Recherche

Gestion des données personnelles: obligation de se mettre en conformité avant le 25 mai 2018

Entré en vigueur en mai 2016, le RGPD (Règlement général sur la protection des données) modifie les règles de gestion des données à caractère personnel dans les entreprises. Fin mai 2018, toutes les organisations devront être en conformité.

Publié par Bénédicte Gouttebroze le | Mis à jour le
Lecture
7 min
  • Imprimer
Gestion des données personnelles: obligation de se mettre en conformité avant le 25 mai 2018

Le Règlement général sur la protection des données (RGPD) du 27 avril 2016 est paru au JO le 4 mai 2016. Afin d'accompagner les services juridiques des entreprises dans sa mise en oeuvre, Elegia Formation a organisé le 6 décembre 2016 une conférence sur le sujet, animée par Sylvain Staub et Thomas Beaugrand, avocats chez Staub & Associés, Clémence Scottez, chef de service des affaires économiques du CNIL, et Bruno Teboul, senior vice-président science & innovation du groupe Keyrus. Focus (non exhaustif!) sur quelques questions abordées dans le cadre de cette conférence et qui concernent directement les Daf.

Qui est concerné?

Le RGPD s'applique "au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier." Ce règlement s'applique à toute structure (responsable de traitement des données ou sous-traitant)

  • ayant un établissement dans l'Union européenne
  • ou bien proposant une offre de biens ou de services visant les personnes qui se trouvent sur le territoire de l'Union européenne. Les actions de profilage visant cette cible sont également concernées.

Ainsi, alors que la loi Informatique et libertés se basait sur des critères d'établissement et de moyens de traitement, le règlement européen 16-679 introduit la notion de ciblage: le critère principal d'application est désormais le traitement des données d'une personne se trouvant au sein de l'UE.

Qu'est-ce qu'une donnée à caractère personnel?

L'une des difficultés posées par le RGPD va consister à définir les données personnelles concernées. Le règlement indique qu'il s'agit de "toute information concernant une personne physique identifiée ou identifiable", directement ou indirectement. Des données indirectement identifiantes, telles qu'un numéro de téléphone, ou un identifiant, sont donc concernées. De même, les données comportementales collectées sur Internet (notamment recueillies dans le cadre d'actions marketing de profilage), si elles sont corrélées à une identité, deviennent des données à caractère personnel. Selon le traitement appliqué aux données, des informations non identifiantes peuvent ainsi devenir identifiantes, par croisement des informations collectées.

À noter, le RGPD prévoit des exceptions selon les traitements concernés, notamment au niveau des traitements de données RH (recrutement, contrat de travail...), pour lesquels les États membres peuvent prévoir "des règles plus spécifiques pour assurer la protection des droits et libertés" (article 88).

Quelles obligations pour les entreprises?

La loi Informatique et libertés se basait sur du déclaratif initial et des contrôles ponctuels. Le nouveau règlement européen remplace cette obligation de déclaration par une obligation de prouver à chaque moment que l'entreprise protège les données. Dès lors, la structuration même des outils permettant la collecte des données (CRM, DMP, solutions de tracking ou de géolocalisation...), mais aussi les contrats passés avec les sous-traitants et clients sont impactés. "Le règlement couple des notions techniques et juridiques", souligne Thomas Beaugrand, avocat au sein du cabinet Staub & Associés. Il introduit des nouveaux principes et concepts qui renvoient désormais vers plus de précautions techniques.

Par ailleurs, les entreprises ont, entre autres, l'obligation de donner la finalité précise de la collecte des données (il s'agit du principe de minimisation, un des grands principes de la dataprotection, qui impose que seules les données nécessaires à la finalité poursuivie pourront être collectées). Le GRPD impose également le principe de conservation limitée des données, ainsi que celui de coresponsabilité des sous-traitants et des entreprises en matière de protection de la data, qui permet de distribuer les responsabilité en fonction de la mainmise de chacun sur les données.

Enfin, parmi les changements majeurs, la nomination d'un DPO, ou délégué à la protection des données, qui sera obligatoire dans tout le secteur public, ainsi que dans les structures privées qui font des traitements de données exigeant un suivi régulier et systématique des personnes à grande échelle (dans le secteur du marketing, notamment). Il sera le garant de la conformité au règlement (voir encadré en page suivante).

>> Lire la suite en page 2


Les grandes nouveautés introduites par le RGPD

  • La démarche de privacy by design: les données personnelles devront être identifiées directement en tant que telles dans le système afin de limiter leur accès. C'est donc dès la conception intellectuelle et technique des traitements que cette notion doit être intégrée. Le privacy by design "doit être traduit en dur dans le code source" des outils utilisés par l'entreprise, insiste Thomas Beaugrand.
  • La démarche de security by default: par défaut, les données doivent être discriminées pour n'utiliser que celles qui sont strictement nécessaires à la finalité poursuivie. Ainsi, les outils doivent discriminer les données selon les traitements et habilitations.
  • La démarche d'accountability: le responsable du traitement doit disposer de registres décrivant tous les traitements appliqués aux données, afin de pouvoir démontrer à tout moment que la protection des données personnelles au sein de sa structure est optimale.

Quelles sont les actions et modifications à mettre en oeuvre?

Face au bouleversement engendré par l'entrée en vigueur du RGPD en mai dernier, il reste aux entreprise moins de 18 mois pour se mettre en conformité: à compter du 25 mai 2018, toutes les organisations devront respecter le nouveau règlement, et des sanctions lourdes, jusqu'à 4% du CA annuel mondial de l'entreprise prise en défaut, pourront tomber.

La première étape pour le Daf consiste donc à réaliser un mapping pour identifier les traitements des données existants au sein de sa structure. Pour les services juridiques, "il sera nécessaire de se mêler à toutes les fonctions support pour assurer la mise en place de ce règlement", recommande Clémence Scottez, chef de service des affaires économiques de la CNIL, afin de déterminer les interlocuteurs-clés.

Deuxième étape: réaliser des études de risques et d'impact selon les traitements adoptés et la nature des données, et si besoin se faire accompagner par des experts pour définir une politique de gestion des données. L'EDPB (European data protection board), émanation du G29 qui regroupera l'ensemble des CNIL européennes, va fournir des listes de traitements soumis à des études d'impact de risque.

Enfin, le Daf, main dans la main avec les différentes directions de l'entreprise, au premier rang desquelles la DSI, devra mettre en place les réorganisations internes nécessaires (désignation du DPO, mais aussi déploiement des différentes démarches de privacy by design, security by default et accountability) et contractualiser les mesures de sécurité avec les clients et fournisseurs.

Dans quels cas nommer un DPO?

La désignation d'un délégué à la protection des données, qui sera le garant de la conformité au règlement, est obligatoire:

  • lorsque le traitement des données est effectué par une institution publique
  • si les activités de base de l'organisme consistent en des traitement qui imposent un suivi régulier et systématique à grande échelle des personnes concernées (par exemple pour les ciblages marketing ou la lutte contre la fraude)
  • si les activités de base de l'organisme consistent en des traitement à grande échelle de données sensibles ou de données relatives aux condamnations et infractions spéciales (par exemple des infractions pénales dans le cadre de la lutte contre les incivilités en banque)

Le DPO doit avoir une certaine neutralité et être en contact direct avec le Comex pour remonter les problématiques rapidement. À noter, le RGPD autorise la mutualisation du DPO pour des groupes d'entreprises. Les petites structures pourront ainsi faire appel à un prestataire externe, à condition que ce délégué soit "facilement joignable à partir de chaque lieu d'établissement" (article 37.5 du RGPD).

Pour rappel, même si une entreprise n'est pas concernée par l'obligation de désigner un DPO, elle devra tout de même pouvoir justifier à tout moment du strict respect du RGPD dans sa gestion des données.

À lire aussi: "Après le Safe Harbor, la gestion des données clients et salariés en "zone grise" : la to do list du directeur administratif et financier"

Découvrez le règlement général de protection des données en (presque) un coup d'oeil et quelques clics avec la datavisualisation réalisée par la CNIL.

Les conseils de la CNIL pour mener ses études d'impacts: découvrez la méthode ici.

L'interview de Me Sylvain Staub: "Mai 2018 arrivera très vite et il n'y aura pas de délai supplémentaire"

Livres Blancs

Voir tous les livres blancs
S'abonner
au magazine
Retour haut de page