faciliter la mise en conformité et l’évaluation des risques.
Sans donner de méthode précise, la CNIL a d’ores et déjà publié un guide en 6 étapes :
Etape 1 : désigner un pilote, chargé de la gouvernance des données personnelles ;
Etape 2 : Cartographier les traitements de données à caractère personnel ;
Etape 3 : Prioriser les actions à mener
Etape 4 : Gérer les risques
Etape 5 : Organiser les processus internes
Etape 6 : Documenter la conformité
Un nouveau règlement, dit e-privacy, est annoncé pour l’année 2018. Il aura vocation à actualiser la directive du 12 juillet 2002 et à harmoniser les règlementations sur l’exploitation des données de communications électroniques.
Pour tous renseignements, contactez :
Emmanuelle DUGUE-CHAUVIN
Avocate associée
Spécialiste en droit du travail
echauvin@emo-hebert.com
Arnaud de SAINT REMY
Avocat Associé – Ancien Bâtonnier de l’Ordre des avocats
Président de la Conférence Régionale des Bâtonniers de Normandie
Membre du Conseil de l’Ordre des avocats au barreau de Rouen
https://www.linkedin.com/in/arnaud-de-saint-remy-a65582122/
adestremy@emo-hebert.com
Delphine LE CADRE
Avocate collaboratrice
dlecadre@emo-hebert.com