ACTUALITÉ

"Règlement Européen sur la protection des données : le compte à rebours a commencé" par Sylvie Jonas, avocate associée - Avistem avocats

Publié le 08/07/2016 à 10:22

Il résulte d’une enquête récente, qu’un décideur sur dix pense que le Règlement Général sur la Protection des Données (« RGPD ») ne s’applique pas à son organisation (étude Trend Micro de mars 2016).

Or, le RGPD a vocation à s’appliquer à toutes les entreprises.

 Il a été publié au Journal Officiel de l’Union européenne le 4 mai 2016 et est entré en vigueur le 24 mai 2016, soit 20 jours après sa publication. Cette date du 24 mai 2016 marque le point de départ d’une période transitoire de deux ans afin de permettre aux entreprises de se mettre en conformité aux dispositions du RGPD, qui sera applicable à compter du 25 mai 2018.

Cette période de deux ans pour s’y conformer apparaît courte au regard de l’ampleur de la réforme et de la révision des process juridiques et informatiques qu’elle implique.

En pratique, la ligne du temps afférente au traitement des données se découpe en trois étapes : le recueil des données, leur traitement et l’effacement des données au terme du traitement.

En application du principe essentiel mis en exergue par le RGPD, l’accountability, chaque étape devra faire l’objet de mesures organisationnelles et techniques et l’entreprise devra être prête à faire la preuve, à tout moment, du respect de ces mesures.

Analyses de risques et études d’impacts, « privacy by design », « privacy by default », ou encore processus de gestion des droits des personnes sont les termes qui vont agiter nos claviers dans les deux prochaines années.

Mais pourquoi les entreprises s’engageraient-elles plus aujourd’hui qu’hier ?

Le non-respect de la Loi Informatique et Libertés, qui a pourtant presque 40 ans, se constate chaque jour et notamment par l’absence de mention d’information sur les formulaires de collecte de données en ligne, l’absence de recueil du consentement, l’exploitation des données en fraude des droits des personnes.

Le RGPD a su trouver les mots pour toucher au cœur les entreprises : 20 millions d’euros ou 4 % du chiffre d’affaires, sanction maximale qui pourra être prononcée en cas de violation des dispositions du RGPD relatives notamment aux principes de base que sont la loyauté, la licéité du traitement, la transparence, le respect des finalités pour lesquelles les données sont collectées, ou encore en cas de violation des dispositions relatives aux droits des personnes, au consentement, au transfert des données en dehors de l’Union européenne. Le Brexit aura d’ailleurs des conséquences sur le transfert des données vers la Grande-Bretagne, ou ce qu’il en restera, puisqu’il s’agira alors d’un transfert de données vers un État non membre de l’Union européenne.

Au-delà de la sanction financière, le risque d’image est particulièrement prégnant et le véritable enjeu pour les entreprises est de créer de la confiance avec leurs clients. Cette confiance passe par la sécurité et le respect des droits des personnes. Le secret n’est plus de mise puisque les violations des systèmes d’information, les failles de sécurité, les pertes de données devront être notifiées à l’autorité de contrôle dans les 72 heures, sauf exception, et à la personne concernée si la violation présente un risque élevé au regard des droits de la personne.

 

Voici ci-après, plus en détails, quelques éléments essentiels du RGPD :

 

1. La consécration d’une définition large de la donnée à caractère personnel, adaptée à notre société numérique et aux moyens actuels d’identification des personnes : outre les noms, prénoms, adresses e-mails, les autres moyens permettant d’identifier directement ou indirectement une personne physique sont visés. Il en est ainsi notamment des adresses IP et des cookies ou encore des étiquettes d’identification par radiofréquence.

Le RGPD adopte ici la position française qui envisage d’ores et déjà largement la notion de donnée à caractère personnel.

 

2. L’affirmation des principes de transparence et d’information des personnes : la vision du RGPD est de responsabiliser les personnes et d’obliger les entreprises à le respecter

Cette posture pourrait être synthétisée comme suit par un citoyen lambda « utilisez librement mes données, pour autant qu’une information claire, compréhensible et transparente m’ait été donnée et que, le cas échéant, j’ai pu consentir en connaissance de cause à leur usage ».

Concrètement, les personnes devront recevoir l’information déjà prévue par la loi Informatique et Libertés de 1978, à savoir, l’identité du responsable du traitement, la ou les finalités pour lesquelles les données sont collectées, les destinataires des données, le caractère facultatif ou obligatoire des réponses aux éléments demandés et les conséquences d’un défaut de réponse, les éventuels  détails des transferts de données dans un État non membre de l’Union européenne, les droits des personnes ; étant précisé que ces éléments d’information habituels, sont modifiés à la marge par le RGPD. Il conviendra notamment et le cas échéant, de mentionner les coordonnées du DPO (Data Protection Officer), de viser les éventuelles finalités ultérieures pour lesquelles les données sont collectées, de préciser la simple intention de transférer des données en dehors de l’Union européenne.

Cette information devra également :

  • intégrer l’extension du périmètre des droits des personnes : les mentions d’information devront donc indiquer les droits des personnes déjà octroyés par la loi Informatique et Libertés, à savoir les droits d’accès, de rectification, d’effacement et d’opposition, complétés des droits nouveaux prévus par le RGPD que sont les droits de limitation, de portabilité et d’introduction d’une réclamation devant la CNIL ;

  • être complétée des nouveautés apportées par le RGPD que sont l’obligation d’informer sur la base juridique du traitement, (tels que le consentement ou les intérêts légitimes du responsable du traitement), sur la durée de conservation de la donnée collectée ou les critères utilisés pour la déterminer ou encore sur l’existence d’une prise de décision automatisée ainsi que, dans cette hypothèse, sur la logique sous-jacente et les conséquences associées ;

  • être adaptée en fonction du mode de collecte des données, directe ou indirecte. En effet, en cas de collecte indirecte (c’est-à-dire lorsque les données ne sont pas recueillies directement auprès de la personne concernée), les informations à fournir diffèrent quelque peu et doivent notamment faire référence à la source d’où proviennent ces données.

L’information doit être claire, simple, compréhensible, concise, facilement accessible et adaptée au public visé.

Eu égard aux éléments d’information à porter à la connaissance des personnes, être concis va être un défi à relever.

Une nouveauté sympathique et visuelle, qui sera très appréciée notamment par les directions marketing des entreprises, est la possibilité d’utiliser des icônes graphiques pour illustrer l’information.

 

3. L’accountability, clef de voute du système de traitement des données

L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes propres à permettre la protection des données à caractère personnel et d’être prêtes à démontrer qu’elles respectent le RGPD.

Pour chaque traitement de données à caractère personnel, il faudra envisager la pertinence d’une analyse de risque et d’une étude d’impact, mettre en œuvre les mesures techniques et organisationnelles appropriées aux exigences du RGPD, notamment en ce qui concerne la traçabilité et le recueil du consentement, ainsi que le respect des droits des personnes.

Par ailleurs, ces mesures devront être auditées et actualisées dans le cadre d’un contrôle continu, pour d’une part, démontrer l’efficacité des mesures et d’autre part, assurer le maintien en conformité au RGPD au regard de l’évolution des traitements, de leurs finalités, des exigences réglementaires ou tout simplement du retour d’expérience.

On comprend facilement que le dispositif exprimé au sein du RGPD est exigeant. Les entreprises vont devoir faire et être en mesure de prouver, de tracer, ce qui a été fait. Cela passera notamment par la tenue d’un registre des activités ainsi que par l’implémentation de documentations adaptées et de politiques de traitement des données écrites et contraignantes, ou encore de procédures de vérifications pour s’assurer de l’effectivité et de l’efficacité des mesures mises en œuvre.

Dans cette même optique, la désignation d’un DPO, outre le fait qu’elle devient avec le RGDP obligatoire dans un certain nombre d’hypothèses, a vocation à venir renforcer la gouvernance Informatique et Libertés au sein des entreprises et à offrir un gage complémentaire de confiance s’agissant de la protection des données.

Enfin, la privacy by design et by default devra être déployée au sein des entreprises aux moyens de méthodologies et de procédures intégrées dans les process de l’entreprise afin de concrètement tenir compte de la protection des données dans les projets depuis leur origine, et de s’assurer de la conformité des produits et services proposés aux dispositions Informatique et Libertés tout au long de leur cycle de vie.

 

4. La sécurité, un véritable enjeu

L’évolution de notre société et, en conséquence, des pratiques des individus, internautes et consommateurs de produits ou de services digitaux, doit placer la sécurité au centre des préoccupations des entreprises.

Le RGPD prévoit une obligation générale de sécurité qui couvre quatre pans : (i) la pseudonymisation et le chiffrement des données, (ii) la garantie de la confidentialité, de l’intégrité, de la disponibilité et de la résilience des données et des systèmes, (iii) les moyens pour rétablir l’accès et la disponibilité des données en cas d’incident et enfin (iv) les tests, l’analyse et l’évaluation du système d’information en termes de sécurité.

Les études d’impact dans le cas où les traitements de données à caractère personnel exposeraient l’individu à des risques élevés en matière de vie privée, et des analyses de risques en matière de sécurité seront les outils à mettre nécessairement en œuvre. (…)


Sylvie Jonas

Avocate Associée

Avistem avocats

 


 

Retrouvez la suite de cet article dans le Journal Spécial des Sociétés n° 53 du 6 juillet 2016

S’abonner au journal

0 commentaire
Poster

Nos derniers articles