Le RGPD (Règlement général sur la protection des données)

Le Règlement européen (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) est entré en application le 25 mai 2018.
Il est obligatoire depuis cette date.

Par Me Antoine RENUCCI, Avocat au Barreau de Nice (2014), Docteur en Droit (2019) DPO certif. AFNOR (n°3001576) agréé CNIL

Son champ d’application est très large. Les autorités et organismes publics ainsi qu’une grande majorité d’entreprises privées (dès lors qu’elles ont des employés ou des clients personnes physiques) doivent impérativement se soumettre à cette réglementation. Le RGPD "s’applique au traitement de données à caractère personnel, automatisé en tout ou partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier".
Les sanctions en cas de méconnaissance des règles posées, sont lourdes. Les amendes administratives peuvent s’élever jusqu’à 20 000 000 € ou encore 4% du Chiffre d’Affaires annuel mondial de l’exercice précédent, le montant le plus élevé étant retenu, sans oublier les éventuelles sanctions pénales, ainsi que l’important risque tant sur le plan commercial que sur celui de l’image et de la concurrence.

Le RGPD impose une mise en conformité aux normes nouvelles et éventuellement un suivi de cette conformité par le DPO.

La mise en conformité : une démarche immédiate

Le RGPD consacre des principes exigeants, pour une protection forte et effective des données personnelles (des clients et partenaires de l’entreprise, de son personnel).
Au sens du RGPD, une donnée à caractère personnel est : "toute information se rapportant à une personne physique identifiée ou identifiable". Une personne physique identifiable peut être identifiée directement ou indirectement, notamment par référence à un nom, un numéro d’identification, des données de localisation, un identifiant en ligne...
Ce règlement consacre plusieurs droits pour les personnes concernées : droit à la transparence, droit d’accès, droit de rectification, droit à l’oubli, droit d’opposition...

Le RGPD énonce plusieurs obligations pour les Responsables de Traitements : notification, mentions d’informations, procédures, nomination d’un délégué à la protection des données (Data Protection Officer "DPO"), dans certains cas.

Concrètement, la mise en conformité aux règles du RGPD passe par plusieurs étapes 

 Diagnostic de conformité / Audit
Cartographie des traitements
Analyse de la conformité

  Actions de mise en conformité
Recommandations de sécurité et de confidentialité
Recommandations spécifiques de sécurité informatique
Encadrement des demandes d’exercice des droits par les personnes concernées

 Gestion des risques
Analyse d’impact
Évaluation des risques

 Finalisation de la mise en conformité
Rédaction du registre des traitements
Rédaction de mentions d’information destinées aux personnes extérieures
Rédaction de mentions d’information destinées aux personnels
Rédaction de recueil du consentement destiné aux personnes concernées
Rédaction des diverses procédures à mettre en œuvre

Le suivi de la conformité (DPO) : une démarche subséquente

La désignation d’un DPO, toujours recommandée par la CNIL, est obligatoire lorsque :
 Le traitement est effectué par un organisme public,
 Les activités de base du responsable de
traitement ou du sous-traitant consistent en des opérations de traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées,

Les activités de base du Responsable de Traitement ou du Sous-Traitant
consistent en un traitement à grande échelle des catégories particulières de données à caractère personnel visées aux articles 9 (données à caractère personnel révélant l’origine raciale, l’appartenance syndicale, etc.) et 10 du RGPD (données relatives aux condamnations pénales et aux infractions).
Un DPO peut être interne (membre du personnel), ou externe (Avocat, etc.).
En cas de DPO interne, il faut être attentif au risque fréquent de conflit d’intérêts avec les fonctions exercées. Ce risque est quasi inexistant en cas de DPO externe, surtout s’il est avocat, puisqu’alors la seule contrainte sera qu’il ne pourra ni représenter ou assister en justice l’organisme dans des dossiers impliquant les données personnelles.

L’externalisation du DPO offre d’autres avantages : indépendance assurée, expertise certaine, surtout s’il est certifié par un organisme agréé par la CNIL qui est l’autorité de contrôle, coûts maîtrisés, remplacement plus facile puisque la relation contractuelle est libre, secret professionnel, etc.

Les missions sont du DPO sont les suivantes  :
 Informer et conseiller le Responsable du Traitement ou le Sous-Traitant ainsi que les employés procédant au traitement sur les obligations qui sont les leurs, notamment en matière de protection des données,
 Veiller au respect du RGPD et autres dispositions du droit de l’Union ou de l’État membre auquel est soumis le responsable du traitement ou sous-traitant,
 Dispenser des conseils relativement à l’analyse d’impact de la protection des données,
 Faire office de point de contact avec la CNIL et les personnes concernées,
 Assister le Responsable de Traitement lors d’éventuels contrôles de la CNIL.

La désignation d’un DPO est toujours recommandée par la CNIL même quand ce n’est pas obligatoire. La présence du DPO permet ainsi une plus grande sécurité en faisant intervenir une personne dédiée à l’application du droit des données personnelles. Elle répond à une nouvelle exigence, les individus étant de plus en plus préoccupés par la protection de leurs données personnelles.