Enjeux stratégiques du RGPD et impact sur la loi « Informatique et Libertés »

En mai 2018, le règlement européen du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) entrera en application.

Le système de contrôle a priori préexistant est appelé à disparaître. Toutefois, la responsabilité des différents acteurs sera renforcée. Les entreprises et organismes publics devront alors assurer une protection optimale des données à caractère personnel qu’ils traitent et devront pouvoir démontrer leur conformité au RGPD en cas de contrôle.

1. SUR LE RENFORCEMENT DES DROITS DES PERSONNES CONCERNEES PAR LE TRAITEMENT:

Les responsables du traitement des données devront être plus transparents avec les personnes concernées, lesquelles se voient conférer des droits renforcés en termes d’accès à leurs données avec notamment le droit d’exiger la rectification ou l’effacement de leurs données personnelles et de restreindre d’éventuels traitements ultérieurs.

2. SUR LA MISE EN CONFORMITE AU RGPD:

 Le RGPD impose aux responsables de traitements de mettre en place des programmes permettant d’assurer la mise en conformité et d’en fournir la preuve aux autorités de contrôle ainsi qu’aux personnes concernées.

Les responsables du traitement doivent mettre en place des mesures techniques et organisationnelles adéquates en mettant en œuvre une véritable politique de protection des données (codes de conduite, mécanismes de certification, analyses d’impact, pseudonymisation, etc.).

2.1. Désignation d’un délégué à la protection des données personnelles ou DPO:

La désignation d’un délégué à la protection des données personnelles va devenir obligatoire à compter du mois de mai 2018 pour :

  • les organismes publics ;
  • les entreprises dont l’activité implique :
    1. la réalisation d’un suivi régulier et systématique des personnes à grande échelle ;
    2. le traitement à grande échelle des données « sensibles » ou relatives à des condamnations pénales et à des infractions.

En tout état de cause, la désignation d’un délégué à la protection des données personnelles est aujourd’hui fortement recommandée afin qu’il puisse se saisir au mieux des problématiques traitées par le RGPD et prévenir les risques de contentieux.

Le délégué ou DPO aura pour missions principales d’informer l’entité de l’ensemble des obligations légales mises à sa charge tout en veillant au respect du règlement.

Pour ce faire, le délégué ou DPO devra réaliser un inventaire des traitements mis en œuvre par l’entité, solliciter la réalisation d’études d’impact sur la protection des données et mettre en place les actions de conformité en assurant leur suivi.

2.2 Tenue d’un registre des traitements mis en oeuvre:

Tout traitement pérenne mis en œuvre par une entité doit être répertorié dans un registre des traitements, peut important la taille de l’entité qui les met en œuvre.

Le registre doit être mis à jour régulièrement, au fur et à mesure de l’ajout de nouveaux traitements ou de la modification de traitements existants.

Ce registre doit être tenu sous forme écrite et peut être enregistré sous forme électronique. Il devra être présenté à l’autorité de contrôle en cas de demande de cette dernière.

Ce document permettra aussi de gérer les sollicitations des internautes qui voudraient récupérer leurs informations, comme le permet RGPD.

Concrètement, l’entité doit recenser dans ce registre :

  • les différents traitements de données personnelles mis en œuvre ;
  • les types de données personnelles traitées ;
  • les objectifs poursuivis par les opérations de traitement de données ;
  • les acteurs appelés à traiter ces données (identification des prestataires et sous-traitants) ;
  • le lieu d’hébergement des données ;
  • la durée de conservation des différentes données ;
  • les flux de données existants afin d’identifier d’éventuels transferts de données hors de l’Union européenne ;
  • les mesures de sécurité mises en œuvre pour protéger l’accès à ces données.

2.3 Contrats de sous-traitance

Les responsables du traitement doivent recourir exclusivement à des sous-traitants qui fournissent des garanties techniques et organisationnelles suffisantes pour satisfaire aux obligations posées par le RGPD (pseudonymisation, cryptage, etc.) et garantir le niveau de sécurité requis.

Les responsables du traitement doivent donc s’assurer que tous les contrats avec leurs sous-traitants sont conformes au RGPD.

Le sous-traitant est, quant à lui,  tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et  d’accountability. Il a notamment une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations du règlement (analyses d’impact, failles, sécurité, destruction des données, etc.).

Il est tenu de maintenir un registre et de désigner un DPO dans les mêmes conditions qu’un responsable de traitement.

Les responsables du traitement et les sous-traitants sont maintenant soumis à un régime de notification des violations. Lorsque cela est possible, les responsables du traitement doivent notifier aux autorités de contrôle les violations les plus sérieuses dans un délai de 72 heures.

2.4 Mise en place de certifications

Le RGPD prévoit l’approbation de codes de conduite et l’accréditation de certifications et labels au niveau de l’Union européenne, pour permettre aux responsables du traitement et aux sous-traitants de démontrer leur conformité en matière de protection des données personnelles.

2.5 Transfert transfrontalier de données

Le RGPD  élargi la base légale appropriée pour les transferts de données personnelles vers des pays situés hors de l’espace économique européen en incluant désormais des codes de conduite approuvés et des mécanismes de certification.

La Commission peut ainsi adopter des décisions d’adéquation selon lesquelles certains pays tiers sont réputés offrir un niveau de protection suffisant pour les transferts transfrontaliers de données.

2.6 Recours des personnes concernées par un traitement

Les personnes concernées par un traitement litigieux de leurs données à caractère personnel peuvent agir contre les responsables de traitement par différents moyens :

  • En introduisant une réclamation auprès de l’autorité de contrôle du lieu de résidence de la personne concernée, de son lieu de travail ou du lieu de l’infraction ;
  • En formant un recours contre une décision contraignante d’une autorité de contrôle devant les juridictions nationales ;
  • En engageant des procédures judiciaires devant les juridictions nationales du lieu d’établissement du responsable du traitement ou du sous-traitant ou du lieu de résidence de la personne concernée.

2.7 Sanctions dissuasives

Les autorités de contrôle peuvent imposer des amendes administratives.

Ces amendes peuvent s’élever jusqu’à 20 millions d’euros ou, dans le cas d’entreprises, à 4% du chiffre d’affaires annuel mondial, selon ce qui est le plus élevé des deux montants. Elles sont soumises à un contrôle juridictionnel et à des garanties procédurales. Il est à noter que les Etats membres de l’Union européenne peuvent prévoir des sanctions supplémentaires, y compris pénales.

3. SUR LE PROJET DE LOI RELATIF A LA PROTECTION DES DONNEES PERSONNELLES QUI ADAPTE AU DROIT DE L’UNION EUROPENNE LA LOI « INFORMATIQUE ET LIBERTES » DU 6 JANVIER 1978

Nicole Belloubet a présenté, le 13 décembre 2017  le projet de loi  relatif à la protection des données personnelles qui adapte au droit de l’UE la loi « Informatique et libertés » du 6 janvier 1978.

Ce projet de loi transpose le nouveau cadre juridique européen en matière de données personnelles (règlement 2016/679 -RGPD- et directive 2016/680) qui entrera en vigueur en mai prochain.

Ce projet de loi a pour ambition de créer un cadre unifié et protecteur pour les données personnelles des Européens, applicable à l’ensemble des entreprises et de leurs sous-traitants.

Le système de contrôle a priori qui existait jusqu’à présent et fondé sur les régimes de déclaration et d’autorisation préalables se transforme en un système de contrôle a posteriori, fondé sur l’appréciation par le responsable de traitement des risques causés par son traitement.

Toutefois, le contrôle à priori concernant les données les plus sensibles est maintenu.

Les pouvoirs de la CNIL sont renforcés et les sanctions encourues sont très fortement augmentées et portées jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé.

Sophie ATTALI-TRAPP
Avocat associée
AMSA Avocats
sophie.attali@amsa-avocats.com