A l’heure actuelle et en droit interne, les règles relatives à la protection des données personnelles sont prévues par la loi Informatique et libertés de 1978.

Les dispositions de cette loi prévoient qu’avant toute collecte et utilisation de données personnelles, le responsable de traitement doit précisément annoncer aux personnes concernées ce à quoi elles vont lui servir. Ces objectifs, ou finalités, doivent respecter les droits et libertés des individus et limitent la manière dont le responsable pourra utiliser ou réutiliser ces données dans le futur.

Dès lors que l’objectif poursuivi par la collecte des données est atteint, celles-ci doivent être supprimées puisqu’il n’y a pas lieu de les conserver.

De plus, une fois leur accord donné, les personnes concernées disposent de certains droits qu’elles peuvent exercer auprès de l’organisme qui détient les données les concernant. Il s’agit du droit d’accès aux données, du droit de les rectifier, et enfin, du droit de s’opposer à leur utilisation.

Le nouveau règlement européen du 24 avril 2016 vient renforcer l’ensemble des droits  des personnes en exigeant des responsables de traitement la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. Est consacré le principe « d’accountability », autrement dit, l’entreprise devient acteur et responsable de sa mise en conformité et en supporte la charge de la preuve.

• Date d’entrée en vigueur : 24 mai 2018

• Champ d’application

• Champ d’application matériel : le règlement s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.
• Champ d’application territorial : en pratique, le droit européen s’appliquera chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris si ce traitement a lieu par internet.

• Le consentement

L’expression du consentement, déjà présente en France depuis l’adoption de la Loi Informatique et libertés, est précisément encadrée. Les utilisateurs doivent être informés de l’usage de leurs données par exemple par le biais du règlement intérieur ou du contrat de travail. Dans l’hypothèse d’un contrat de travail, l’employé doit notamment être informé des modalités de traitement et de ses finalités, ses droits relatifs à ses données doivent lui être rappelés et il doit être averti si les données recueillies feront l’objet d’un transfert à une autre entité juridique. Les salariés doivent en principe donner leur accord pour le traitement de leurs données, ou doivent pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit être non ambigüe.

• Les données concernées

Le règlement s’applique au traitement de données à caractère personnel.

• Une donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable. Il s’agit d’une notion large englobant un nombre important de données (nom, prénom, date et lieu de naissance, adresse etc).
• La notion de traitement est quant à elle, tout aussi étendue. Il s’agit de toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, tels que par exemple, la collecte, l’enregistrement, la conservation ou encore l’extraction des données.

L’employeur doit se contenter de traiter uniquement les données nécessaires à l’objectif pour lequel il les traite.

• Les débiteurs des obligations issues du règlement 

Les obligations pèsent sur le responsable du traitement qui se définit comme la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens de traitement.

Attention : le règlement rééquilibre les relations entre le responsable de traitement et l’éventuel sous-traitant. Auparavant, seul le responsable de traitement répondait auprès de la CNIL des manquements à la règlementation. Désormais, le responsable de traitement doit d’abord s’assurer que le sous-traitant auquel il a recours présente les garanties nécessaires et suffisantes dans le traitement des données personnelles. Ensuite, un contrat de sous-traitance doit obligatoirement être conclu. Enfin, la fin du contrat est encadrée en ce sens que le sous-traitant doit supprimer les données personnelles et/ou restituer intégralement les données traitées. Le sous-traitant doit rendre compte au responsable du traitement et respecter ses consignes. Il n’est responsable que s’il n’a pas respecté les obligations du règlement qui incombent spécifiquement aux sous-traitants ou s’il a agi en dehors des instructions du responsable de traitement.

• Les conditions de licéité de la collecte de données

Les conditions de licéité de la collecte de données à caractère personnel sont inchangées (à savoir : loyauté et licéité de la collecte, finalités déterminées, explicites et légitimes, pertinence et proportionnalité des données, conservation limitée et sécurisation des données).

• Les principales innovations du règlement :

• Désormais et sauf exception, il se sera plus nécessaire d’effectuer des déclarations ou des demandes d’autorisation préalables à la mise en place de traitements de données à caractère personnel. Autrement dit, la mise en place du règlement s’accompagne du passage d’un système de contrôle a priori de la CNIL, par le biais des déclarations et autorisations, à un contrôle a posteriori plus adapté aux évolutions technologiques. Seuls certains transferts de données en dehors de l’Union européenne demeureront soumis à une obligation d’autorisation préalable.

• Mise en place d’un « guichet unique », à savoir l’autorité de protection des données  de l’Etat membre où se trouve l’établissement principal d’une entreprise. Ainsi, les entreprises bénéficieront d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles.

• La création d’un délégué à la protection des données (« Data Protection Officer »), qui, par opposition au correspondant Informatique et libertés qui était facultatif, sera obligatoire lorsque:
  •  le traitement est effectué par une autorité publique ou un organisme public, à l'exception des juridictions agissant dans l'exercice de leur fonction juridictionnelle;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées;
  • les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données ;

Dans tous les cas, la désignation d’un délégué à la protection des données apparait opportune compte tenu de la complexité des obligations mises à la charge des entreprises.

Ce délégué à la protection des données aura pour mission d’informer et de conseiller le responsable de traitement ou le sous-traitant, mais aussi de contrôler le respect de la législation européenne, notamment en s’assurant qu’un registre des traitements de données est bien tenu en interne  (cela vient en remplacement des formalités préalables à la CNIL).

Le délégué doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions ». Il pourra être désigné en interne ou en externe.

Le délégué à la protection des données n’est pas personnellement responsable des manquements à la réglementation applicable en matière de données personnelles découlant des traitements mis en œuvre par l’entreprise. Ainsi, le responsable de traitement ou le sous-traitant restent responsables en tout état de cause des non-conformités constatées.

• Obligation pour les entreprises de plus de 250 salariés de tenir un registre des traitements de données qui devra être mis à disposition de l’autorité administrative compétente. Toutefois, les entreprises de moins de 250 salariés devront se conformer à cette obligation notamment si le traitement n’est pas occasionnel ou si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et libertés des personnes concernées. Ce registre doit notamment comporter le nom et les coordonnées du responsable du traitement, les finalités du traitement, ainsi qu’une description des catégories de personnes concernées et des catégories de données à caractère personnel.

• Création d’un droit à rectification des données à caractère personnel en cas d’inexactitudes.

• Création d’un droit à l’oubli permettant d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel lorsqu’un des motifs prévus par le règlement s’applique (par exemple en cas de retrait par une personne concernée par le traitement de son consentement sur lequel est fondé ce traitement, ou en cas de traitement illicite des données).

• Création d’un droit à la limitation du traitement : il permet de demander au responsable de traitement qu’il procède à la limitation du traitement des données dans certains cas limitativement énumérés (par exemple lorsque l’exactitude des données à caractère personnel est contestée).

• Le renforcement de la protection des personnes mineurs : bien que le consentement soit officiellement recueilli auprès du titulaire de l’autorité parentale, l’information sur le traitement de données concernant des mineurs de moins de 16 ans doit être rédigée en des termes clairs et simples afin d’être compris par ces personnes.

• La création de la portabilité des données : une personne aura la possibilité de récupérer les données fournies et, le cas échéant, de les transférer ensuite à un tiers.

• L’instauration d’un droit à réparation : désormais, toute personne ayant subi un dommage matériel ou moral du fait d’une violation d’une disposition du règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

• La sécurité des données à caractère personnel est accrue : les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées. De plus, le responsable de traitement des données doit notifier dans un délai de 72 heures à l’autorité de protection des données toute violation, par un tiers, de données à caractère personnel. Enfin, l’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.

• En amont de la mise en œuvre du traitement de données à caractère personnel, les entreprises devront procéder à une analyse d’impact  afin de mesurer le niveau de faisabilité de ce traitement au regard des obligations du règlement. De plus, lorsqu’une analyse d’impact indique que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, le responsable du traitement doit consulter l’autorité de contrôle préalablement  au traitement des données.

• Mise en place du principe des actions collectives : les associations, actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données, auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.

• Sanctions encourues :

Le responsable du traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Le plafond des amendes administratives diffère selon la gravité des violations :

• Un premier plafond s’élève à 10 000 000 € ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant retenu étant le plus élevé).
• Un second plafond s’élève à 20 000 000 € ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent (le montant retenu étant le plus élevé).

En plus des sanctions administratives, le responsable de traitement est également susceptible de devoir indemniser toute personne ayant subi un dommage du fait de la violation du règlement.

Enfin, il ne faut pas oublier le risque pénal sur le fondement des atteintes aux droits de la personne résultant de traitements informatiques dont les sanctions encourues vont jusqu’à cinq ans d’emprisonnement, 300 000 € d’amende pour les personnes physiques et      1 500 000 € pour les personnes morales.

• Préconisations de la CNIL afin de mettre en place le RGPD:

• Désigner un pilote afin d’organiser les actions à mener ;
• Cartographier les  traitements de données personnelles ;
• Prioriser les actions à mener en fonction des risques que font peser les traitements de l’entreprise sur les droits et libertés des personnes concernées ;
• Gérer les risques, mener une analyse d’impact sur la protection des données pour chaque traitement identifié comme susceptible de générer un risque pour les droits et libertés des personnes concernées ;
• Organiser les processus internes pour assurer un haut niveau de protection des données à tout moment, quels que soient les évènements pouvant survenir au cours de la vie d’un traitement ;
• Documenter la conformité.

A toutes fins utiles pour vous permettre d’élaborer les actions à mettre en œuvre pour satisfaire aux nouvelles dispositions du RGPD, nous vous conseillons de consulter le site suivant :

www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire

En conclusion, le respect du règlement représente un atout car il va permettre d’accroitre la confiance des salariés, partenaires et clients dans l’entreprise et lui permettre de se différencier de la concurrence.