RGPD : les grandes lignes

Je vous ai introduit la semaine dernière le cadre règlementaire de la protection des données.

Place cette semaine à quelques précisions sur le RGPD. Avec ce règlement, la législation en matière de protection des données évolue avec un objectif affiché d’engager une démarche de responsabilisation et de sensibilisation.

Les principes déjà en vigueur dans le cadre de la Loi Informatique et Libertés sont bien évidemment maintenus et renforcés.

Rappel des grands principes :

  1. Les données doivent être traitées de manière licite, loyale et transparente
  2. Elles doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités
  3. Elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
  4. Elles doivent être exactes et, si nécessaire, tenues à jour
  5. Elles doivent être conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées
  6. Elles doivent être traitées de façon à garantir une sécurité appropriée des données à caractère personnel

Sauf exceptions, le traitement des données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

Les transferts de données en dehors de l’Union Européenne ne sont autorisés que sous réserve du respect de strictes conditions afin d’encadrer ces transferts et assurer le respect du droit européen à cet égard.

Le responsable du traitement est responsable du respect des principes ci-dessus énoncés pour tous les traitements qu’il met en place.

Les principales obligations attachées au traitement de données à caractère personnel sont actuellement les suivantes :

  1. Respecter les principes ci-dessus énoncés : le responsable du traitement s’assure, avant la mise en place de tout traitement, du respect des principes régissant le traitement de données à caractère personnel
  2. Informer les personnes concernées : le responsable du traitement fournit aux personnes concernées par le traitement les informations énumérées par la loi
  3. Assurer le droit d’accès, de rectification, de suppression et d’opposition : le responsable de traitement répond aux demandes d’accès, de rectification ou d’effacement des données formulées par les personnes concernées par le traitement
  4. Assurer la confidentialité des données : le responsable de traitement définit et organise les accès, de sorte que seules les personnes autorisées et explicitement désignées par le responsable de traitement, le cas échéant dans le respect des règles de secret professionnel applicables, puissent accéder aux données à caractère personnel contenues dans un fichier
  5. Assurer la sécurité des données : le responsable de traitement adopte des mesures de sécurité physiques (sécurité des locaux) et logiques (sécurité des systèmes d’information : barrières logicielles, cryptage des données, gestion rigoureuse des mots de passe et des personnes habilitées à accéder aux données) adaptées à la nature des données et aux risques présentés par le traitement, afin d’éviter qu’elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés
  6. Le responsable de traitement définit une durée de conservation et organise l’archivage et/ou la suppression des données à l’issue de cette durée : les données doivent être effacées à l’issue d’une durée de conservation raisonnable en fonction de l’objectif du fichier
  7. Le responsable de traitement déclare les traitements à la CNIL
  8. Dans certains cas (par exemple campagnes marketing), il recueille le consentement préalable des personnes concernées par les données
  9. Il aménage les contrats avec les sous-traitants dans le traitement des données afin d’assurer la confidentialité et la sécurité des données « jusqu’au bout de la chaîne ».

Avec le RGPD, voici un aperçu des principaux points supplémentaires qui devront être respectés :

  1. Renforcement des droits des personnes, notamment quant à leur information sur les traitements, le consentement, les droits d’accès et le droit à l’oubli
  2. Création du droit à la limitation du traitement
  3. Création d’une obligation de notification des différents destinataires des données de toute rectification, effacement ou limitation
  4. Création du droit à la portabilité des données
  5. Renforcement du droit d’opposition
  6. Renforcement des obligations en matière de sous-traitance et responsabilité directe des sous-traitants
  7. Simplification d’un certain nombre de procédures, notamment déclaratives, et création d’une obligation de tenue d’un registre des traitements (principe d’ « accountability »)
  8. Élargissement à tous les responsables de traitements de l’obligation de notifier les failles de sécurité dans les 72h
  9. Création de l’obligation de réaliser une étude d’impact
  10. Création de l’obligation de désigner un « Data Protection Officer » (DPO) lorsqu’il existe un traitement à grande échelle de données à caractère personnel. Malgré l’intervention du G29, le Groupe de travail de la CNIL et de ses homologues européennes, la notion de « grande échelle » reste assez floue à ce jour. Espérons que des clarifications vont intervenir rapidement maintenant ; il semblerait en tous cas que cette notion va concerner un grand nombre d’entreprises

La liste n’est pas exhaustive. Ont été sélectionnés ci-dessus les points les plus impactants pour une majorité d’entreprises.

La semaine prochaine, nous parlerons du premier réflexe à avoir pour commencer à protéger vos données…

-Publicité-
Avocat et fondateur du cabinet Withlaw, basé à Rennes.

Le cabinet intervient au quotidien auprès des entreprises en droit des affaires et plus particulièrement dans les domaines suivants :

IP/IT | Data Protection | Privacy | Cybersécurité
Contrats | CGV | Marketing digital
Politiques RSE | Fondations d'entreprises | Mécénat

LAISSER UN COMMENTAIRE

Please enter your comment!
Please enter your name here