RGPD : Règlement Général sur la Protection des Données

21/03/2018

 

Le Règlement Général sur la Protection des Données, ou RGPD, issu de la Directive Européenne 2016/679CE  entrera en vigueur le 25 mai prochain. Quel est l’objectif de l’Europe à travers ces nouvelles dispositions ? Quelles sont les principales implications de ce nouveau texte ? Quelles sont les étapes pour se mettre en conformité ? Quelles sont les actions menées par Roederer pour la protection des données à caractère personnel de ses clients ? 

 

Qu’est-ce que le RGPD ?

Le RGPD, ou GDPR (General Data Protection Regulation), est un nouveau cadre européen qui concerne le traitement et la circulation des données à caractère personnel. Cette réforme est applicable à l’ensemble des résidents de l’Union Européenne.

Le RGPD vise à devenir le texte de référence dans l’Union Européenne en matière de données personnelles. Avec le Règlement Général de Protection des Données, il s’agit d’harmoniser le cadre juridique de la protection des données personnelles pour l’ensemble des Etats membres de l’Union Européenne. Les 3 objectifs principaux sont les suivants :

  • Renforcer le droit des citoyens,
  • Responsabiliser les acteurs de la donnée,
  • Renforcer le contrôle et l’application des sanctions.

 

 

La Commission Européenne souhaite rétablir la confiance des citoyens en l’économie numérique et de leur redonner le contrôle sur leurs données à caractère personnel. Nous connaissons tous à ce titre, au travers des médias, les dérives portant sur des méthodes de collecte déloyales ou sur des utilisations abusives de telles données. La lumière est bien souvent faite sur les très grandes entreprises dites GAFA (acronyme issu des noms des principaux géants de l’internet).

 

A SAVOIR : On qualifie une donnée à caractère personnel toute information se rapportant à une personne physique identifiée ou identifiable.

 

A ce jour le dispositif en matière de protection des données en France relève de la loi informatique et libertés du 6 janvier 1978 qui a été modifiée et complétée tout au long de son existence notamment par la loi du 6 août 2004 laquelle avait pour objet la transposition d’une Directive européenne de 1995 et la loi du 7 octobre 2016 « pour une République Numérique ».

Le régime actuel consiste en la déclaration, ou à la demande d’autorisation à la Commission Nationale Informatique et Libertés (CNIL), des différents traitements des données à caractère personnel. Outre l’information de la CNIL sur l’existence de ces traitements, les déclarations supposent la mise en application d’un certain nombre de mesures visant à garantir la protection de ces données. La CNIL  effectue d’ailleurs des contrôles et dispose d’un pouvoir de sanction, déjà renforcé par la loi « pour une République Numérique » en 2016,  qui peut  aller d’un simple avertissement à une amende administrative d’un maximum de 1.000.000€ (2.000.000€ en cas de récidive).

Le bouleversement et la frénésie actuelle autour du RGPD s’explique par une modification en substance de ce modèle.

 

Qu’est-ce qui change avec le RGPD ?

En effet, le règlement prévoit que désormais toute structure traitant des données personnelles devra mettre en œuvre son propre système interne visant à garantir non seulement la protection et la sécurité des données mais également garantir la faculté pour chaque citoyen d’user  des droits qui lui sont octroyés à ce titre.  Il s’agit ici du principe d’ « accountability », c’est-à-dire dans une traduction approximative, un principe de responsabilisation.

Quelles obligations pour les entreprises ?

Au nombre des grandes mesures du RGPD l’on peut citer les obligations pour certaines entreprises de :

  • Désigner un Data  Protection Officer (DPO) traduit en français par « Délégué à la Protection des Données »,
  • Mettre en œuvre de dispositifs spécifiques pour recueillir le consentement exprès de l’usager pour certains traitements,
  • Réaliser des études d’impact pour certains traitements,
  • Mettre en application le principe de minimisation des données,
  • Définir des modalités permettant de prendre en compte la protection des données personnelles dans tout projet les impliquant (principe du « privacy by design »).

Il ne s’agit ici que d’un aperçu de quelques éléments essentiels liés à la mise en conformité au RGPD.

Quelles sont les sanctions en cas de non-conformité ?

Outre la  révolution que représente ce dispositif, le RGPD donne à la CNIL, et à ses homologues européen, la possibilité d’utiliser des moyens de sanctions réellement coercitifs notamment pour les amendes administratives qui peuvent désormais atteindre 10 millions d’euros ou 2% du CA mondial d’une entreprise, voire pour certaines infractions 20 millions d’euros ou 4% du CA mondial de l’entreprise.

La CNIL renforce actuellement ses effectifs pour permettre la mise en œuvre des contrôles.

Compte-tenu d’une relative complexité des enjeux, de l’aggravation des sanctions possibles et d’une date de mise en application fixée au 25 mai 2018, toute entreprise devrait déjà avoir entrepris les démarches utiles pour sa mise en conformité. Si tel n’est pas le cas, les actions doivent être menées dès aujourd’hui et certains spécialistes proposent d’assister les organismes concernés dans la mise en œuvre de leur processus.

 

Comment Roederer se met en conformité avec le RGPD ?

Roederer,  pour qui le sujet est  entendu comme un enjeu majeur, a débuté ses travaux dès le début de l’année 2017 accompagné pour cela de spécialistes en la matière afin que chaque client puisse bénéficier des effets protecteurs du RGPD à la date de sa mise en application.

Toutefois, à quelques jours de l’entrée en vigueur de la Directive, certains mécanismes et notions prévus dans le règlement méritent encore des éclaircissements de la part du législateur français et de la CNIL. Aussi cette dernière a précisé que lors de ses contrôles, si elle apprécierait de manière stricte les obligations déjà applicables et que le RGPD ne modifie pas, elle serait plus clémente dans sa vision des nouvelles obligations préférant accompagner l’entreprise dans ses travaux de mise en conformité plutôt que de sanctionner.

Cette position constructive de la CNIL dépendra néanmoins de l’état d’avancement des dits travaux et de la preuve de la volonté des organismes d’atteindre le meilleur niveau conformité dans les meilleurs délais.