ACTUALITES EN MATIERE DE PROTECTION DES DONNEES PERSONNELLES
Lionel Mourot, associé
PRELEVEMENT A LA SOURCE : UN KIT MIS A DISPOSITION DES EMPLOYEURS
21 mars 2018
Hervé Caillon, associé
LOCATION MEUBLEE ET COPROPRIETE
18 avril 2018

ACTUALITES EN MATIERE DE PROTECTION DES DONNEES PERSONNELLES

Catherine Mollard, associée

Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD), constitue le nouveau texte de référence européen en matière de protection des données à caractère personnel. ll renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Il directement applicable dans les 28 États membres de l’Union européenne à compter du 25 mai 2018.

Il est fondé sur le droit fondamental inaliénable pour chaque citoyen de voir ses données personnelles et sa vie privées. La notion d’identification indirecte a son importance : si une entreprise ne peut déterminer directement l’identité d’un individu à partir des données collectées, un tiers pourrait potentiellement le faire.

A qui s’applique ce règlement ?

A tous les acteurs économiques, voire sociaux : les entreprises, associations, administrations, collectivités locales et syndicats, entreprises qui collectent, traitent et stockent des données personnelles dont l’utilisation peut directement ou indirectement identifier une personne.

Quelles sont les données à protéger ?

  • les données personnelles concernant les personnes physiques – employés, clients, partenaires, prospects,etc… – (a contrario, les données des personnes morales ne sont pas concernées),
  • que celles-ci se trouvent sur des ordinateurs, des terminaux mobiles ou des serveurs, dans des échanges, emails ou dans la consignation des logs et du traçage, même non identifié, des visiteurs du site Internet de l’entreprise, etc..

 

Quelles seront les obligations des entreprises ?

1/    s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver,

2/    donner les informations suivantes à la personne dont les données sont collectées (ces données doivent notamment figurer sur votre site internet si vous en possédez un) :

  • l’identité et les coordonnées du responsable du traitement (votre société) et, le cas échéant, les coordonnées du délégué à la protection des données (voir plus loin) ;
  • les finalités du traitement auquel sont destinées les données à caractère personnel ainsi que la base juridique du traitement ;
  • les intérêts légitimes poursuivis par votre société ou par un tiers ;
  • les destinataires ou les catégories de destinataires des données à caractère personnel, s’ils existent ;
  • et, le cas échéant, le fait que votre société a l’intention d’effectuer un transfert de données à caractère personnel vers un pays tiers ou à une organisation internationale,
  • la durée de conservation des données à caractère personnel ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée ;
  • la possibilité pour la personne concernée de demander l’accès à ses données à caractère personnel, la rectification ou l’effacement de celles-ci, la possibilité de demander une limitation du traitement ou même de s’opposer à celui-ci, ou encore le fait qu’elle bénéficie du droit à la portabilité des données la concernant ;
  • l’existence du droit de retirer son consentement à tout moment ;
  • le droit d’introduire une réclamation auprès d’une autorité de contrôle.

 

3/ désigner un délégué à la protection des données (DPO)

La nomination d’un DPO (Data Protection Officer) est fortement recommandée, même lorsqu’elle n’est pas obligatoire. Le DPO doit :

  • informer et conseiller les responsables de traitement de données personnelles, les éventuels sous-traitants et les employés
  • s’informer sur les nouvelles obligations, vous assister sur les conséquences des traitements, en réaliser l’inventaire, concevoir des actions de sensibilisation et doit vous aider à piloter la mise en conformité de votre entreprise
  • être impliqué correctement et en temps utile dans toutes les problématiques liées à la protection des données à caractère personnel
  • tenir un registre des activités de traitement présenté sous une forme écrite mais qui peut revêtir la forme électronique, et qui doit être tenu à la disposition de l’autorité de contrôle (la CNIL). Il doit contenir :
  • le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
  • les finalités du traitement ;
  • une description des catégories de personnes concernées et des catégories de données à caractère personnel ;
  • les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
  • le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale ;
  • si possible, les délais prévus pour l’effacement des différentes catégories de données ;
  • si possible, une description générale des mesures de sécurité techniques et organisationnelles.
  • Sécurisation du traitement et protection des données

Le responsable du traitement et le sous-traitant doivent :

  • mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins.
  • tenir compte des risques pouvant découler de la destruction, de la perte, de l’altération, de la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou de l’accès non autorisé à de telles données, de manière accidentelle ou illicite.
  • informer de toute violation l’autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. La personne concernée doit également être informée, à moins que, compte tenu des mesures prises, cette violation soit sans conséquence possible pour elle.

Contrôles et sanctions par la CNIL (Commission Nationale Informatique et Libertés)

Les contrôles s’opèreront a posteriori et pourront générer des amendes de 10 à 20 millions d’euros, ou de 2 % à 4 % du chiffre d’affaires annuel mondial, le montant retenu étant le plus élevé.

********

Afin de vous aider à vous conformer à ces nouvelles normes, vous pouvez faire établir un diagnostic puis un plan de mise en conformité lequel peut comprendre, en fonction des besoins décelés :

  • Des actions techniques minimisation de la collecte de données au regard de la finalité, suppression de cookies, durée de conservation réduite ;
  • Des aspects juridiques : mentions sur les documents commerciaux ou les contrats, recueil du consentement des clients, etc.;
  • Des contenus de formation : sensibiliser et organiser la remontée d’informations en construisant un plan de formation et de communication auprès de vos collaborateurs ;
  • Des descriptions de processus de gestion : Prise en compte et les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits (droits d’accès, de rectification ou d’opposition, droit à la portabilité, retrait du consentement);
  • La définition d’un plan d’urgence en cas de violations de données, prévoyant, si nécessaire, la notification de cette violation à la CNIL et aux personnes concernées.

D’autre part, ce plan décrira précisément la documentation que vous devrez mettre en oeuvre afin de démontrer que votre entreprise respecte les obligations prévues par le règlement européen :

  • Pour la description de vos traitements (le registre des traitements, les analyses d’impact (PIA))
  • Pour l‘information des personnes (mentions d’information sur les documents, les sites internet… modèles de formulaire de recueil de consentement des clients, procédures pour l’exercice des droits de ceux-ci);
  • Les points clés des documents qui définissent les rôles et les responsabilités des acteurs (contrats avec les sous-traitants, procédures internes en cas de violations de données, contenu des preuves que les personnes concernées ont donné leur consentement, etc.)

Avec ce plan, votre entreprise peut alors engager la démarche de mise en conformité, seule ou avec un professionnel qui vous accompagnera à cet effet.

Par ailleurs, vous pouvez vous renseigner à l’adresse suivante :https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire