Le règlement général sur la protection des données (RGPD) a été adopté par l’Union Européenne le 27 avril 2016 et sera applicable à compter du 25 mai 2018. Il trouvera donc à s’appliquer sur le territoire national à cette même date.

Obligations en matière de données personnelles

L’application du RGPD s’imposera à toutes les sociétés ou autres organisations au sein de l’Union Européenne. Il s’agira d’assurer un droit d’accès, de rectification, d’opposition, de limitation du traitement, d’effacement et de portabilité des données personnelles. La définition des données personnelles est très large puisqu’il s’agit des « informations se rapportant à une personne physique identifiée ou identifiable », y compris par croisement de données.

D’une part, les sociétés dont le traitement des données est l’activité principale ou une activité sensible (exploitation de base de données, traitement de données médicales…) devront mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer que les traitements des données à caractère personnel sont effectués conformément au RGPD, et devront être en mesure de le démontrer.
D’autre part, les sociétés qui ne seraient a priori que peu concernées seront néanmoins soumises au RGPD : le numéro de sécurité sociale d’un salarié, son adresse personnelle, sa situation familiale, ou encore l’adresse email d’un client sont autant d’informations jugées « sensibles » nécessitant un traitement approprié.

Le RGPD institue un principe de responsabilité (« accountability ») pour le traitement des données, qui pèse également sur tout « sous-traitant » (prestataire) responsable également des données qu’il traite.

Axes de travail des sociétés

Les sociétés et autres organisations doivent d’ores et déjà s’adapter à ces nouvelles mesures. La CNIL (Commission Nationale de l’Informatique et des Libertés) a réalisé un livre blanc, permettant aux entités concernées d’être en conformité avec ces nouvelles dispositions. Six étapes clé y sont définies :

– Désigner un pilote, chargé de la gouvernance des données personnelles. C’est lui qui exercera une mission d’information, de conseil et de contrôle en interne, en qualité de délégué à la protection des données (DPD),
– Cartographier le traitement des données personnelles, en élaborant un registre des traitements permettant de savoir comment sont traitées les différentes données (en répondant aux questions suivantes : qui ? quoi ? pourquoi ? combien de temps ? comment ?),
– Prioriser les actions à mener, sur la base du registre précédemment réalisé en identifiant les actions à mener en fonction des risques que le traitement des données fait peser sur les droits et les libertés des personnes concernées,
– Gérer les risques, en menant pour chacun des traitements présentant un risque une analyse d’impact sur la protection des données,
– Organiser les processus internes, afin d’assurer un haut niveau de protection des données personnelles, en permanence, via des procédures internes garantissant la prise en compte des données à tout moment, en prenant en compte les facteurs susceptibles de perturber le traitement des données (ex : faille de sécurité informatique, gestion des demandes de rectification ou d’accès, changement de prestataire…),
– Documenter la conformité, en regroupant et en actualisant les différentes actions déjà menées pour assurer une protection des données en continu.
La CNIL a également publié sur son site internet un guide pratique destiné aux TPE et PME afin de faciliter la mise en œuvre du RGPD.

Contrôle

L’autorité de contrôle (la CNIL) veillera à l’application du RGPD et à son respect. Elle sera donc susceptible d’effectuer des enquêtes, notamment par le biais d’une autre autorité de contrôle ou d’une autre autorité publique. Elle sera également en mesure d’initier ses propres enquêtes, qui pourront résulter d’une réclamation d’une personne concernée.
A noter qu’il sera également possible pour la CNIL de procéder dans un premier temps à un contrôle en ligne. Une simple consultation du site internet d’une entreprise pourra donc initier un contrôle plus poussé en cas de manquement avéré (absence de mention du respect des dispositions du RGPD, transmission de données sensibles telles que le nom d’un client, le trombinoscope des salariés…).

Sanctions

Les sanctions seront proportionnées aux infractions constatées. Il pourra notamment s’agir :

– d’un avertissement,
– d’une mise en demeure,
– d’une limitation temporaire ou définitive du traitement d’une donnée,
– d’une suspension des flux de données,
– de satisfaire aux demandes d’exercice du droit des personnes,
– de rectifier, limiter ou effacer les données.

La violation des dispositions du RGPD pourra également donner lieu à des sanctions pécuniaires assorties de deux plafonds :
– Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, un plafond égal à 2% du chiffre d’affaires annuel mondial en cas notamment de manquement à l’obligation de traitement loyal des données collectées, d’absence d’information/consentement des personnes, de manquement aux droits d’accès, rectification, oubli, portabilité.
– Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, un plafond égal à 4% du chiffre d’affaires annuel mondial en cas notamment d’absence de notification d’une faille de sécurité, d’absence de tenue du registre des traitements, d’absence d’étude d’impact ou de désignation d’un DPD.

Nous restons à votre disposition pour tout renseignement complémentaire relatif à la présente lettre d’information ou à tout autre sujet d’ordre comptable, social, fiscal ou juridique.