Le règlement européen n° 2016/679 du 27 avril 2016, ou règlement général sur la protection des données, (le «RGPD»), entrera en vigueur le 25 mai 2018. Les entreprises qui ne s’y conforment pas s’exposent à des amendes administratives pouvant s’élever jusqu’au montant le plus élevé entre 20 millions d’euros et 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Par Danhoé Reddy-Girard, associé, Gowling
Le présent article a pour but de décrire de manière très pratique les actions que doit prendre, pour se conformer au RGPD, une entreprise établie en France qui serait actuellement en conformité avec la loi n° 78-17 du 6 janvier 1978.
Registre(s)
L’entreprise devra tenir un registre des traitements de données à caractère personnel (ci-après, les «traitements») dont elle est responsable du traitement. Le modèle de registre proposé par la Commission nationale informatique et libertés (la «CNIL») comprend une liste de traitements et une fiche descriptive pour chaque traitement. Chaque fiche de traitement doit indiquer notamment ses finalités, les catégories de personnes concernées (expression désignant les personnes physiques dont les données à caractère personnel sont traitées), les catégories de destinataires et leur pays et, «dans la mesure du possible», les délais prévus pour l’effacement des différentes catégories de données.
Il est recommandé d’identifier les traitements en utilisant la même nomenclature que celle développée par la CNIL dans ses dispenses, normes simplifiées, autorisations uniques, méthodologies de référence et recommandations de déclaration normale, et de vérifier que les traitements sont conformes aux recommandations de la CNIL dans chacun de ces documents en ce qui concerne les catégories de données recueillies, la durée de conservation et les catégories de destinataires.
Si l’entreprise intervient également en qualité de sous-traitant au sens du RGPD (si elle traite des données à caractère personnel pour le compte d’un responsable du traitement), elle devra tenir un second registre pour ces traitements.
Le RGPD exempte de ces obligations les entreprises comptant moins de 250 employés, mais l’exemption ne fonctionne que pour un traitement «occasionnel», sans risque et qui ne porte pas sur des données sensibles ou relatives à des condamnations pénales ou des infractions.
Contrats
Les clauses «données personnelles» et les avis devront être mis à jour au vu des nouvelles informations devant être communiquées aux personnes concernées (employés, clients et fournisseurs personnes physiques, personnes physiques représentant des clients et fournisseurs personnes morales…).
Tout formulaire de recueil de consentement sera revu au vu des nouvelles prescriptions.
Si l’entreprise détermine conjointement les finalités et les moyens d’un traitement avec une autre personne, elles seront considérées responsables conjointes du traitement et devront conclure un accord définissant le rôle de chacune et mettre à disposition les «grandes lignes» de cet accord aux personnes concernées.
Les contrats entre responsable de traitement et sous-traitant devront inclure de nouvelles stipulations, la CNIL ayant proposé des clauses types à cette fin.
Enfin, il est rappelé que tout contrat avec un destinataire situé dans un pays extérieur à l’Espace économique européen qui n’a pas été jugé par la Commission européenne comme offrant un niveau adéquat de protection doit comporter certaines clauses types, sauf autre «garantie appropriée».
Analyses d’impact
Selon les questions-réponses de la CNIL, «[l]es fichiers pour lesquels des formalités ont déjà été régulièrement effectuées auprès de la CNIL (déclarations, autorisations accordées et avis rendus) pourront être poursuivis après le 25 mai 2018 sans devoir faire l’objet d’une éventuelle étude d’impact vie privée tant qu’ils ne seront pas modifiés de façon substantielle».
A défaut, ou pour tout nouveau traitement, il conviendra de :
- déterminer si le traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, notion ayant fait l’objet de lignes directrices par le groupe de travail de l’article 29 (le «G29»), dont la CNIL fait partie ;
- dans ce cas, réaliser l’analyse d’impact selon les prescriptions applicables ;
- s’il ressort de cette analyse d’impact que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, consulter préalablement la CNIL.
Délégué à la protection des données
Un délégué à la protection des données (un «DPD» ou «DPO» pour data protection officer) a pour mission notamment de contrôler le respect du RGPD y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant.
Une entreprise devra nommer un DPD si ses activités de base consistent :
- soit en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- soit en un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales ou des infractions.
Le DPD peut être quelqu’un d’interne à l’entreprise ou encore une personne ou un organisme externe. Afin d’éviter tout conflit d’intérêts, si le DPD exécute d’autres fonctions, celles-ci ne doivent pas l’amener à déterminer les finalités et les moyens du traitement de données à caractère personnel ou à représenter l’entreprise devant les tribunaux dans des affaires relatives à la protection des données, selon le G29.
Mesures ou politiques
Un responsable de traitement doit adopter des «mesures techniques et organisationnelles pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement» éventuellement au moyen de «politiques» (article 24 du RGPD) et être «en mesure de démontrer» qu’il respecte les principes de l’article 5 du RGPD.
Ces mesures ou politiques devraient appeler les dirigeants et employés concernés à :
- respecter, dans la conception et l’exécution des traitements, les principes de l’article 5 du RGPD dont ceux d’une base juridique licite (article 6 du RGPD), qui peut être le recueil d’un consentement (répondant aux conditions de l’article 7 du RGPD) ou l’exécution d’un contrat, et la minimisation des données ;
- s’assurer qu’aucun traitement ne porte sur des «données sensibles» (origines ethniques, orientation sexuelle, etc.) – sauf exceptions – ou relatives aux condamnations pénales et infractions ;
- s’assurer de la communication des informations des articles 13 et 14 aux personnes concernées ;
- répondre efficacement, dans le délai d’un mois prescrit, aux demandes d’accès, de rectification, d’effacement, de limitation de traitement relatif, d’opposition ou de portabilité des données, voire de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, étant précisé que plusieurs de ces droits sont nouveaux et pourraient justifier un article à eux seuls (articles 15 à 22) ;
- veiller à la mise en place de mesures de sécurité adéquates ;
- veiller à la notification des violations à l’autorité de contrôle et le cas échéant à la personne concernée, ce qui est une nouveauté du RGPD ;
- s’assurer, en cas de nouveau traitement, qu’une analyse d’impact soit réalisée si ce nouveau traitement a certaines caractéristiques la rendant obligatoire ;
- s’assurer, si aucun délégué à la protection des données n’est nommé, qu’un DPD soit nommé si les caractéristiques d’un nouveau traitement le rendent obligatoire ;
- tenir à jour le ou les registres ;
- s’assurer que les accords entre responsables conjoints, les contrats avec des sous-traitants de même que tout contrat avec un destinataire hors Espace économique européen (et hors pays jugé comme offrant un niveau de protection adéquat) contiennent les clauses prescrites.
Par ailleurs, les entreprises pourront être amenées à revoir leurs pratiques en matière de prospection directe et de traceurs (cookies) au vu du nouveau règlement européen «vie privée et communications électroniques» censé compléter le RGPD et entrer en vigueur également le 25 mai 2018, mais dont la teneur exacte n’est pas encore connue à la date d’écriture de cet article.
Les entreprises peuvent se faire assister par des intervenants de différents horizons pour la mise en place de ces mesures, mais les avocats sont vraisemblablement les plus compétents pour rédiger toute clause contractuelle et toute politique interne appelant au respect des obligations légales issues du RGPD. Les avocats sont par ailleurs tout à fait en mesure d’assister les entreprises pour l’élaboration du registre voire de réaliser des analyses d’impact ou d’assurer le rôle de DPD.
