LA MISE EN CONFORMITE RGPD

Maître LACAZE vous informe et vous accompagne sur…… LA MISE EN CONFORMITE RGPD

Une nouvelle règlementation européenne relative à la protection des données à caractère personnel est entrée directement en vigueur en France à compter du 25 mai 2018.

Il s’agit du Règlement Général sur la Protection des Données ou RGPD (Règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE).

De quoi s’agit-il ?

Il s’agit d’une nouvelle règlementation européenne qui change la manière dont les organisations vont gérer les données des personnes physiques avec qui elles interagissent (usagers, clients, prospects, employés, partenaires…).

Le but affiché de la réforme est d’adapter la règlementation aux évolutions technologiques (internet, réseaux sociaux, téléphones mobiles, géolocalisation, biométrie, cloud…), en vue de renforcer de la protection des données personnelles au sein de l’UE.

Qu’est-ce qu’une donnée à caractère personnel (DCP) ?

Toute information se rapportant à une personne physique identifiée ou identifiable, c’est à dire par référence à un identifiant tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Qu’est-ce qu’un traitement ?

Il s’agit de toute opération à l’aide de procédé automatisé ou non appliquée à des DCP, telle que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Exemples de traitements : Site internet, Paie, Liste de partenaires, Contrôle d’accès aux locaux, Cantine, Monétique, Vidéo surveillance, Géolocalisation de véhicules, Postes de travail, Facturation, Embauche (CV, lettre de motivation…), Outils de prospection commerciale, Traçabilité des actions informatiques, Gestion d’accès des sauvegardes, Logs de serveurs, Centrale téléphonique…etc.

Qui est concerné ?

Toute organisation qui traite des données de personnes physiques (indépendamment de leur nationalité ou de leur lieu de résidence) de manière automatisée ou non : l’Etat, les collectivités, les entreprises, les associations…

Il s’agit de l’ensemble des intervenant dans la chaine de traitement des données : aussi bien l’organisation lorsqu’elle collecte et traite elle-même les données à caractère personnel, que ses sous-traitant (cabinet comptable, cabinet de paie, éditeur de logiciel…).

Vous l’aurez compris, le RGPD a une application très large à toute entité qui traite des données personnelles en Europe.

Quelles sont les obligations pour les organisations ?

• Les déclarations à la CNIL sont remplacées par la mise en place d’un registre interne visant à tracer l’ensemble des traitements de données personnelles mis en œuvre par l’entité pour s’assurer qu’ils sont en conformité avec le RGPD
• La nécessité de mettre en place un référent à la protection des données, voire l’obligation dans certains cas (le Délégué à la Protection des Données)
• Des nouvelles obligations de sécurité, notamment l’obligation de notifier en 72h à la CNIL une violation des DCP, ainsi qu’à la personne concernée
• L’obligation de réaliser une étude d’impact sur la vie privée pour les traitements les plus sensibles
• Le renforcement du droit des personnes, notamment par le recueil et le traçage du consentement au traitement des données personnelles, et la garantie du droit d’accès, de rectification, d’effacement (droit à l’oubli), de limitation du traitement, d’opposition, et le droit à la portabilité des données
• Un encadrement strict du transfert de données vers un pays tiers ou une organisation internationale

Quels sont les risques pour votre organisation ?

Plusieurs acteurs peuvent intervenir dans la mise en œuvre d’un traitement de données à caractère personnel, principalement le responsable de traitements et le sous-traitant.

Or, le RGPD prévoit que les relations entre ces acteurs doivent être encadrées, l’objectif avoué de ce texte étant une répartition claire des rôles et responsabilités en matière de protection des données à caractère personnel.

Le responsable de traitement comme le sous-traitant est responsable à l’égard des personnes concernées de la réparation du préjudice éventuellement subi par ces dernières (toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement peut en obtenir réparation en totalité auprès du responsable de traitement ou du sous-traitant (Principe de coresponsabilité), l’objectif étant que la personne concernée puisse obtenir une réparation complète et effective.

Pour ce faire, les personnes concernées peuvent introduire une réclamation auprès de l’autorité française de contrôle (la CNIL), qui peut prononcer des sanctions administratives, pouvant prendre la forme d’amendes s’élevant jusqu’à 20 millions d’euros / 4% du chiffre d’affaires.

La personne concernée peut également introduire une action devant les juridictions françaises. Des garanties procédurales effectives permettent de saisir rapidement et efficacement l’autorité de contrôle ou l’autorité judiciaire.

Vous l’aurez compris, cette nouvelle règlementation peut être sourcede nombreux contentieux. Dans certains cas, il s’agira même d’une forme de contre-pouvoir envers votre entité, que ce soit pour les syndicats, représentants du personnel, salariés licenciés, associations de consommateurs, associations de défense de la vie privée, clients mécontents…etc.

Ainsi, la mise en conformité au RGPD présente un enjeu fondamental pour votre organisation.

Pour vous accompagner dans ces démarches de mise en conformité, Maître LACAZE est en mesure de vous assister pour sécuriser vos relations avec vos clients, fournisseurs, partenaires, salariés…, par la révision de vos contrats, conditions générales, mentions obligatoires devant figurer sur votre site internet…etc.

Maître LACAZE sera également en mesure de vous assister dans le cadre des futurs contrôles et sanctions de la CNIL, ainsi que de vous défendre dans le cadre d’une action en justice individuelle ou de groupe dont vous feriez l’objet.