Le 25 mai 2018 entrera en application la nouvelle réglementation européenne qui encadre strictement l’utilisation par les entreprises des données à caractère personnel. Décryptage des principales obligations à l'occasion de la publication du "guide pratique de sensibilisation au RGPD pour les petites et moyennes entreprises", publié conjointement par la CNIL et Bpifrance.
Un guide de bonnes pratiques à destination des PME et ETI
La date fatidique approche. Dans moins de 6 semaines, plus exactement le 25 mai 2018 – prendra effet le nouveau règlement européen sur la protection des données, baptisé RGPD. Une réglementation qui concerne toutes les entreprises, quelle que soit leur taille, du moment qu’elles opèrent sur le territoire européen, qu’elles y soient d’ailleurs basées ou pas. Une réforme qui, à l’ère du numérique et des data, renforce la protection des données personnelles des citoyens ainsi que les obligations, en la matière, des professionnels… qui auront tout intérêt à se mettre en conformité. Car les amendes s’annoncent plutôt salées : les sanctions pourront atteindre jusqu’à 4 % du chiffre d’affaires mondial de la société contrevenante. Toutefois, la CNIL s'est engagée à faire preuve de bienveillance en 2018 et les sanctions iront de l'avertissement à l'amende.
Le droit à l’information renforcé
« L’idée de ce règlement est de replacer la personne au centre de la scène et lui faire comprendre que c’est elle qui doit avoir la maîtrise de ses données personnelles », décrypte Jérémie Courtois, avocat au cabinet Cornet Vincent Segurel. Concrètement, quel impact sur les entreprises ?
« Une entreprise qui collecte et traite des données personnelles doit informer les personnes […]sur le traitement de leurs données personnelles »
Certains grands principes, comme celui du droit à l’information, se voient préciser. « Une entreprise qui collecte et traite des données personnelles doit informer les personnes d’un certain nombre de choses sur le traitement de leurs données personnelles. Cela a toujours été le cas, notamment l’une des informations principales, qui est la finalité du traitement », analyse cet expert. Mais le règlement vient indiquer la manière dont cela doit être fait : il impose désormais la mise à disposition d’une information claire, intelligible et aisément accessible.
Autant dire que les entreprises devront plancher sur leurs « mentions Cnil » [Commission nationale des informatiques et des libertés], les informations qui doivent être communiquées dans les formulaires de collecte des données : le consommateur comprend-il ? L’information est-elle facilement accessible ou est-ce lui qui doit aller la chercher ?... « Cela va demander un véritable effort rédactionnel ainsi que pédagogique au niveau des entreprises », estime Mᵉ Courtois.
L’aspect du consentement se voit lui aussi mieux défini. Désormais, « pas de traitement de données sur la base d’un consentement tacite, par exemple », précise Mᵉ Courtois. Surtout, « on ne doit plus avoir de consentement très large et vague pour un certain nombre de sujets, mais un consentement pour des finalités spécifiques de traitement ».
Une logique de responsabilité
Plus généralement, c’est toute la logique de la protection de la donnée qui se voit en quelque sorte inversée : les formalités de déclaration à la Cnil laissent place à une responsabilisation des entreprises qui devront, à tout moment, être en possession de l’ensemble des éléments pour démontrer qu’elles respectent la réglementation. « Cela est une révolution parce que cela oblige à penser complètement différemment les projets dans l’entreprise. La protection des données n’est plus un sujet qui arrive en cours ou en fin de projet », prévient Mᵉ Courtois.
« Maintenant, cela doit se penser en amont et devenir l’un des points d’entrée des projets : dès le début et dans ce projet-là, comment intègre-t-on tout l’aspect protection de la donnée personnelle et tout l’aspect respect de la réglementation avec les obligations qui pèsent sur l’entreprise. Et surtout, comment fait-on pour se munir de la preuve tout au long du projet », note l’avocat.
Portabilité des données
Véritable nouveauté apportée par le règlement, les consommateurs auront le droit de récupérer leurs données et, le cas échéant, de les transférer vers un autre prestataire. « Cela oblige les entreprises à être capables de faire une extraction des données qu’elles détiennent sur une personne », souligne Jérémie Courtois. Avec un impact qui ne sera pas le même selon les sociétés. « Si vous êtes une toute petite structure et que votre fichier client est un tableau Excel, ce n’est pas très compliqué. Quand vous êtes une grande structure qui utilise plusieurs logiciels de gestion interne, il faudra être en mesure de créer des extractions. Potentiellement, cela passe par une modification de votre système d’information », détaille-t-il.
Une palette de nouveaux outils
Avec le RGPD, une nouvelle fonction voit aussi le jour : celle de délégué à la protection des données (Data Protection Officer, DPO). Sa désignation sera obligatoire dans le secteur public, dans les entreprises qui réalisent à grande échelle un suivi régulier et systématique des personnes, ou encore dans celles qui traitent à grande échelle des données sensibles. Une fonction qui s’inscrit dans l’évolution de celle du correspondant informatique et libertés et qui aura pour tâche d’être un véritable pilote et chef d’orchestre de la gouvernance de la protection des données.
Autre point clé pour les entreprises, l’obligation de sécurité et de notification de violation des données. « Maintenant, c’est une obligation généralisée », explique de son côté Sylvain Naillat, avocat au sein du cabinet NomoS. Autrement dit, dès qu’ils auront constaté une violation de données à caractère personnel, tous les responsables de traitements devront le notifier à l’autorité de protection des données, mais aussi aux individus concernés s’il y a un risque élevé pour les droits et libertés de l'individu. Selon Mᵉ Naillat, cela veut dire que les entreprises vont devoir non seulement mettre en place des systèmes de sécurité mais aussi des procédures en cas de violation des données.
La tenue d’un registre sur les traitements mis en œuvre pour les sociétés de plus de 250 employés et les études d’impact sur la vie privée pour les traitements à risque seront autant de nouveaux outils de conformité à mettre en place. Sylvain Naillat le résume : « Ce que le règlement essaie d’instiller dans l’esprit des entreprises est d’intégrer la question de la protection de la donnée au cœur de toute leur activité ».
Traitements transnationaux : un guichet unique
Applicable dans tous les pays membres de l’Union européenne, le règlement change d’ailleurs aussi les règles du jeu en matière de traitements transnationaux de données. En clair, les entreprises seront désormais en contact avec un « guichet unique » qui sera l’autorité « chef de file », autrement dit la « cnil » de l’Etat membre où se trouve l’établissement principal de la société.
« Peu importe que vous ayez bien d’autres établissements dans les Etats membres, vous ne pourrez vous adresser qu’à une seule autorité, celle de votre établissement principal. C’est elle véritablement qui va mener toutes les discussions, toutes les opérations et qui va tout coordonner avec les autres autorités », indique Mᵉ Naillat. En somme, « des règles bien plus claires » sur la question de savoir à qui l’on s’adresse et une « simplification du point de vue des entreprises », considère l’avocat.
Autant de nouvelles dispositions auxquelles les entreprises devront se préparer et se conformer dans les prochaines semaines.
À LIRE ÉGALEMENT
Pour aller encore plus loin.
Appels
à projets
#text