Ce qu’il faut savoir sur la RgPd

À l’invitation de la CCI d’Artois, Christophe Delahousse, avocat associé au sein du cabinet Angle droit, correspondant informatique et libertés auprès de la CNIL, et François-Xavier Cao, cofondateur de Datajuristes, société spécialisée dans le conseil en protection des données et dans le développement de logiciels d’aide à la gestion des obligations légales en entreprise, ont animé à la CCI Artois, une conférence sur le thème «La nouvelle réglementation générale sur la protection des données». Tout le monde est concerné : de la petite à la grande entreprise tous secteurs d’activités confondus, de même que les associations et administrations, quels que soient les outils ou supports utilisés (fichier Excel, carnet de commandes/réservation papier, données clients, salariés et fournisseurs, etc). Le RgPd vise à protéger les données personnelles des citoyens européens. Son champ d’action s’étend au-delà des frontières de l’Union européenne, puisqu’il concerne toutes les entreprises mondiales qui traitent, sous-traitent, ou encore stockent des données de citoyens européens. L’utilisateur bénéficie de droits clairement établis : obligation de recueil du consentement, droit à la portabilité des données pour les réutiliser, mais également droit à l’oubli numérique avec la possibilité de supprimer les données transmises. Responsabilité, transparence, autant d’arguments pour inciter à une plus grande confiance des utilisateurs rendus méfiants quant à l’usage de leurs données personnelles dont on sait bien qu’elles sont au cœur des enjeux de la nouvelle économie.

La gestion des données personnelles

Ne sont uniquement concernées que les données dites «personnelles» permettant d’identifier une personne : nom, adresse physique, identifiants sur des réseaux sociaux, adresse mail, numéros de téléphone, adresse IP, données de géolocalisation ou autres. Face à l’augmentation de la collecte et la monétisation des données, le règlement a pour but de renforcer le contrôle de la façon dont elles sont traitées pour protéger les consommateurs et usagers. Dans sa forme, il consiste en un ensemble de mesures à l’égard des collecteurs de données et de ceux qui les traitent, en les responsabilisant et en renforçant de fait la coopération entre les autorités nationales de protection des données par une réglementation claire et unique qui uniformise les obligations. Pour se mettre en conformité avec le RgPd, certaines actions peuvent être prises d’ores et déjà.

La mise en conformité

Dans un premier temps, il faut identifier les données collectées ou traitées, vérifier qu’elles sont réellement nécessaires à l’activité concernée et établir un registre de traitement des données. En effet, le règlement prévoit expressément le contrôle des données collectées et l’analyse de comment et pourquoi leurs collectes. C’est ce que l’on appelle le Privacy Impact Assesment (PIA) : les données collectées doivent être strictement limitées à l’exercice de l’activité. C’est pourquoi l’analyse est indispensable et peut occasionner une révision complète des documents contractuels de vente ou de prestation de service remplis par les clients. Le règlement implique aussi de vérifier que les prestataires et fournisseurs soient en conformité avec le règlement en ce qui concerne le traitement de des données. En effet, même en sous-traitant, l’entreprise reste responsable des données transmises qui doivent être sécurisées, toute fuite de données devant être immédiatement signalée. La sécurisation des données dans l’ensemble de la chaîne qui les traite est primordiale incombe à l’entreprise. Il faudra tenir des fichiers de traitement à jour afin de permettre le contrôle à tout moment de la bonne conformité avec le RgPd.

Un assentiment volontaire et non ambigu

Avec l’arrivée du RgPd, l’accord obtenu par défaut dans un coin de formulaire sur papier ou sur une case précochée sur le web ou par mail est caduc. Chaque recueil de données doit être fait avec l’assentiment volontaire des personnes concernées en leur expliquant clairement comment elles peuvent avoir accès à leurs données, en demander la modification, la suppression, mais aussi les récupérer dans un format standard. Ce dernier point concerne la portabilité des données, que le législateur exige afin que les gens puissent facilement changer de prestataire s’ils en ont envie.

Une chaîne de traitements sécurisée

Les différentes entités ayant accès aux données personnelles d’une chaîne de traitement sont liées par le RgPd afin que les données et les traitements soient sécurisés. Légalement, il faut donc mettre à jour les contrats liant ces entreprises entre elles. Les sous-traitants ont des obligations, le RgPd exigeant «des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée». Afin d’être conforme au règlement, il faudra le cas échéant nommer un “data protection officer” (DPO) chargé de la surveillance du processus de recueil et d’utilisation des données et qui sera l’interlocuteur des autorités de contrôle.
En cas de non-conformité, les amendes sont sévères. Ce point illustre particulièrement la volonté de l’Union européenne de renforcer la confiance des consommateurs. Les collecteurs et gestionnaires de données s’exposent à des risques importants en ne respectant pas la réglementation. L’organisme de contrôle de la bonne application du RGPD en France est la CNIL. Elle peut obliger à une mise en conformité dans les plus brefs délais, puis peut durcir sa position graduellement. Ainsi, certaines violations, notamment une mauvaise tenue du registre, pourront engendrer une amende de 10 millions d’euros ou 2% du chiffre d’affaires. En cas de refus d’effectuer les modifications demandées ou lors de collecte d’informations sans le consentement des utilisateurs, les amendes peuvent grimper jusqu’à 4% du chiffre d’affaires ou 20 millions d’euros.