• Français
  • English
  • Čeština
  • 简体中文
  • 日本語

CONSEIL EN PROPRIÉTÉ INDUSTRIELLE

 

De Mariam Le Bars Kerampran et Stéphane Millet

Comment anticiper l’arrivée imminente du Règlement Général sur la Protection des Données ?

Beaucoup d’entreprises ont d’ores et déjà coché le 25 mai 2018 dans leur calendrier, car c’est à cette date qu’entrera en vigueur le Règlement Général sur la Protection des Données (RGPD), qui va révolutionner le cadre juridique de la protection des données personnelles.

Mais qu’est-ce qu’une donnée personnelle ? La Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (dite « Loi Informatique et Libertés »), dans son article 2, la définit comme étant «  toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». Il peut donc s’agir aussi bien de données relatives à l’identité d’un individu qu’à ses habitudes de vie, ses déplacements ou ses données de connexion sur Internet.

Le traitement des données personnelles est strictement encadré par la Loi Informatique  et Libertés, qui a vocation à s’appliquer tant aux personnes physiques que morales. Ces personnes peuvent agir en tant que « responsable de traitement », ayant le pouvoir de déterminer les finalités et les moyens de réalisation du traitement, ou en tant que « sous-traitant », mettant en œuvre le traitement pour le compte du responsable de traitement.

Afin de garantir les droits des personnes dont les données personnelles sont collectées, ainsi que la sécurisation de ces dernières, il incombe actuellement au responsable de traitement de procéder à une déclaration auprès de la Commission Nationale pour l’Informatique et les Libertés (CNIL) et d’informer les personnes préalablement à la mise en œuvre du traitement.

Cette déclaration a pour but d’encadrer toutes les opérations portant sur des données personnelles qui ont vocation à être conservées.

Avec l’arrivée imminente du RGPD, la logique déclarative est sur le point de disparaitre au profit des principes d’ « accountability » (responsabilisation) et de « privacy by design » (intégration de la protection des données personnelles dès la conception du traitement), ce qui doit conduire les responsables de traitement à adapter leurs procédures et règles de fonctionnement dès aujourd’hui.

1. Les principes d’ « accountability » et de « privacy by design »

Parmi les nombreuses nouveautés qui seront introduites par le RGPD, deux principes centraux vont transformer le paysage actuel de la protection des données personnelles.

Tout d’abord, le principe d’ « accountability », ou de « responsabilisation » (article 25 du RGPD), imposera au responsable de traitement de respecter l’ensemble des exigences du RGPD ab initio et d’être en mesure de prouver ce respect à tout moment, abolissant ainsi le système des déclarations CNIL que nous connaissions jusqu’alors.

En d’autres termes, cela signifie concrètement que tout au long du processus de traitement des données, le responsable de traitement devra non seulement garantir, mais aussi être en mesure de démontrer qu’il respecte les droits des personnes au regard de la finalité du traitement et des risques inhérents au traitement.

Pour ce faire, il lui faudra mettre en place des mesures techniques permettant de sécuriser les données collectées, telles que la pseudonymisation, ainsi que des règles internes d’organisation comme la tenue d’un registre des traitements afin de s’assurer et d’être en mesure de démontrer que les obligations du RGPD sont respectées.

Le principe de « privacy by design », quant à lui, imposera au responsable de traitement d’intégrer la protection des données personnelles dès la conception du traitement. Il devra notamment prévoir des mesures techniques et organisationnelles appropriées au regard de cet objectif.

Ainsi, seules les données personnelles nécessaires au regard de la finalité définie devront être traitées, ce qui impliquera que le responsable de traitement définisse avant tout traitement la quantité de données collectées, l’étendue du traitement, la durée de conservation ainsi que les modalités d’accessibilité aux données.

Il importe de préciser que le nouveau principe d’« accountability », et son corollaire celui de « privacy by design » s’appliqueront désormais aux sous-traitants (article 28 du RGPD), quand bien même ces derniers ne feraient que traiter des données pour le compte d’un responsable de traitement.

2. Le renforcement des droits des personnes

Parallèlement à la hausse des obligations qui pèseront sur les sous-traitants et les responsables de traitement, les droits des citoyens européens sont renforcés par le RGPD.

De nouveaux droits ayant pour but de favoriser la maîtrise de leurs données personnelles par les individus eux-mêmes font ainsi leur apparition :

  • droit à la réparation  des dommages matériels ou moraux causés par une violation du Règlement (article 82 du RGPD) ;

  • droit à la portabilité des données : droit de recevoir les données communiquer à un responsable de traitement dans un format structuré et lisible (article 20 du RGPD) ;

  • droit à l’effacement ou au déréférencement de données sous certaines conditions (article 17 du RGPD) ;

  • introduction du principe des actions collectives : possibilité d’introduire des recours collectifs au niveau européen en matière de données personnelles (article 80 du RGPD) ;

Il est néanmoins difficile d’apprécier, à ce stade, la portée réelle de ces nouveaux droits puisque contrairement aux principes d’« accountability » et de « privacy by design », leur mise en œuvre n’a pas encore fait l’objet d’articles explicatifs de la part de la CNIL.

Ainsi, à défaut de lignes directrices, seule l’épreuve de la pratique permettra d’appréhender plus concrètement ces droits (ou une décision de justice le cas échéant).

3. La nécessaire adaptation des responsables de traitement et des sous-traitants

Avec l’apparition de nouveaux droits pour les consommateurs européens ainsi que de nouvelles obligations pesant sur les responsables de traitement et des sous-traitants, il convient d’ores et déjà d’anticiper l’entrée en vigueur du RGPD.

Le 27 mars dernier, dans le cadre de la présentation de son bilan 2016, la CNIL a notamment alerté les entreprises quant à la nécessité de s’y préparer dès maintenant.

Or, même si la CNIL se veut pédagogue dans le cadre des actions qu’elle mène, il est important de rappeler que le RGPD va fortement alourdir les sanctions prévues en cas de manquements ou de violations dans le cadre de la réalisation de traitements de données personnelles, avec une grille des amendes pouvant monter jusqu’à 20 millions d’Euros soit 4% du chiffre d’affaires annuel.

Le passage à une logique de responsabilisation nécessite donc pour les responsables de traitement, conjointement avec les sous-traitants, de mettre en œuvre les démarches suivantes préalablement à l’entrée en vigueur du RGPD :

L’équipe du Pôle NTIC est bien entendu à votre disposition à l’adresse webplass@plass.com pour vous accompagner dans le cadre de cette transition vers le RGPD, via la réalisation d’audits et de consultations portant sur vos traitements de données personnelles.