En ce moment, nous entendons tous parler sans cesse du nouveau règlement RGPD…. Mais en connait-on vraiment les fondements, ainsi que les impacts ? Au milieu de ces nombreux débats il n’est pas toujours facile d’avoir une vision complète des changements qu’il implique. Ainsi, nous vous proposons de revenir sur ces dispositions grâce à Benjamin Martin Tardivat, fondateur / associé du cabinet Witetic, fortement sensibilisé aux problématiques de traitement, qui nous en résume les axes majeurs :
Le Règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai prochain.
Alors que le scandale Facebook défraie la chronique, le RGPD est bien l’outil qui donnera à l’Europe un modèle de société numérique plus éthique et plus compétitif par rapport au reste du monde. Ce texte modifie, en effet, en profondeur la gestion et la conservation des données personnelles collectées.
Philosophiquement Pratiquement Quotidiennement Juridiquement
Philosophiquement, le texte intègre les préceptes de notre « société en réseaux » en nous interrogeant sur les notions de surveillance et de contrôle (vision panoptique et son inverse) tendues par nos relations à distance à la fois immédiates, et tout autant interpersonnelles qu’impersonnelles et, toujours plus, fonctionnelles.
Pratiquement, le RGPD anticipe la distinction entre authentification nécessaire pour valider une procédure et identification des personnes, ce dernier point posant des questions éthiques importantes: d’abord celle du consentement, mais aussi, celle de la finalité de l’utilisation des données et, enfin, celle de la proportionnalité entre l’étendue de la collecte et son usage. Le RGPD préfigure la monétisation des données à caractère personnel.
Juridiquement, le texte poursuit donc trois objectifs:
– Renforcer les droits des personnes;
– Responsabiliser les acteurs traitant des données;
– Crédibiliser la régulation grâce, d’une part, à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et, d’autre part, des sanctions renforcées (4% du CA mondial ou 20 millions d’euros, par exemple).
Quotidiennement, les grandes règles du RGPD à appliquer sont les suivantes:
1. Le texte adopté étant un règlement, il est directement applicable dans l’ensemble de l’Union sans avoir à être transposé (adapté) dans chacun des États membres. Le même texte s’appliquera donc dans toute l’Union le 25 mai.
Les traitements déjà mis en œuvre doivent donc être mis en conformité très rapidement avec les dispositions du règlement.
2. Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.
Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer.
Notez qu’il existe six différentes bases légales autorisant la collecte, le traitement et la conservation des données personnelles, chacune ayant des conséquences différentes sur les obligations du responsable de traitement et les sous-traitants.
3. Les responsables de traitements et les sous-traitants doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut.
Concrètement, ils devront veiller à limiter la quantité de données traitées dès le départ (principe dit de « minimisation »). Et afin d’assurer une protection optimale des données personnelles qu’ils traitent, les responsables de traitements devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (principe dit d’ « accountability »).
4. Le RGPD impose donc à tous les responsables de traitement de données personnelles de nouveaux outils de conformité :
• la tenue d’un registre des traitements mis en œuvre;
• la notification de failles de sécurité (aux autorités et personnes concernées);
• la certification de traitements;
• l’adhésion à des codes de conduite;
• le DPD/DPO (délégué à la protection des données);
• les études d’impact sur la vie privée (EIVP/PIA).
5. Le DPO, interne ou externe, est le véritable « chef d’orchestre » de la mise en conformité.
C’est bien lui qui va sensibiliser, auditer, cartographier et mettre en place les mesures imposées par le RGPD (dont la tenue du Registre des Traitements).
Sa responsabilité n’est pour autant pas encore clairement définie: le règlement, même s’il est applicable directement le 25 mai, laisse quelques « zones grises » que les différents législateurs nationaux doivent préciser. En France, nous attendons donc la publication de la Loi Informatique et Libertés II dans quelques jours (voire III, d’ici la fin de l’année).
6. Si les responsables de traitement et les sous–traitants peuvent transférer des données hors UE, ils devront encadrer ces transferts avec des outils assurant un niveau de protection suffisant et approprié. Par ailleurs, les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.
Ainsi, et hormis les transferts fondés sur une décision d’adéquation de la Commission Européenne, les responsables de traitement et les sous-traitants peuvent mettre en place :
• des règles d’entreprises contraignantes (BCR) ;
• des clauses contractuelles types approuvées par la Commission Européenne ;
• des clauses contractuelles adoptées par une autorité et approuvées par la Commission européenne.
7. Le RGPD touchant l’ensemble des traitements de données collectées en Europe, il impacte une multitude de contrats passés par les entreprises que ce soit avec leurs sous-traitants (hébergement, etc), leurs fournisseurs (CGA, comptabilité, etc) et leurs clients (Politique de Confidentialité, CGU, CGV, etc.).Une revue de l’ensemble du corpus contractuel est nécessaire.
Le RGPD s’applique à tous.
Faisons de cette contrainte un atout!
Pour d’informations sur le Cabinet :
witetic.eu
Tel. : + 33 (0)1 73 79 20 20
tardivat@witetic.eu