Protection des données personnelles : ce qui change en 2018

LES POINTS PRINCIPAUX :

  • Mise en conformité d’ici le 25 mai 2018
  • Un renforcement des droits des personnes, notamment information et consentement
  • Une responsabilisation des responsables de traitement : dispositif contractuel et DPO
  • Des sanctions plus lourdes
  • Faire appel à un prestataire externe en cas de besoin

Points abordés :

  • les principes généraux
  • les apports du Règlement
  • le transfert des données personnelles vers des pays tiers
  • les sanctions

LES PRINCIPES GENERAUX

 

  • Le RGPD : règlement général sur la protection des données

Il s’agit du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.

Les entreprises doivent être en conformité au plus tard le 24 mai 2018. Ce règlement concerne toute collecte ou traitement de données permettant d’identifier une personne et vise à l’amélioration de la protection des données personnelles au sein de l’UE.

Un régime de protection des données personnelles existe déjà dans notre droit national. Ce règlement vient renforcer le régime existant.

  • Champ d’application du Règlement

Le RGPD s’applique dès lors qu’il y a :

  • un traitement effectué dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établi sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union ;
  • un traitement relatif à des personnes situées sur le territoire de l’UE, même si le responsable de traitement n’y est pas, dès lors que les activités de traitement sont liées à l’offre de biens ou de services ou au suivi du comportement de ces personnes.

LES APPORTS DU REGLEMENT

  • Les objectifs du RGPD

Les objectifs du RGPD sont les suivants :

  • renforcer les droits des personnes concernées, c’est-à-dire les personnes dont les données vont être utilisées ;
  • faciliter l’exercice de ces droits ;
  • responsabiliser les acteurs en ce sens.
  • Principe de transparence

Le premier principe de la transparence consiste en une information claire mais également complète.

On entend par « transparence » l’information de la personne concernée.

Le RGPD prévoit :

  • un renforcement du droit à l’information de la personne ;
  • une mise à disposition d’informations claires, intelligibles et aisément accessibles aux personnes concernées.

L’information doit être complète. Elle doit comprendre :

  • l’identité du responsable de traitement ainsi que du DPO (Data Protection Officer) le cas échéant,
  • la finalité du traitement,
  • les destinataires,
  • le transfert des données hors UE,
  • la durée de conservation des données personnelles,
  • les droits de la personne,
  • la prise de décision automatisée
  • la source des données
  • la base juridique du traitement.

Le deuxième principe de la transparence consiste en un consentement libre.

Pour être valable, le consentement de la personne doit donc être libre. Outre le caractère libre du consentement, celui-ci doit :

  • être démontré (preuve du consentement),
  • pouvoir être retiré,
  • être éclairé et non équivoque.

Le consentement est-il obligatoire ?

Le principe est l’obtention du consentement. Il y a une obligation d’obtention préalable du consentement de la personne concernée.

Mais il y a des exceptions. Des exceptions existent en effet en cas de :

  • traitement nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ;
  • traitement nécessaire au respect d’une obligation légale : par exemple employeur ;
  • traitement nécessaire à l’exécution d’une mission d’intérêt public ;
  • traitement nécessaire aux fins des intérêts légitimes : par exemple, action de rappel de véhicule.
  • Quels droits pour les personnes concernées ?

Le RGPD prévoit les droits suivants (sachant que certains de ces droits existaient déjà mais sont renforcés par le RGPD) :

  • droit à l’information (articles 13 et 14 du RGPD),
  • droit d’accès et obtention copie de ses données (article 15 du RGPD),
  • droit de rectification (article 16 du RGPD),
  • droit à l’effacement/droit à l’oubli (article 17 du RGPD),
  • droit à la limitation du traitement (article 18 du RGPD),
  • droit de notification des mises à jour (article 19 du RGPD),
  • droit à la portabilité (article 20 du RGPD), c’est-à-dire droit pour la personne concernée de transmettre ses données personnelles à un autre responsable du traitement sans que le responsable du traitement auquel ces données ont été initialement communiquées y fasse obstacle,
  • droit d’opposition pour motif légitime (article du 21 RGPD).
  • Principe de responsabilisation

Þ  Responsabilisation du responsable de traitement « Accountability ».

Cela signifie que le responsable de traitement doit pouvoir justifier auprès de l’autorité de contrôle qu’il a bien pris toutes les mesures nécessaires pour que les données qu’il collecte et traite soient correctement protégées.

Les conséquences d’une telle responsabilisation du responsable de traitement consistent en un allégement des formalités administratives. En effet, les obligations déclaratives ne seront plus nécessaires dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes

La responsabilisation du responsable de traitement peut se faire par la mise en place d’ « outils » pour garantir une protection optimale des données.

Þ Quels outils pour une protection optimale des données personnelles ?

Les entreprises, organismes, établissements publics, etc. doivent :

  • réaliser une cartographie des traitements / et parfois une étude d’impact ;
  • tenir un registre des activités de traitement et de documentation ;
  • désigner un DPD/DPO ;

Les entreprises doivent assurer la sécurité du traitement et doivent faire attention aux failles de sécurité.

Il convient de faire un inventaire des traitements. Pour cela, il faut recenser :

  • les différents traitements,
  • les catégories de données personnelles traitées,
  • les objectifs poursuivis,
  • les acteurs (internes ou externes) qui traitent ces données (sous-traitants) ,
  • les transferts hors UE.

Une analyse d’impacts peut être nécessaire si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes.

Dans ce cas, l’étude d’impact doit être réalisée avant même de collecter les données et de mettre en œuvre leur traitement.

Þ  Les analyses d’impact sur la vie privée

Quand réaliser une étude d’impact ?

L’étude d’impact est obligatoire :

  • dans le cadre du profilage ;
  • dans le cadre d’un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales et à des infractions.

L’étude d’impact est également nécessaire lorsque le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Dans ce cas, si l’analyse présente un risque élevé et que le responsable du traitement ne prend pas de mesures pour atténuer le risque, une consultation de l’autorité de contrôle préalablement au traitement doit être effectuée.

Þ  Registre des activités de traitement 

Ce registre doit avoir une forme écrite, y compris la forme électronique, et doit être tenu à la disposition de l’autorité de contrôle.

Le registre des traitements doit contenir :

  • les coordonnées du responsable du traitement et du DPO,
  • les catégories de données traitées / celles susceptibles de soulever des risques,
  • les finalités, la durée de conservation,
  • les mesures de sécurité mises en œuvre.

Exceptions à la tenue du registre

Le registre ne s’impose pas à une entreprise de moins de 250 employés, sauf :

  • si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes,
  • s’il n’est pas occasionnel,
  • s’il porte sur des catégories particulières de données.

Þ  Documentation interne

  • Documentation relative aux traitements des données,
  • Documentation relative à l’information des personnes,
  • Contrats définissant les rôles et la responsabilité de chaque acteur.

La documentation interne consiste à avoir un dossier en interne avec analyse d’impacts le cas échéant.

Cette documentation interne constitue une preuve de conformité. C’est d’ailleurs l’objectif de la documentation interne.

Þ  La nomination d’un DPD (délégué à la protection des données)/DPO (Data Protection Officer) est-elle obligatoire ?

Selon l’article 37 du RGPD, la désignation d’un DPD est obligatoire pour :

  • – les autorités ou les organismes publics,
  • – les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • – les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Précision : Pas de définition de « à grande échelle ».

Dans les autres cas, la désignation d’un DPD est facultative.

Les missions du DPD sont les suivantes :

– informer et conseiller le responsable de traitement / sous-traitant, ainsi que leurs employés ;

– contrôler le respect du règlement et du droit national en matière de protection des données ;

– coopérer avec l’autorité de contrôle.

Précision : le DPD peut être interne ou extérieur à l’entreprise.

TRANSFERT DES DONNEES PERSONNELLES VERS DES PAYS TIERS

Le principe est l’interdiction du transfert des données personnelles hors UE.

Mais il y a des exceptions :

– transferts vers un pays tiers ayant un niveau de protection adéquat (art. 45 du  RGPD)

Þ  on peut voir ces pays sur le site de la CNIL ;

– transferts effectués avec des garanties appropriées (art. 46 du RGPD) :

  • l’existence d’un accord négocié dans le pays en question,
  • la signature de clauses contractuelles (par exemple, intragroupe),
  • l’adoption de codes de bonne conduite (ou BCR)

– autres dérogations pour des situations particulières :

  • si la personne à laquelle se rapportent les données a consenti expressément à leur transfert
  • ou si le transfert est nécessaire notamment à la sauvegarde de la vie de cette personne ; de l’intérêt public ; l’exercice ou la défense d’un droit en justice…

LES SANCTIONS

En cas de non-respect du RGPD, l’autorité de protection peut :

– prononcer un avertissement ;

– mettre en demeure l’entreprise ;

– limiter ou suspendre un traitement ;

– ordonner de satisfaire aux demandes d’exercice des droits des personnes ;

– ordonner la rectification, la limitation ou l’effacement des données.

Il peut y avoir aussi des sanctions administratives :

– de 10 ou 20 millions d’euros,

– ou de 2% jusqu’à 4% du chiffre d’affaires annuel mondial.

Enfin, les sanctions pénales pour atteintes aux droits de la personne sont les suivantes :

  • non-respect des obligations d’information : 1 500 euros d’amende,
  • non-respect des obligations relatives au traitement des données : 300 000 euros d’amende et 5 ans d’emprisonnement.

La CNIL peut également dénoncer au Procureur de la République les infractions.