Mise en place des procédures du RGPD
Une nouvelle réglementation applicable au 25 mai 2018
Remplaçant la directive 95/46/CE sur la protection des données personnelles, le Règlement Général sur la Protection des Données du 27 avril 2016 – RGPD, a vocation à offrir un cadre légal homogène pour l’ensemble des états membres de l’Union Européenne.
Relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, sa mise en application en France est prévue pour le 25 mai 2018. Le Règlement Européen, comportant 200 pages, 99 articles introduits par 173 considérants est issu d’un long processus d’élaboration et à ce titre est très complexe et lourd d’analyses.
Il est cependant capital pour les entreprises de connaitre le contenu de ce texte qui impose de nouvelles obligations en matière de protection des données. Révolution dans le domaine, le règlement a considérablement renforcé le régime des sanctions en cas de refus et violations des obligations règlementaires. L’article 83 du RGDP inclut ainsi des amendes administratives allant jusqu’à 20 millions d’euros et peut dans certains cas représenter jusqu’à 4% du chiffre d’affaires annuel mondial de la société. La CNIL est également à même de prononcer des avertissements voire ordonner la suspension des flux de données hors UE ainsi que la limitation temporaire ou définitive d’un traitement. Le règlement impose également aux sociétés de signaler toute violation de données de ses comptes clients dans les 72 heures à l’ANSSI (Agence Nationale Sécurité des Systèmes d’information).
Nouveau poste : Délégué à la Protection des Données
Le délégué à la protection des données – DPD, est chargé de mettre en œuvre la conformité des traitements mis en œuvre par un organisme au règlement européen.
Successeur du Correspondant Informatique et Libertés – CIL, les qualifications et formations continues du DPD sont plus exigeantes tandis que ses missions et prérogatives sont renforcées. La désignation d’un délégué, prévu par un formulaire auprès de la CNIL, est ainsi obligatoire pour :
- Les autorités ou les organismes publics,
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
À la fois responsable de la politique de protection des données personnelles au sein de la société et interlocuteur auprès de la CNIL, les missions du Délégué à la Protection des Données sont prévues à l’article 39 du Règlement :
- Informer et conseiller le responsable de traitement ou le sous-traitant, ainsi que l’ensemble de leur personnel ;
- Contrôler le respect du Règlement et de la législation nationale ;
- Conseiller l’organisme sur tout sujet relatif à la protection des données à caractère personnel (notamment, sur la pertinence d’une étude d’impact) ;
- Coopérer avec l’autorité de contrôle : cette fonction est très importante, puisque le Délégué devra faciliter l’accès par l’autorité aux documents et informations dans le cadre de l’exercice des missions et des pouvoirs de cette autorité.
Dans cette optique, l’organisme devra veiller aux bonnes conditions de travail du DPD notamment en fournissant les ressources nécessaires à la réalisation des tâches et faciliter l’accès aux données et opérations de traitements, garantir l’indépendance du DPD et veiller à l’absence de conflit d’intérêts.
Comme le CIL, le DPD ne pourra voir sa responsabilité engagées du fait de manquements aux RGPD constatés dans l’entreprise. La loi établit le responsable de traitement ou le sous-traitant comme tenu de s’assurer et d’être en mesure de démontrer que le traitement est conforme aux dispositions du règlement.
Maître Pierre-Xavier Chomiac de Sas et ses partenaires conseillent et forment les professionnels à la mise en place du DPD, l’encadrement de ses missions afin d’être en conformité avec le Règlement européen.
Les registres de traitement : responsabilisation des entreprises
Défini à l’article 30 du RGPD, la nouvelle réglementation impose la tenue d’un registre des traitements.
Obligatoire pour les entreprises de 250 employés, celles effectuant des traitements sensibles ainsi que celles impliquant certaines catégories de personnes ou données relatives à des condamnations pénales et autres infractions, le registre mentionne le nom et coordonnées du responsable de traitement, les finalités dudit traitement, les catégories de personnes concernées, les acteurs amenés à gérer ces données, le parcours des flux de données en cas de transferts hors de l’Union européenne, les délais prévus pour l’effacement des données et, enfin, une description des mesures de sécurité techniques et organisationnelles prises pour en assurer leur protection.
Ce document fondamental en cas de contrôle de conformité, impose aux sociétés d’intégrer de nouveaux principes de collectes de données. Rappelé officiellement par la CNIL, le principe d’ « accountability » impose aux entreprises, à travers le responsable du traitement ou le sous-traitant de mettre en œuvres des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.
De même, les principes de « privacy by default » et « privacy by design » prévu par le RGPD, connu en droit français de la minimisation des données, s’appliquent non seulement à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, mais aussi à leur durée de conservation et à leur accessibilité (les données doivent n’être accessibles qu’aux personnes qui en ont strictement besoin en fonction de la finalité du traitement).
PCS Avocat accompagne ses clients dans l’audit de l’activité de la société en matière de données personnelles et participe à la rédaction du registre des traitements.
Portabilité, consentement et P.I.A.
Le RGPD renforce le consentement des personnes concernées par les traitements de données dont il revient au responsable de traitement de démontrer qu’il a bien recueilli le consentement préalablement à toute collecte.
Le Règlement européen s’est également démarqué par la création d’un droit à la portabilité des données pour les personnes physiques. Complétant la Loi Informatique et Libertés ayant garanti un droit d’accès aux données, la portabilité des données permettent au titulaire des données d’en demander le transfert ou la restitution. Sont concernées des données volontairement transmises ou collectées du fait de son activité.
Le Cabinet PCS Avocat aide les sociétés dans la mise en place des différents documents juridiques obligatoires en matière de données personnelles.
Nous participons aux études d’impacts et les solutions pratiques garantissant la conformité des traitements de données au regard du Règlement Général sur la Protection des Données.
Les études d’impacts aussi appelées « PIA » et « EIVP » – Privacy Impact Assessement et Etude d’Impacts sur la Vie Privée, réalisées pour s’assurer de la conformité des traitements au RGPD consistent à la fois en une mesure de conformité ainsi que d’un outil de vérification technique de la qualité de la protection assurée. L’objectif est de pouvoir apprécier les conséquences potentielles des impacts sur la vie privée des traitements en cause fondé sur la corrélation entre le caractère vraisemblable de réalisation d’un risque avec la gravité des impacts sur la vie privée des personnes.
Le RGPD rend obligatoire ces études pour le traitement de données sensibles effectué à grande échelle, la surveillance systématique à grande échelle d’une zone accessible au public, le traitement automatisé ayant pour finalité l’évaluation, et seront exigibles en cas de contrôle ou d’autorisation par la CNIL.
Documentation de conformité.
Conformément aux conseils formulés par la CNIL, « les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu. »
Afin d’optimiser l’identification et la gestion des risques, le responsable de traitement sur les conseils du délégué à la protection des données devra mener une étude d’impact sur la vie privée. Cette étude devra contenir la description des traitements envisagés et leur finalité voire l’intérêt légitime poursuivie. L’étude, l’évaluation de la proportionnalité des traitements ainsi que l’appréciation des risques sur les droits et libertés des personnes concernées et plus généralement toute mesures envisagées et nécessaires à la mise en conformité au Règlement seront inclus dans le document.
La documentation sur le traitement des données, qui pourra être demandé par la CNIL ou tout organisme dans le cadre d’un contrôle de conformité doit comporter divers documents parmi lesquels :
- Le registre de données
- Les études d’impact sur les droits et libertés individuelles des personnes notamment la vie privée,
- Tout document relatif aux transferts de données hors Union européenne (clauses contractuelles types, les Binding Corporate Rules, etc.)
- Les documents relatifs à la responsabilité des acteurs notamment les contrats de sous-traitance, politiques et chartes de sécurité informatiques, l’ensemble des process et procédures internes liées à toute violation de données personnelles
- L’ensemble des documents relatif à l’information des personnes notamment les mentions d’informations, le recueil de consentement des personnes ainsi que les modalités d’exercice de droit d’accès, rectification voire suppression desdites données.
Préparation aux obligations imminentes
Afin d’anticiper les nouvelles obligations issues de RGPD, il est important que les sociétés respectent un certain nombre de pratiques :
- Désignation d’un délégué à la protection des données et définition de ses missions ;
- Auditer l’activité de la société et identifier le périmètre des données sensibles ;
- Mise en place du registre des traitements ;
- Évaluer les risques & préparer les actions à mener à travers notamment la revue des contrats fournisseurs ;
- Définir les procédures de protection des données pour garantir les droits des personnes ;
- Organiser les processus & documenter la conformité en vue de contrôle de conformité.
Le cabinet PCS Avocat accompagne les sociétés dans cette transition importante de leur activité, à chaque étape de la mise en place des process.