GDPR : Hiscox Assurances et LLC Avocats publient leur Livre blanc

Le 25 mai 2018, le Règlement européen sur la protection des données à caractère personnel (GDPR, ou « general data protection regulation ») sera applicable dans l’ensemble des Etats-membres de l’Union européenne. Son but est triple : renforcer les droits des individus à voir leur vie privée et les données qui les concernent protégées, responsabiliser les acteurs traitant des données personnelles, et simplifier l’application de ces règles grâce à une coopération renforcée entre les différents Etats membres.

Ce Règlement, puisqu’il ne nécessite pas de loi de transposition, aura pour conséquence l’application immédiate et directe des nouvelles règles sur l’ensemble du territoire de l’Union Européenne. Que change-t-il précisément pour les entreprises ?

 Le renforcement de la protection des individus

En premier lieu, le GDPR prévoit la mise en place d’un guichet unique. Chaque entreprise sera désormais en contact avec l’autorité de protection des données compétente sur le territoire de l’Etat membre dans lequel est situé son établissement principal – pour les entreprises française, il s’agira bien sûr de la CNIL.

Son champ d’application sera également plus large, puisque le GDPR aura vocation à intervenir quel(le) que soit le support de collecte de données, la localisation de la personne dont les données sont collectées, le siège social de l’entreprise, et/ou de son sous-traitant procédant au traitement des données, ou encore la nationalité de la personne. Il s’appliquera également à toute entreprise qui aurait son siège hors de l’UE si ses activités de collectes de données sont liées à un sujet de droit soumis au droit de l’Union.

Les individus dont les données sont collectées verront leurs droits renforcés : aux droits déjà existants à l’information, d’accès, de rectification et d’opposition, viendront s’ajouter désormais les droits à l’effacement et à la portabilité (récupérer ses données auprès d’une organisation et les transférer à une autre). L’article 22 du GDPR prévoit également l’encadrement du recours au profilage. Le responsable de traitement devra par ailleurs être en mesure de prouver que l’individu a donné son consentement à la collecte et/ou au traitement – et l’individu aura la possibilité de retirer ce consentement aussi aisément qu’il l'a donné.

Enfin, le GDPR étend très significativement la responsabilité des sous-traitants des entreprises qui collectent et traitent des données personnelles : les sous-traitants devront eux aussi tenir un registre, dans certains cas désigner un DPO (« data protection officer »), et leur obligation de conseil en matière de sécurisation des données sera renforcée.

L’apparition du principe d’« accountability »

La mise en œuvre du nouveau principe d’« accountability » implique un changement en profondeur des modèles de fonctionnement des entreprises sur la gestion des données personnelles : il appartiendra désormais à chaque responsable de traitement d’évaluer de sa propre initiative l’impact des manipulations de données qu’il souhaite réaliser, de prendre des mesures efficaces et appropriées afin de se conformer au GDPR, et d’apporter la preuve documentée de cette conformité à tout moment sur demande de l’autorité de contrôle.

Dans ce cadre, le GDPR introduit deux nouvelles notions qui sont appelées à devenir clés pour les entreprises dans la manière dont elles gèrent les risques liés aux données à caractère personnel : celle de « Privacy by design » (mettre l’objectif de sécurisation des données au cœur même du dispositif de traitement) et celle de « Privacy by default » (garantie que seules les données nécessaires à la finalité recherchée sont collectées).

Pour se conformer à ces nouveaux impératifs, le GDPR impose, dans un certain nombre de cas, la désignation d’un interlocuteur dédié, le « data protection officer » (DPO), et notamment :

- Entreprises du secteur public ;

- Entreprises menant des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées (compagnies d’assurance, banques, opérateurs téléphoniques, fournisseurs d’accès internet) ;

- Entreprises dont l’activité consiste en un traitement à grande échelle de catégories particulières de données (données biométriques, génétiques, médicales, sexuelles, raciales, opinions politiques, convictions religieuses, appartenance syndicale, condamnations pénales, etc.).

Le DPO, au carrefour de multiples métiers de l’entreprise (technique, juridique, compliance, conduite du changement, etc.), aura une mission à la fois de conseil, d’information, de contrôle et de collaboration au sein de l’entreprise, et sera le point de contact de l’autorité de contrôle compétente.

Par où commencer ?

Les entreprises, comme toutes les organisations, n’ont maintenant plus que quelques mois pour se préparer à ces changements. Dès à présent, en vue de leur mise en conformité, elles peuvent notamment suivre ces trois premières étapes :

- Consulter la CNIL pour vérifier leurs obligations actuelles en matière de collecte et de protection des données personnelles ;

- Consulter l’ANSSI pour s’informer à propos de la qualité de leurs processus de sécurisation des données ;

- Identifier les traitements de données à caractère personnel qu’elles réalisent et procéder aux analyses d’impact prévues par le GDPR avec l’aide d’un expert.

Elles peuvent bien sûr faire appel à un avocat pour les accompagner dans leurs démarches, et à un assureur spécialiste afin d’être protégées contre les conséquences d’une compromission de données personnelles. 

Envie d’en savoir plus ? Hiscox et le cabinet d’avocat LLC & Associés reviennent sur les 6 points clés du règlement Européen dans leur livre blanc, disponible ici :

https://www.hiscox.fr/wp-content/uploads/2017/06/livre-blanc-hiscox-protection-des-donnees.pdf