Le RGPD est entré en vigueur le 25 mai 2018 suite à l’adoption par la France le 12 avril 2018, après navette entre le Sénat et l’Assemblée, des modifications de la loi « informatique et libertés » N°78-17,  intégrant les nouvelles dispositions issues du RGPD, les enjeux étant importants, une saisine du Conseil Constitutionnel est néanmoins envisagée.

Pour rappel, le RGPD est  le « règlement européen sur la protection et la libre circulation des données à caractère personnel »  n°2016/679 du Parlement européen et du Conseil, voté le 27 avril 2016, qui a pour date d’application impérative dans tous les états membres de l’UE  le 25 mai 2018. La CNIL, autorité de contrôle française de l’application dudit règlement, a d’ores et déjà indiqué qu’elle tiendrait compte des « démarches engagées » par les entreprises dans leur processus de mise en conformité et qu’il n’y aura pas de sanctions liées à la mise en œuvre du RGPD (mais pas lorsque les infractions concernent des dispositions issues de la Loi informatique et libertés précédemment applicable) dans les six prochains mois. Il n’est donc évidemment pas trop tard pour se pencher sur l’applicabilité de ce règlement à sa propre entreprise.

Il y a plusieurs manières d’envisager cette démarche.

Elle peut être vue comme une énième contrainte administrative ou bien, comme une nécessité et une opportunité. Il convient de ne pas oublier que dans l’intitulé même du règlement, il est questions de la protection des données à caractère personnel, mais également de leur libre circulation.

Par conséquent, ce règlement a non seulement pour but de protéger nos données à caractère personnel et celles de nos clients, prospects  ou salariés, mais  aussi de permettre leur libre circulation. Cette circulation doit juste être encadrée et régulée, afin d’éviter les abus,  dérapages ou accidents, auxquels nous assistons depuis plusieurs années au sujet du traitement de ces données (Google, Facebook, mais aussi DARTY, HERTZ, Direct Energie et tant d’autres)[i]

Alors, quelles sont les entreprises concernées ?

Le règlement a prévu des seuils qui permettent de prendre en considération la situation des TPE, PME, ETI et également de tenir compte de l’activité de ces entreprises. Vous êtes concernés à l’évidence si :

• Votre entreprise a 250 salariés ou plus
• Et/ou si elle traite des données à caractère personnel en masse ou de manière systématique
• Et/ou si ces traitements portent sur des données sensibles (les données portant sur les mineurs sont particulièrement encadrées) et/ou sont susceptibles de porter atteinte aux droits et libertés individuels.

Chacun de ces critères devant être apprécié séparément. Dans ces cas, vous avez une obligation de tenue d’un REGISTRE DES TRAITEMENTS.

Toutes les structures ne se sentiront pas forcément visées, mais si vous stockez et conservez les données de vos clients – avec éventuellement leurs préférences – de manière systématique, pour pouvoir par exemple  leur adresser des offres promotionnelles ou mieux les satisfaire, vous êtes concernés. Si vous avez un site sur lequel le client peut s’enregistrer, s’abonner, faire des achats, vous êtes également concerné. La question de l’usage des plateformes de réservations ou d’achats et de leur conformité se pose évidemment. 

De manière générale, tout stockage de données, sensibles ou pas, à grande échelle, doit faire l’objet d’une analyse et il convient d’étudier sa conformité aux dispositions règlementaires.

Quelles dispositions peuvent prendre les entreprises  pour anticiper sereinement ces obligations réglementaires ?

Les objectifs du RGPD sont, outre la mise en place d’un cadre juridique unifié au niveau européen :

• un renforcement des droits des personnes, déjà amorcé par plusieurs décisions comme l’arrêt GOOGLE SPAIN, consacrant le droit à l’oubli ; ou la condamnation récente  de prononçant une sanction pécuniaire suite à une faille de sécurité dans la confidentialité de son fichier de cartes de fidélité clients [ii] ;
• une conformité basée sur la transparence et la responsabilisation ;
• des responsabilités partagées et précisées (le sous-traitant devient responsable comme le donneur d’ordre) ;
• l’encadrement strict des transferts de données hors de l’Union Européenne ;
• des sanctions encadrées, graduées et renforcées.

Le règlement européen, applicable dans tous les États membres dès le 25 mai 2018, nécessite de repenser complètement l’approche du traitement des données personnelles. Nous passons d’un régime déclaratif avec sanction a posteriori, à un nouveau régime d’anticipation et de responsabilisation. Les conséquences sont multiples comme on va le voir ci-après. Ce changement de modèle se traduit d’un côté par un allégement des obligations déclaratives, mais aussi par un renforcement, voire la création, de certaines obligations pour la plupart des entreprises qui traitent les données personnelles de leurs clients.

Ces obligations sont pour l’essentiel axées sur l’anticipation, l’information, la transparence et la sécurité.

ANTICIPATION : Les entreprises devront pouvoir justifier en cas de plainte, de faille de sécurité, ou de contrôle de la CNIL, de manière générale, de l’application du principe général de « Privacy by design », c’est-à-dire de l’intégration du respect de la vie privée de la personne physique, dès la conception du projet de traitement de la donnée.

Ce principe nécessite de s’interroger sur la licéité du traitement, de faire des études d’impact préalable, lorsqu’elles sont nécessaires, éventuellement de recueillir le consentement de la personne physique dont la donnée a été récoltée, de l’informer de ses droits…

INFORMATION : Une obligation de transparence va désormais s’imposer aux entreprises  qui gèrent, stockent, hébergent, traitent, vendent, etc… des données à caractère personnel. Les  personnes physiques dont les données sont récoltées devront dans la plupart des cas être informées  de la finalité du traitement, de leur droit d’accès, de rectification, droit à l’effacement et à la portabilité

SÉCURISATION : Tout doit être mis en œuvre pour sécuriser les données détenues par l’entreprise, selon le  principe de « Security by default ». Ces mesures doivent, au-delà de la protection nécessaire et optimale, permettre une traçabilité de la donnée,  toute faille de sécurité doit être déclarée à la CNIL dans un délai très bref (72h selon le règlement).

DOCUMENTATION : L’établissement d’un REGISTRE DES TRAITEMENTS comportant plusieurs volets peut être impératif selon les cas, mais pas pour toutes les entreprises. Les sanctions en cas de manquement à ces obligations seront renforcées (jusqu’à 4% du CA mondial et 20 M€), avec toutefois un accent mis sur la proportionnalité de la sanction. Ne nous leurrons pas, tous les domaines  peuvent être impactés : l’organisation et la sécurisation des systèmes d’information, mais également la gestion RH, la gestion commerciale (prospection, marketing, gestion des fichiers clients,…), la gestion des fournisseurs, la gestion informatique, etc.

Et ceci, que les données soient conservées dans le serveur informatique de l’entreprise et/ou stockées et/ou hébergées et/ou retraitées par un sous-traitant. Ces données personnelles, que certains considèrent déjà comme étant le nouvel « or noir », peuvent être convoitées par des concurrents malveillants, mais également par des « hackers » pour de la revente ou pour une rançon (ransomware du type Wannacry par exemple…). À l’heure où les « cyber-attaques » se multiplient, nous devons tous assurer la protection des données personnelles de nos clients, comme de nos salariés (qui sont également concernés par la nouvelle règlementation).

Nul doute également que l’ « e-réputation » des entreprises  sera également valorisée, au regard de sa conformité ou non avec cette règlementation.

Concrètement,  un audit est nécessaire pour établir un diagnostic de l’activité et des pratiques et une évaluation des risques. A partir de cet audit, un plan d’actions doit être mis en place pour construire éventuellement un « registre des traitements » qui va regrouper et décrire les pratiques de l’entreprise en matière de traitement de données à caractère personnel , ou, si la constitution du registre n’est pas impérative,  mettre en œuvre des actions minimales de mise en conformité avec la législation.

Toute entreprise, quelle que soit sa taille doit pouvoir se mettre en conformité. Différents outils existent. Cela nécessite l’intervention d’une structure de  conseil pluridisciplinaire technique et juridique, bien rodée et spécialisé, afin de permettre que ce type d’intervention soit traité correctement et au meilleur coût. En résumé, entre « l’usine à gaz » et « rien », il y une grande marge de manœuvre et plusieurs actions à mettre en place. Il est donc fortement conseillé aux entreprises de prendre dès que possible les mesures adaptées à leur situation, en commençant dès aujourd’hui à se poser les bonnes questions pour  intégrer les préconisations du Règlement Général Européen de Protection des Données (RGPD/DGPR) dans leur organisation.

[i] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. / Agencia Espanola de Proteccion de Datos et Gonzales ; CNIL  Délibération n°SAN – 2017-006 du 27 avril 2017 prononçant une sanction pécuniaire à l’encontre des sociétés FACEBOOK INC. et FACEBOOK IRELAND ; CNIL Délibération n°SAN-2018-001 du 8 janvier 2018 prononçant une sanction pécuniaire à l’encontre de la société ETABLISSEMENTS DARTY ET FILS ; CNIL Délibération n°SAN-2017-010 du 18 juillet 2017- HERTZ ; CNIL  Décision MED n° 2018- 007 du 5 mars 2018 mettant en demeure la société DIRECT ENERGIE et Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-082 du 22 mars 2018 décidant de rendre publique la mise en demeure prise à l’encontre de la société DIRECT ENERGIE.

[ii] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain précitée ; CNIL Délibération n°SAN-2018-001 du 8 janvier 2018 DARTY ET FILS précitée

Retrouvez tous nos articles chaque mois dans l’AJD, l’Actualité Juridique des Décideurs. Abonnez-vous !