Le RGPD, une protection renforcée des données personnelles qui impose une nouvelle approche dynamique de la part de toutes les entreprises
Les entreprises n’auront plus à se contenter de déclarer à la CNIL leurs fichiers et traitements des données personnelles, exigence qui n’est plus requise car totalement insuffisante à garantir la sécurité des données personnelles.
A compter du 25 mai 2018, le règlement européen du 27 avril 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, qui est d’application directe en droit interne, entrera en application de façon uniforme dans l’Union européenne.
La démarche désormais est pour chaque entreprise, quelle qu’en soit la taille, de se mettre en conformité, et de pouvoir en justifier à tout moment, c’est à dire être en mesure de documenter cette conformité (accountability).
Il s’agit pour cela de connaître concrètement les étapes à entreprendre, et d’intégrer les exigences de protection des données personnelles dès la conception des produits et services qui utilisent ces données, ce qui concrètement implique de veiller à limiter la quantité de données traitées dès la conception desdits produits et services (privacy by design et minimisation).
Tout d’abord, l’entreprise (responsable du traitement ou sous-traitant) devra mener un audit consistant à recenser précisément les traitements de données personnelles mis en œuvre (qui, quoi, pourquoi, ou, jusqu’à quand, comment), et tenir un registre qui comprend ces informations.
Les entreprises de moins de 250 employés en sont en principe dispensées, sauf si le traitement « n’est pas occasionnel », ce qui rend dangereux de s’en exonérer, et est déconseillé au regard de l’obligation d’être en mesure de justifier de la conformité du traitement (accountability).
Ensuite, il s’agit d’identifier les actions à mener afin de s’assurer que les traitements des données personnelles respectent bien les obligations légales (mentions d’information lors de la collecte directe ou indirecte des données, claires et intelligibles, aisément accessibles aux personnes concernées par le traitement des données, consentement par accord explicite et éclairé (opt-in ou opt-out), mention des droits de la personne concernée d’accès, de rectification, d’opposition, et nouveaux droits à la limitation du traitement, à la portabilité et à l’oubli, vérifier les obligations mises à charge des sous-traitants, vérifier les mesures de sécurité mises en place et les procédures en cas d’incidents de sécurité, l’existence ou non de transferts de données hors de l’Union européenne, etc.).
Puis, si des traitements de données sont susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées (en termes de gravité et de vraisemblance dans la survenance du risque), une étude d’impact sur la protection des données (Privacy Impact Assessment ou PIA) doit être menée pour chacun de ces traitements avant sa mise en œuvre.
Les traitements à risque sont notamment les suivants ; évaluation, profilage, surveillance, collecte de données sensibles (origine raciale, opinions, santé, etc.), croisement de données, personnes vulnérables (patients, personnes âgées, enfants, etc.), et par exemple un PIA sera nécessaire si l’entreprise met en place un contrôle de l’activité de ses salariés. Dans ce cas, des mesures devront être prises visant à atténuer ces risques, et en cas de doute sur la portée suffisante de celles-ci, la CNIL devrait être consultée pour donner son autorisation préalable.
La désignation d’un délégué à la protection des données (DPO ou DPD) n’est pas obligatoire pour les entreprises privées, sauf « celles dont l’activité implique la réalisation d’un suivi régulier et systématique des personnes à grande échelle », mais elle est fortement recommandée, et participe de la démarche active de contrôle et d’amélioration continue de la protection des données qui est désormais requise.
Enfin, dans ce contexte de responsabilité renforcée, l’entreprise devra veiller à être en mesure de rapporter la preuve à tout moment de ce qu’elle respecte les exigences fixées par le RGPD, en constituant et regroupant la documentation actualisée nécessaire (registre des traitements, justification du consentement si requis, mentions d’informations actualisées, contrats avec sous-traitants et prestataires modifiés, charte informatique, liste des faits de violation de données à caractère personnelles, etc..
Une telle démarche ne peut que renforcer la confiance des salariés, clients, et partenaires de l’entreprise.
Stéphane SALEMBIEN
Avocat au Barreau de Paris