Par Bertrand Liard, associé, et Audrey Lémery, élève avocat, White & Case

Avec le Règlement, le législateur européen modifie en profondeur sa stratégie de protection des données personnelles en passant d’une logique de contrôle des traitements a priori par les autorités nationales à un principe de responsabilisation des entreprises s’accompagnant de sanctions prononcées a posteriori.

Le renforcement significatif des pouvoirs répressifs des autorités de contrôle ne manquera pas d’encourager les entreprises à fournir l’effort de mise en conformité requis puisque tout manquement aux dispositions du Règlement sera susceptible de conduire à des amendes pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.

L’importance des obligations nouvelles mises à la charge des responsables de traitement (i.e personnes physiques ou morales, autorités publiques ou organisations déterminant les finalités et les moyens du traitement), et des sous-traitants doit ainsi les inciter à engager, dès à présent, un travail de fond pour cartographier l’ensemble des traitements réalisés, revoir les documents contractuels et commencer à incorporer, au sein de l’organisation, des outils, procédures et méthodes qui permettront de garantir la conformité de l’organisation au Règlement.

Ce dernier entrant en vigueur le 25 mai 2018, les organisations ont désormais moins de deux ans pour s’y préparer.

Si le Règlement accroît les contraintes pesant sur les entreprises en matière de traitement de données personnelles, il permet également une certaine souplesse dans sa mise en œuvre, qui pourra être utilement exploitée par les entreprises.

Un renforcement des obligations des organisations responsables de traitement et de leurs sous-traitants

Le Règlement ajoute des garanties pour protéger le consentement de toute personne concernée par un traitement de ses données personnelles : le consentement doit notamment être libre, spécifique, éclairé et se manifester par une déclaration ou un acte positif clair.

Ainsi, les entreprises devront mettre en place des procédures internes pour s’assurer de la réalité du consentement recueilli et faciliter la gestion des demandes de retrait. La preuve du consentement est bien évidemment mise à la charge de l’entreprise.

Le Règlement consacre également un droit à l’oubli, renforcé pour les mineurs, c’est-à-dire un droit à l’effacement de ses données, dans les meilleurs délais, sous certaines conditions. Le Règlement impose aussi au responsable de traitement qui se voit notifier une demande d’effacement ou de rectification des données ou de limitation du traitement, d’en informer les parties tierces auxquelles les données ont été communiquées, ce qui passera par la mise en place de procédures spécifiques au sein de l’entreprise, même si d’inévitables difficultés pratiques risquent de se poser lorsque de larges volumes de données sont traités.

Toute personne dispose également d’un droit à la portabilité lui permettant d’obtenir une copie de ses données personnelles en vue de les transmettre à un autre responsable de traitement.

Les obligations des responsables de traitement et des sous-traitants en matière de sécurité des données personnelles sont renforcées. En amont, les organisations sont tenues de prendre toutes les mesures nécessaires pour garantir la sécurité des données. Néanmoins, en cas de grave violation de données personnelles, le responsable de traitement devra le notifier aux autorités compétentes dans un délai maximum de soixante-douze heures après en avoir eu connaissance et, dans certains cas, directement aux personnes concernées. Cette obligation doit inciter les entreprises à mettre en place des procédures internes intégrant les sous-traitants et permettant d’identifier, analyser et alerter les différents services de l’entreprise, les filiales du groupe et les autorités de contrôle dans de telles circonstances. On parle ici de la mise en place d’une véritable cellule de gestion de crise.

Le Règlement accroît également les obligations et responsabilités mises à la charge des sous-traitants. Toute personne subissant un préjudice lors du traitement de ses données pourra ainsi agir indifféremment contre le responsable ou le sous-traitant, libre à l’entreprise visée de se retourner ensuite contre son cocontractant. Le Règlement fait d’ailleurs du contrat l’instrument clé dans le partage des responsabilités entre le responsable de traitement et son sous-traitant ou entre coresponsables de traitement. Les entreprises devront donc renégocier et/ou développer des modèles contractuels intégrant les dispositions impératives du Règlement et définissant précisément les responsabilités de chacun.

Une certaine souplesse de mise en œuvre des obligations de conformité ?

La fin des formalités préalables obligatoires auprès de l’autorité de contrôle nationale constitue un apport essentiel du Règlement. Il sera ainsi de la responsabilité de chaque entreprise de mettre en place les dispositifs juridiques, techniques et organisationnels adaptés à sa situation.

Cette responsabilisation se traduit par un transfert de la charge de la preuve de la conformité de l’autorité de contrôle vers l’entreprise. Le responsable de traitement doit ainsi être en mesure de documenter, à tout moment, la conformité de ses traitements et d’apporter la preuve du dispositif organisationnel déployé pour garantir cette conformité au quotidien. Cette conformité passera aussi par des actions de formation et de sensibilisation des salariés. Tout responsable de traitement doit également tenir un registre détaillé de l’ensemble des traitements réalisés, à l’exception des organisations de moins de 250 salariés n’effectuant pas de traitement à risque.

La mise en conformité pourra être facilitée par l’adoption de codes de conduite, de certifications ou de règles d’entreprise contraignantes.

Le délégué à la protection des données : un Correspondant informatique et libertés nouvelle génération

Avec le Règlement, les responsables de traitement qui effectuent des traitements exigeant un suivi régulier et systématique à grande échelle des personnes ou qui impliquent à grande échelle des données sensibles devront obligatoirement nommer un délégué à la protection des données ou «DPO». Le Règlement pose des exigences d’expertise pour l’exercice de l’activité de DPO, mais également de garanties d’indépendance. La nomination d’un employé à cette fonction devient donc plus contraignante.

Au-delà de sa mission de conseil et d’information, le DPO est désormais tenu de contrôler le respect de la conformité de l’entreprise au Règlement. En outre, le DPO devient le point de contact pour l’autorité de contrôle au sein de l’organisation. Le Règlement instaure d’ailleurs un mécanisme dit «One-Stop-Shop» permettant aux groupes disposant de plusieurs établissements en Europe, d’être soumis, pour l’ensemble de leurs traitements, à la seule autorité de contrôle du lieu de leur établissement principal.

Il reste moins de deux ans !

Il reste moins de deux ans avant l’entrée en vigueur du Règlement et ce ne sera pas de trop pour permettre aux organisations comme aux autorités de protection de se préparer. Certaines des dispositions du Règlement sont encore peu précises et ces dernières travaillent à leur donner forme dans le temps imparti.

Néanmoins, rien ne sera possible sans l’adhésion de la direction générale de l’entreprise. Le montant des sanctions potentielles peut aider à la convaincre de l’importance du sujet – et c’est bien l’objectif que leur a donné le législateur européen. Egalement, compte tenu du nouveau mode de régulation, il est à prévoir une multiplication du contentieux en matière de données personnelles. La comparaison avec le droit de la concurrence est éclairante à cet égard. C’est aussi un argument de plus pour mobiliser l’organisation et ses conseils afin de mener à bien ce grand projet de mise en conformité et préparer ainsi les futures batailles dans de bonnes conditions.