« RGPD : quels impacts pour les entreprises à partir du 25 mai 2018 ? »

www.cnil.fr

 

Le règlement général relatif à la protection des données 2016/679 du 27 avril 2016 (RGPD), qui entre en vigueur le 25 mai 2018, substitue au régime de formalités préalables prévu par la loi informatique et libertés, un système fondé sur la responsabilité des acteurs qui devront démontrer la conformité de leurs traitements à ce règlement à tout moment.

 

 

Tout organisme, quels que soient sa taille, son pays d’implantation et son activité, peut être concerné. En effet, le RGPD s’applique à toute organisation, publique et privée, qui traite des données personnelles pour son compte ou non, dès lors :

– qu’elle est établie sur le territoire de l’Union européenne ;

– que son activité cible directement des résidents européens.

Par exemple, une société établie en France, qui exporte l’ensemble de ses produits en dehors de l’Union européenne doit respecter le RGPD.

Le RGPD concerne aussi les sous-traitants qui traitent des données personnelles pour le compte d’autres organismes, notamment les entreprises.

Beaucoup de départements au sein de l’entreprise sont amenés à traiter des données personnelles : service marketing et commercial pour des données sur les contacts prospects et clients, service achat pour les contacts de fournisseurs, services RH…  La mise en conformité avec le RGPD concerne par conséquent l’entreprise dans son ensemble.

On entend par donnée personnelle toute information permettant d’identifier directement (nom, prénom, par exemple) ou indirectement (numéro client, numéro de téléphone, numéro d’immatriculation pour la gestion d’un parking, donnée biométrique, etc.) une personne. Une personne peut ainsi être identifiée à partir d’une seule donnée (ex : numéro de sécurité sociale) ou à partir du croisement d’un ensemble de données (personne vivant à telle adresse, née tel jour, abonnée à tel magazine et militant dans telle association).

La notion de fichier recouvre tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique (ex : dossiers classés par ordre alphabétique ou chronologique).

Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement, organisation, conservation, adaptation, modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement).

Un traitement de données personnelles doit avoir un objectif, une finalité. Il n’est pas possible de collecter ou traiter des données personnelles simplement au cas où cela pourrait s’avérer utile un jour.

Le responsable du traitement est la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement et sur lequel reposent les obligations prévues par le règlement.

La personne concernée par un traitement est celle à laquelle se rapportent les données objet du traitement.

Le destinataire d’un traitement est toute personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers, ce dernier s’entendant de toute personne autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l’autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel.

Le règlement repose sur les principes suivants : les données à caractère personnel doivent être (RGPD, art. 5.1) :

– traitées de manière licite, loyale et transparente au regard de la personne concernée ;

– collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités ;

– adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ;

– exactes et tenues à jour ;

– conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées ;

– traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d’origine accidentelle (intégrité et confidentialité).

Concrètement, les différentes actions à mener pour se conformer à ces principes sont les suivantes :

– désigner un pilote ;

– recenser les fichiers ;

– repérer les traitements à risque ;

– respecter le droit des personnes ;

– sécuriser les données ;

– s’assurer, en cas de sous-traitance que le prestataire respecte le RGPD.

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement : avertissement, mise en demeure, injonction de cesser le traitement, suspension des flux de données etc.

Les amendes administratives peuvent s’élever, selon la catégorie de l’infraction, à 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, à 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.