Gestion: Proposé par Marc Bertin le 02 octobre 2017 actualisé le 30 mars 2018
Préambule : Dans cet article il n'est pas question de réduire à quelques lignes le Règlement Général sur la Protection des Données, qui comprend 99 articles regroupés en 11 chapitres, mais d'en faire une présentation abordable par tous et d'en faire comprendre l'importance dans l'organisation de toutes les entreprises.
Le règlement général sur la protection des données (RGPD) s’appliquera à compter du 25 mai 2018 dans tous les pays de l’Union européenne. Ce nouveau règlement devrait améliorer la protection des consommateurs et obligera les entreprises à plus de responsabilité lors de la collecte et du traitement des données à caractère personnel.
Le RGPD, qui remplace l’actuelle Directive de 1995, s'imposera à toutes les entreprises privées ou publiques et aux administrations, quelles que soient leurs tailles, dès lors qu'elles recueillent ou collectent des données personnelles qui seront enregistrées dans un traitement automatisé permettant d'organiser ces données et de leur appliquer un traitement quelconque. Cela concerne aussi les PME/TPE.
La transposition en droit français du RGPD est faite par une adaptation, une nouvelle fois, de la loi informatique et liberté de 1978, déjà modifiée par le décret n°91-1051 du 14 octobre 1991, qui réorganise les fichiers des Renseignements généraux puis modifiée par la loi du 6 août 2004 afin de transposer en droit français les dispositions de la directive 95/46/CE sur la protection des données personnelles
A la suite de la transposition en droit français de la directive 95/46/CE, la loi de 1978 est totalement modifiée à l'exception de son article 1er.
Une des principales nouveautés est la fin, dans la majorité des cas, à l'exception des données dites sensibles, de l'obligation de déclaration des traitements à la CNIL. Cette ancienne obligation déclarative est remplacée par l'obligation de documenter sa démarche de conformité au RGPD. Cette obligation de conformité est soumise au contrôle de la CNIL qui disposera d'un système renforcé de sanctions administratives et d'amendes pouvant atteindre 20 millions €uros / 4% du CA mondial.
L'élément qui oblige à la conformité au RGPD est le traitement de données à caractère personnel.
Il n'existe pas de liste exhaustive des données à caractère personnel (DCP) mais une définition assez large qui couvre de nombreuses sources de données peut être : Tout élément permettant d'identifier une personne, directement ou non, est une donnée à caractère personnel. Il en est ainsi des données permettant d'identifier directement un individu comme ses nom et prénom ou indirectement par un identifiant comme le N° de Sécurité Sociale (NIR), un N° de téléphone ou un numéro client ou par croisement d'informations provenant d'une ou plusieurs sources.
Qu'est-ce qu'un traitement? C'est l'application de règles déterminées à un ensemble de données à caractère personnel, que le traitement soit manuel ou informatisé. Une liste de noms et prénoms de clients, de salariés, de membres d'un club, classée par ordre alphabétique ou date d'entrée constitue un traitement. Il peut être fait manuellement. Mais ce n'est pas, a priori, pour le traitement manuel de données que le RGPD est spécifiquement prévu, bien qu'il rentre dans le cadre du RGPD. Plus largement, le RGPD concerne tous moyens et outils permettant d'organiser des données à caractère personnel, quelle qu'en soit la finalité. Il peut s'agir, par exemple, d'un logiciel de paye, ou de gestion de la relation client, et bien d'autres applications gérant des données à caractère personnel.
Le RGPD n'imposant plus de déclaration de fichiers, il appartient à l'entreprise d'apporter, en tous temps, tout élément qui permettra, à la CNIL ou à un juge, d'apprécier la conformité de la collecte et des traitements des données.
Sur le principe, cela peut être assimilé à un contrôle fiscal. Vous tenez une comptabilité au quotidien, comptabilité qui peut faire l'objet d'une vérification. Le phénomène déclencheur sera le plus souvent une plainte.
Le rôle du DPO / DPD
Le Data Protection Officer, en français, Délégué à la Protection des Données, prévu à l'art 37 du RGPD n'est pas toujours obligatoire, mais il est grandement préférable d'en désigner un compte tenu de l'importance et l'étendue des missions à réaliser.
L'obligation de désigner un DPO concerne les autorités publiques ou organismes publics; pour des opérations de traitement qui exigent un « suivi régulier et systématique » à « grande échelle » des personnes concernées ; pour des un traitement à « grande échelle » des données « particulières », c’est-à-dire sensibles au sens de la réglementation en matière de données personnelles (telles que les données de santé ou relatives à des infractions ou condamnations).
La dernière étape, mais pas la moindre, de la mission du DPO; La documentation sur les moyens et procédures mis en œuvre pour assurer la conformité des traitements au RGPD. La rédaction et la mise à jour de cette documentation justifierait à elle seule la désignation d'un DPO.
Cette documentation s'appuiera sur un registre des traitements répertoriant les documents qui décrivent de manières détaillées les activités de traitements au moyen, notamment d'une cartographie des activités de traitements tel que la description des traitements sur les systèmes, l'architecture informatique, la liste des données, les flux, les règles de conservation, les analyses de risques réalisées, les consultations effectuées, les contrats conclus, les mentions, etc.
Il ne s'agit là que d'un très, très court aperçu des missions du DPO.
De plus, le DPO doit nécessairement :
· disposer de qualités professionnelles et de connaissances spécifiques,
· bénéficier de moyens matériels et organisationnels, des ressources lui permettant d’exercer ses missions (entretien de ses connaissances spécialisées).
Enfin, il est possible de mutualiser la fonction entre plusieurs structures, ou de la confier à une entreprise spécialisée ou à un cabinet d'avocat compétent en ce domaine.
Depuis le 28 mars 2018 Les DPO peuvent être déclarés à la CNIL même si la désignation ne prendra effet qu'A/C du 25 mai 2018
Un premier effet de l'entrée en application du RGPD concerne les traitements de données existants qui devront être conforme à cette nouvelle réglementation dès le 25 mai 2018.
plus d'information : Vous pouvez compléter cet aperçu en vous reportant à ces articles.:
Le texte en ligne du RGPD, in extenso
Le règlement européen dit "RGPD"sur le site de la CNIL
Le texte in extenso au format pdf du nouveau règlement
-