PROTECTION DES DONNÉES PERSONELLES

Posté par : Sandra
mercredi 12 juillet 2017

Le nouveau règlement européen en matière de protection des données personnelles – le GDPR – est un vrai sujet, qui va être un véritable challenge juridique à implémenter pour les entreprises.

 

Et cela pour plusieurs raisons :

 

1. Cette nouvelle règlementation concerne toutes les organisations (entreprises, administrations, associations, syndicats, PME, TPE….), dès lors que celles-ci traitent des données personnelles (un nom, un prénom - donc en pratique toutes les organisations).

 

2. Elle est complexe et va être difficile à implémenter 

 

3. Elle prévoit des sanctions considérables en cas de non application (4% du CA global du groupe / 20 millions d’euros)

 

4. Beaucoup d'acteurs pourront l’utiliser dans des contentieux (syndicats, partenaires sociaux, salariés licenciés, associations de consommateurs, associations protection de la vie privée, clients mécontents…).

 

A la différence de la règlementation ancienne en matière de protection des données personnelles - que globalement beaucoup d’organisations ne prenaient pas très au sérieux, de vraies sanctions ont ici été prévues. 

On fera une courte présentation de certains des principaux éléments clés de la réforme avant de montrer 5 actions concrètes à mettre en oeuvre immédiatement qui vont permettre de limiter les risques juridiques de l’organisation.

 

Les principaux changements par la réforme du GDPR


De manière synthétique les objectifs de la réforme étaient les suivants :

 

• Mettre en place de véritables sanctions dissuasives (20M€/4% CA global)

 

• Utiliser un règlement en lieu et place d'une directive afin d'éviter d'avoir à transposer la règlementation en 27 lois différentes

 

• Conserver l'architecture juridique établie par le droit antérieur et la renforcer (une grosse partie des obligations antérieures sont conservées dans le nouveau règlement)

 

• Supprimer les déclarations CNIL - en fait pour remplacer cette obligation par une obligation beaucoup plus contraignante de mettre en place un registre interne

 

• Imposer de nouvelles obligations de sécurité comme la notification à la CNIL en cas de violation des données personnelles en 72 heures - et la notification de la violation de sécurité aux personnes dont les données ont été compromises

 

• Imposer une PIA (privacy impact assessment) - une étude d'impact sur la vie privée pour les traitements les plus sensibles

 

• Renforcer les droits des personnes en imposant notamment de recueillir et de retracer le consentement au traitement des données personnelles

 

• s'assurer d'une application très large du règlement à toute entité qui traite des données personnelles de personnes en Europe (en résumé - en droit les choses sont plus complexes)

 

5 actions concrètes à mettre en oeuvre dès maintenant


Voici donc 5 actions concrètes que vous pouvez mener dès maintenant pour commencer à mettre votre organisation en conformité : 

 

1. Minimiser les données personnelles que vous collectez


C’est certainement le changement le plus important opéré par le règlement européen en pratique, qui tient au fait que celui-ci impose de ne collecter sur informatique que les données qui sont strictement nécessaires à vos objectifs

Prenons un exemple pour clarifier les choses : votre organisation met en place une newsletter. Dans ces termes, le règlement impose alors de ne pas collecter des données autres que celles strictement nécessaires à l’envoi de cette newsletter. En pratique cela signifie qu’il ne sera possible que de collecter l’email de la personne concernée – éventuellement son prénom, mais ni son nom, ni son adresse, ni le fait que la personne soit un homme, ou une femme, ni ses coordonnées physiques. Car aucune de ces données n’est strictement nécessaire pour l’envoi de la newsletter (sauf à en justifier spécifiquement - ex : vous envoyez la newsletter par courrier postal…). 

 

2. Mettre en place un registre de conformité


Une seconde obligation importante tient au fait de mettre en place un registre de conformité des traitements de données personnelles. En fait, d’un point de vue strictement juridique, le règlement prévoit une exception pour les petites organisations en dessous de 250 salariés (art. 30.5) - mais dans le même temps, le règlement impose également à ces chefs d'entreprise de s'assurer que le règlement est bien respecté dans son organisation (art. 5). Donc implicitement de lister tous les traitements de données personnelles qui sont mis en oeuvre et tracer l'état de leur conformité. Cela n’est pas très complexe à faire - généralement cela mis en place au moyen d’un logiciel spécifique à cet effet (gestion de registre), mais c’est une tâche pour le moins chronophage.

 

3. Évitez autant de traiter des données sensibles


Le règlement européen a une démarche très pragmatique centrée autour des risques. Il en résulte logiquement que certaines données – dites sensibles – comportent des contraintes juridiques plus importantes que d’autres (données de santé, données relatives aux origines raciales ou ethniques, données relatives à l'orientation sexuelle des personnes ...).

Sauf à entrer dans un cas particulier (il existe 10 cas dans lesquels leur traitement est autorisé), par principe leur traitement est interdit.

 

4. Mettez en place vos mentions légales


Le règlement impose d’informer l’utilisateur dont vous collectez les données personnelles d’un certain nombre de mentions légales spécifiques. Il existe 12 éléments à mentionner spécifiquement (identité de l’organisation, mention des droits des personnes au regard de leurs données, etc.).

Ces mentions sont importantes notamment en cela qu'elles montrent le niveau de maturité informatique et libertés d’une organisation. La CNIL est particulièrement vigilante à ce les mentions légales soient mises en place par le responsable du traitement.

 

5. Assurez la sécurité des données personnelles


Enfin une obligation vitale que l'on ne peut ignorer tient à la sécurité des données, que le règlement est venu renforcer. Le texte n’entre évidemment pas dans les détails, évidemment techniques, des mesures qui doivent être mises en oeuvre. Ceci étant, il impose de mettre en place les mesures de sécurité adéquates pour protéger les données personnelles collectées. 

 

Conclusion


On a même pas effleuré la surface des obligations imposées par ce texte et déjà on observe les challenges que va constituer sa mise en application. En tout état de cause, il est important de commencer dès maintenant à se sensibiliser au texte et à l’ensemble des obligations que les organisations vont devoir mettre en application.