Staub & Associés : Avocat RGPD (visitez le site www.privacyontrack.com)

La RGPD, qui est concerné ?

Le 27 avril 2016, l’Union Européenne a adopté un Règlement spécifiquement consacré à la protection des données personnelles des européens. Ce texte, n°2016-679 dit « R.G.D.P. », est d’application directe dans tous les pays membres (contrairement aux Directives européennes) et vient par conséquent se substituer à la Directive de 1995 et remplacer largement la loi n°78-17 du 6 janvier 1978, qui constituait jusqu’à présent le référentiel légal français.

Dès qu’une entreprise ou une administration est basée ou mène des activités localisées le territoire de l’UE, dès qu’un prestataire propose des biens ou services à des personnes se trouvant sur le territoire de l’UE, ou s’il se contente « d’observer » le comportement de ces personnes (allusion au profilage marketing notamment), ce responsable est soumis au Règlement, et ce quand bien même il n’est pas lui-même établi sur le territoire de l’UE (il doit alors y désigner un représentant).

Le Règlement entre en vigueur à compter de mai 2018 et toutes les entreprises proposant des services basés sur le territoire européen ou aux personnes physiques situées sur le territoire de l’UE, devront être intégralement conformes.

Quant aux entreprises concernées, il s’agit bien entendu de toutes les entreprises, tous secteurs industriels et économiques confondus, dès lors qu’elles manipulent des données personnelles : l’intégrateur qui développe un outil CRM, le groupe industriel qui échange des données clients entre filiales, le groupe de communication qui élabore des stratégies marketing, l’entreprise qui déploie un système de gestion de paie, la banque qui délocalise la gestion de ses services IT, l’entreprise qui établit un profilage de ses clients, etc.

Qu’est ce que la RGPD va changer pour les entreprises ?

Le RGDP change assez radicalement le paradigme de la protection des données personnelles. On passe en effet d’un système de conformité juridique statique, fondé sur des Déclarations CNIL préalables aux traitements, et sur des contrôles CNIL postérieurs et ponctuels… à un système de conformité technico-juridique dynamique d’auto-certification par les entreprises (plus de régime déclaratif) et de justification permanente de la protection des données personnelles en leur sein :

  • La structuration technique et fonctionnelle des outils de l’entreprise doit prendre en compte, dès leur conception, la protection des données personnelles. Les outils de l’entreprise doivent, dès qu’ils permettent le traitement d’une donnée personnelle, comporter des règles de gestion et des processus automatisés qui suppriment, bloquent, anonymisent ou chiffrent les données personnelles, afin que ne soient traitées par le système que les données strictement nécessaires et proportionnées aux objectifs poursuivis ;
  • La protection des données personnelles n’est plus seulement une question juridique et contractuelle : elle adresse aussi la sécurité informatique. Les outils de l’entreprise et ceux qu’elle acquiert auprès de tiers doivent répondre aux nouvelles exigences. L’entreprise doit mener une analyse de risques pour ensuite décider de ce que doit être son système d’information. Les certifications et labellisations, effectuées par rapport aux normes de sécurité, vont devenir incontournables ;
  • L’organisation de l’entreprise doit également refléter ce souci permanent de protection des données personnelles, avec la désignation d’un Délégué à la Protection des données personnelles (DPD) qui remplacera le CIL et sera le référent interne en la matière, revêtu de l’autorité nécessaire et tenu par le secret professionnel. Il sera l’interface entre l’entreprise et la CNIL afin de rendre compte de la protection permanente des données ;
  • Tous les services de l’entreprise sont impactés : la DSI, qui dès lors qu’elle gère la sécurité logicielle, doit intervenir dans le cadre de la sécurisation des données personnelles; le service juridique, qui assure la conformité de l’entreprise aux législations applicables ; le service commercial, qui doit connaître les informations à apporter et les engagements à prendre (ou à exiger) des clients, fournisseurs, etc. ; le service marketing, dont les outils permettent par nature la manipulation de nombreuses données personnelles ; enfin la Direction Générale, qui doit concevoir la mise en conformité de l’entreprise comme une nécessité cruciale (notamment au regard des nouvelles sanctions) relevant de son autorité ;
  • Les personnes physiques sont titulaires de nouveaux droits, au-delà des droits classiques d’accès, de rectification et de suppression de leurs données : s’y ajoutent désormais un droit à l’oubli et à l’effacement, un droit à la portabilité des données, un droit à la limitation des traitements, etc. Les modalités d’exercice de ces droits doivent également être renforcées ;
  • Les consentements à obtenir des personnes physiques pour les traitements de données sont désormais critiques, ils doivent être positifs, univoques, soigneusement conservés et aisément révocables : cela implique donc une forte réactivité des services de l’entreprise, depuis son DPO jusqu’aux services techniques s’il s’agit de supprimer ou de porter une donnée ;
  • Les flux transfrontaliers de données sont toujours possibles, mais les modalités de leur encadrement (clauses contractuelles-types, BCR) vont également évoluer au regard des nouvelles exigences réglementaires et doivent donc aussi faire l’objet d’adaptations significatives ;
  • Enfin, les sanctions prennent un poids particulièrement lourd puisqu’alors qu’elles étaient jusqu’ici plafonnées à un montant de 150.000 €, elles peuvent désormais s’élever jusqu’à 4% du chiffre d’affaires mondial de l’entreprise concernée (ou 20M€ si elle ne réalise pas de chiffre d’affaires). Cette montée en puissance des amendes administratives, sans préjudice des poursuites civiles et pénales qui restent possibles, confirment que la dataprotection doit devenir un sujet essentiel et structurant pour toutes les entreprises.