Retour

18 décembre 2017

Règlement général sur la protection des données (RGPD) : êtes-vous prêt?

Auteur : Delphine ROUGIER

2018 sera-t-elle l’année des grandes avancées en matière de protection des données personnelles ?

A l’heure où des voix s’élèvent pour critiquer la menace que certains réseaux sociaux font peser sur la démocratie, il y a fort à penser que les évolutions en matière de protection de données personnelles ne se feront pas rapidement, et comme disait un homme politique, que « le chemin sera long et la pente sera raide » pour parvenir à une véritable protection en la matière.

2018 sera, de manière plus pragmatique, l’année durant laquelle les professionnels devront s’adapter à la nouvelle réglementation européenne en la matière.

Le 25 mai 2018 entrera en effet en vigueur le Règlement européen sur la protection des données personnelles, directement applicable en France, dans la mesure où, à l’inverse d’une directive, il n’est pas nécessaire de le transposer en droit français.

Si une nouvelle loi Informatique et Libertés est souhaitée depuis plusieurs mois, notamment par la CNIL, aucun projet à ce jour n’a été rendu public. La mise en conformité de la Loi du 6 janvier 1978 « relative à l’informatique, aux fichiers et aux libertés » au Règlement européen semble toutefois sérieusement envisagée, puisque Nicole Belloubet, Garde des Sceaux, a présenté le 13 décembre 2017, un projet de loi relatif à la protection des données personnelles en Conseil des Ministres.

Il est donc recommandé aux professionnels d’anticiper l’entrée en vigueur de ce Règlement et de s’adapter aux nouvelles obligations qu’il créé.

Si les sociétés qui recueillent des données personnelles, telles que des adresses IP, des numéros de téléphone et a fortiori des noms et informations personnelles comme des données relatives à la santé, étaient soumises a minima à une obligation de déclaration auprès de la CNIL, celles-ci seront, à compter du 25 mai prochain, de véritables acteurs de la sécurité des données personnelles.

Le Règlement procède d’une double dynamique :

– d’une part, les obligations déclaratives seront supprimées de manière à ce que la CNIL se concentre sur ses activités de contrôle et de sanction, étant précisé que les sanctions susceptibles d’être prononcées sont amplement renforcées (de 2 à 4 % du chiffre d’affaires mondial réalisé par le responsable de traitement, en fonction des infractions),

– d’autre part, les sociétés sont désormais responsabilisées en ce qu’elles ont l’obligation de créer des registres de traitement, d’instaurer des process internes visant à définir quel type de données est recueilli, à qui ces données sont communiquées, quels usages en sont faits, selon quelles modalités ou encore sous quelle durée elles sont supprimées.

Les sociétés sont donc tenues de mettre en place des mesures techniques et organisationnelles adéquates pour prévenir les risques pour les droits et libertés (tests réguliers, mise en conformité au regard de l’obligation de minimiser les données recueillies, politique de conservation de données, d’archivage, politique de gestion des incidents de sécurité).

Le responsable de traitement est, aux termes du Règlement, obligé de déclarer à la CNIL tout incident concernant les données personnelles, et ce, dans les 72 heures à compter de sa survenance. Cette obligation, qui concernait jusqu’à présent les opérateurs Internet et de téléphonie mobile et dans une certaine mesure les banques, est ainsi généralisée.

Au regard de l’occurrence des piratages et failles de sécurité constatés chaque année, cette obligation nécessite d’être connue et anticipée.

Le Règlement européen sur la protection des données instaure en outre une co-responsabilité entre le responsable de données et le sous-traitant. A titre d’exemple, une société qui sous-traite son service après-vente, devra contractuellement responsabiliser son sous-traitant et attirer son attention sur son obligation en matière de protection des données.

Les contrats conclus avec des sous-traitants devront ainsi comprendre des clauses de garantie sur la protection des données personnelles, d’interdiction de la transmission à des tiers, et des conditions de confidentialité strictement définies.

Tant les documents contractuels destinés aux consommateurs (B2C), que les contrats entre professionnels (B2B) et en particulier de sous-traitance, devront être adaptés et actualisés au regard des nouvelles obligations figurant dans le Règlement.

Notre Cabinet est à votre disposition pour revoir vos documents contractuels et les mettre à jour de cette nouvelle réglementation.