Le règlement européen n°2016/679 du 27 avril 2016, ou règlement général sur la protection des données (le RGPD), entrera en vigueur le 25 mai 2018. Les entreprises qui ne s’y conforment pas s’exposent à des amendes administratives pouvant s'élever jusqu'au montant le plus élevée entre 20.000.000 euros et 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent.
Le présent article a pour but de décrire de manière très pratique les actions que doit prendre, pour se conformer au RGDP, une entreprise établie en France qui serait actuellement en conformité avec la loi n°78-17 du 6 janvier 1978.
A. Registre(s)
L'entreprise devra tenir un registre des traitements de données à caractère personnel (ci-après, les « traitements ») dont elle est responsable du traitement. Le modèle de registre proposé par la Commission Nationale Informatique et Libertés (la « CNIL ») comprend une liste de traitements et une fiche descriptive pour chaque traitement. Chaque fiche de traitement doit indiquer notamment ses finalités, les catégories de personnes concernées (expression désignant les personnes physiques dont les données à caractère personnel sont traitées), les catégories de destinataires et, « dans la mesure du possible », les délais prévus pour l'effacement des différentes catégories de données.
Il est recommandé d'identifier les traitements en utilisant la même nomenclature que celle développée par la CNIL dans ses dispenses, normes simplifiées, autorisations uniques, méthodologies de référence et recommandations de déclaration normale, et de vérifier que les traitements sont conformes aux recommandations de la CNIL dans chacun de ces documents en ce qui concerne les catégories de données recueillies, la durée de conservation et les catégories de destinataires.
Si l'entreprise intervient également en qualité de sous-traitant au sens du RGDP (si elle traite des données à caractère personnel pour le compte d'un responsable du traitement), elle devra tenir un second registre pour ces traitements.
Le RGDP exempte de ces obligations les entreprises comptant moins de 250 employés mais l'exemption ne fonctionne que pour un traitement « occasionnel », non susceptible de présenter un risque et qui ne porte pas sur des données sensibles ou relatives à des condamnations pénales ou des infractions.
B. Contrats
Les clauses « données personnelles » et les avis devront être mis à jour au vu des nouvelles informations devant être communiquées aux personnes concernées (employés, clients et fournisseurs personnes physiques, personnes physiques représentant des clients et fournisseurs personnes morales…).
Tout formulaire de recueil de consentement sera revu au vu des nouvelles prescriptions.
Si l'entreprise détermine conjointement les finalités et les moyens d'un traitement avec une autre personne, elles seront considérées responsables conjoints du traitement et devront conclure un accord définissant le rôle de chacune. Les « grandes lignes » de cet accord devront être mises à la disposition des personnes concernées.
Les contrats entre responsable de traitement et sous-traitant devront inclure de nouvelles stipulations. La CNIL a proposé des clauses-types à cette fin.
Enfin, il est rappelé que tout contrat avec un destinataire situé dans un pays extérieur à l'Espace économique européen (l' « EEE ») qui n'a pas été jugé par la Commission européenne comme offrant un niveau adéquat de protection doit comporter certaines clauses-types, sauf autre « garantie appropriée ».
C. Analyses d'impact
Selon les questions-réponses de la CNIL, « [l]es fichiers pour lesquels des formalités ont déjà été régulièrement effectuées auprès de la CNIL (déclarations, autorisations accordées et avis rendus) pourront être poursuivis après le 25 mai 2018 sans devoir faire l'objet d'une éventuelle étude d'impact vie privée tant qu'ils ne seront pas modifiés de façon substantielle ».
A défaut, ou pour tout nouveau traitement, il conviendra de :
- déterminer si le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, notion ayant fait l'objet de lignes directrices par le groupe de travail de l'article 29 (le « G29 »), dont la CNIL fait partie ;
- dans ce cas, réaliser l'analyse d'impact selon les prescriptions applicables;
- s'il ressort de cette analyse d'impact que le traitement présenterait un risque élevé si le responsable du traitement ne prenait pas de mesures pour atténuer le risque, consulter préalablement la CNIL.
D. Délégué à la protection des données
Un délégué à la protection des données (un « DPD » ou « DPO » pour data protection officer) a pour mission notamment de contrôler le respect du RGDP y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s'y rapportant.
Une entreprise devra nommer un DPD si ses activités de base consistent :
- soit en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées; ou
- soit en un traitement à grande échelle de données sensibles ou relatives à des condamnations pénales ou des infractions.
Le DPD peut être quelqu'un d'interne à l'entreprise ou encore une personne ou un organisme externe. Afin d'éviter tout conflit d'intérêts, si le DPD exécute d'autres fonctions, celles-ci ne doivent pas l'amener à déterminer les finalités et les moyens du traitement de données à caractère personnel ou représenter l'entreprise devant les tribunaux dans des affaires relatives à la protection des données, selon le G29.
E. Mesures ou politiques
Un responsable de traitement doit adopter des « mesures techniques et organisationnelles pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement » éventuellement au moyen de « politiques » (article 24 du RGDP) et être « en mesure de démontrer » qu'il respecte les principes de l'article 5 du RGDP.
Ces mesures ou politiques devraient appeler les dirigeants et employés concernés à :
- respecter, dans la conception et l'exécution des traitements, les principes de l'article 5 du RGPD dont ceux d'une base juridique licite (article 6 du RGPD) - qui peut être notamment le recueil d'un consentement (répondant aux conditions de l'article 7 du RGPD), l'exécution d'un contrat auquel la personne concernée est partie ou le respect d'une obligation légale - et la minimisation des données ;
- s'assurer qu'aucun traitement ne porte sur des « données sensibles » (origines ethniques, opinions politiques, convictions philosophiques, orientation sexuelle, etc.) - sauf exceptions - ou relatives aux condamnations pénales et infractions ;
- s'assurer de la communication des informations des articles 13 et 14 du RGPD aux personnes concernées ;
- répondre efficacement, dans le délai d'un mois prescrit, aux demandes d'accès, de rectification, d'effacement, de limitation de traitement, de portabilité des données et d'opposition, voire de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, étant précisé que plusieurs ce de ces droits sont nouveaux (articles 15 à 22 du RGPD) ;
- veiller à la mise en place de mesures de sécurité adéquates ;
- veiller à la notification des violations à l'autorité de contrôle et le cas échéant à la personne concernée, ce qui est une nouveauté du RGPD ;
- s'assurer, en cas de nouveau traitement, qu'une analyse d'impact soit réalisée si ce traitement a certaines caractéristiques la rendant obligatoire ;
- s'assurer, en cas de nouveau traitement et si aucun DPD n'a été nommé, qu'un DPD soit nommé si les caractéristiques de ce traitement rendent obligatoire la nomination d'un DPD ;
- tenir à jour le ou les registres ;
- s'assurer que les accords entre responsables conjoints, les contrats entre responsable de traitement et sous-traitant de même que tout contrat avec un destinataire situé dans un pays extérieur à l'EEE qui n'a pas été jugé par la Commission européenne comme offrant un niveau adéquat de protection, contiennent les clauses prescrites.
Les entreprises peuvent se faire assister par des intervenants de différents horizons pour la mise en place de ces mesures mais les avocats sont vraisemblablement les plus compétents pour rédiger toute clause contractuelle et toute politique interne appelant au respect des obligations légales issues du RGPD. Les avocats sont par ailleurs tout à fait en mesure d'assister les entreprises pour l'élaboration du ou des registres des activités de traitement voire de réaliser des analyses d'impact ou d'assurer le rôle de DPD.
Finalement, au vu du nouveau règlement européen « vie privée et communications électroniques » censé compléter le RGPD et entrer en vigueur également le 25 mai 2018, dont la teneur exacte n'est pas encore connue à la date d'écriture de cet article, les entreprises pourront être amenées à revoir en même temps leurs pratiques en matière de prospection directe et de traceurs (cookies).