Les nouvelles obligations imposées par le RGPD

Quelles sont les nouvelles obligations imposées par le RGPD ?

Le 25 mai 2018, le Règlement Général sur les Données Personnelles (‘RGPD’) entrera en application.

Le RGPD encadre, au sein de l’Union Européenne, la façon dont sont collectées et utilisées les nombreuses données personnelles, que ces données soient relatives aux clients, prospects, salariés ou administrés.

Le but est de consolider le marché unique du numérique en assurant la libre circulation des données personnelles et, dans le même temps, de renforcer l’effectivité du droit fondamental à la protection des données personnelles, reconnu notamment par la Charte des droits fondamentaux de l’Union Européenne.

Le périmètre d’application du RGPD est assez large.

Si le responsable de traitement ou le sous-traitant est établi dans l’UE, le RGPD s’applique que le traitement ait lieu ou non dans l’UE.

Si le responsable de traitement ou le sous-traitant n’est pas établi dans l’UE, le RGPD s’applique si la personne concernée par les données se trouve sur le territoire de l’UE et si les activités de traitement sont liées :

  • à l’offre de biens ou de services à cette personne, qu’il y ait paiement ou non,
  • ou au suivi du comportement de cette personne.

Une fois le contexte posé, la question dominante est de savoir quelles sont les nouvelles obligations imposées par ce règlement.

Obligation de tenue d’un registre

L’obligation de déclaration des traitements à l’autorité nationale de contrôle (la CNIL, en France) est remplacée par une obligation de tenue d’un registre qui responsabilise vraiment les opérateurs de traitements.

Cette obligation pèse à l’identique sur tous les prestataires de la chaîne du traitement des données : responsable de traitement, sous-traitant, sous-sous-traitant…

Avant, les sous-traitants n’étaient pas soumis à cette obligation.

Le RGPD inverse donc la charge de la preuve.

En effet, avant, la CNIL devait démontrer les manquements et le responsable du traitement avait du temps pour régulariser.

Avec le RGPD, il incombe à l’entreprise de démontrer qu’elle est en conformité.

Cette obligation généralisée de tenir un registre des traitements va donc grandement faciliter les contrôles effectués par la CNIL.

Quel est le contenu du registre ?

Le RGPD ne dresse pas une liste exhaustive des informations qui devraient figurer sur un registre. Mais, au minimum, ce dernier devrait contenir les informations suivantes :

  • le nom du responsable du traitement ou de son représentant, le cas échéant, le nom du DPO
  • une liste des traitements opérés
  • une liste des finalités de ces traitements (ex : prospection commerciale)
  • une description des catégories de personnes concernées
  • une description des données traitées
  • une liste des destinataires des données
  • le délai prévu de destruction des données
  • la description des mesures de sécurité à mettre en place pour protéger les données
  • les garanties de sécurité supplémentaires pour les cas de transfert de données à l’international

Pour chaque traitement de données personnelles, il faut donc se poser les questions suivantes :

  • Qui ?

– Il faut inscrire dans le registre le nom et les coordonnées du responsable du traitement (et de son représentant légal) et, le cas échéant, du délégué à la protection des données ;

– Il faut identifier les responsables des services opérationnels traitant les données au sein de l’entreprise ;

– Il faut établir la liste des sous-traitants.

  • Quoi ?

– Il faut identifier les catégories de données traitées ;

– Il faut identifier les données susceptibles de soulever des risques en raison de leur sensibilité particulière (par exemple, les données relatives à la santé ou les infractions pénales).

  • Pourquoi ?

– Il faut identifier la ou les finalités pour lesquelles l’entreprise collecte ou traite ces données (par exemple, la gestion de la relation commerciale, la gestion RH, etc.).

  • Où ?

– Il faut déterminer le lieu où les données sont hébergées ;

– Il faut indiquer dans quels pays les données sont éventuellement transférées.

  • Jusqu’à quand ?

– Il faut indiquer, pour chaque catégorie de données, combien de temps elles seront conservées.

  • Comment ?

– Quelles mesures de sécurité sont mises en oeuvre pour minimiser les risques d’accès aux données et donc l’impact sur la vie privée des personnes concernées ?

Comment tenir ce registre ?

Le RGPD prévoit que ce registre peut être tenu sous forme électronique. Autrement dit, pas besoin d’un registre papier coté et paraphé…

Qui est concerné par cette obligation ?

Cette obligation sera imposée à tous les responsables de traitement et leurs sous-traitants.

Sauf si le responsable / sous-traitant est une entreprise de moins de 250 salariés.

Mais cette exception ne s’applique pas si :

  • le traitement est susceptible de comporter un risque pour les droits et les libertés des personnes concernées ;
  • le traitement porte sur des données sensibles ou des infractions pénales ;
  • le traitement n’est pas occasionnel.

Obligation de sécurisation des données

La sécurité des données personnelles est un volet essentiel de la conformité à la loi informatique et libertés. Les obligations se renforcent avec le RGPD.

Ainsi, l’article 32 du RGPD évoque les « mesures techniques et organisationnelles appropriées » que les responsables du traitement, ainsi que tous les prestataires de traitement, doivent mettre en oeuvre « afin de garantir un niveau de sécurité adapté au risque ».

Heureusement, le RGPD prévoit que cette obligation tient compte, notamment, de l' »état des connaissances » et des « coûts de mise en oeuvre ».

Il appartient dès lors à l’entreprise de se livrer à un bilan « coût / sécurité » lorsqu’elle organisera la sécurité de ses traitements. L’objectif étant d’offrir aux personnes dont les données sont traitées un niveau de sécurité adapté au risque des failles ou fuites de données.

Au titre des quatre mesures concrètes de sécurité à envisager par les opérateurs de traitement, figurent en tête de liste du RGPD « la pseudonymisation et le chiffrement« .

Mais la meilleure chose à faire pour les entreprises est de revoir régulièrement leurs pratiques pour chacune de leurs plateformes qui traitent des données personnelles.

Obligation de notification des failles / fuites

En France, depuis 2011, l’article 34 bis de la loi “Informatique et Libertés” prévoit un dispositif de notification obligatoire des failles / fuites de sécurité à la CNIL.

Le RGPD généralise l’obligation de notification à la CNIL de toute faille / fuite de sécurité découverte par l’un quelconque des prestataires de la chaîne de traitement de données personnelles.

Même pour le prestataire SaaS, ou son hébergeur. Tout le monde est concerné !

Si la faille / fuite se produit chez le sous-traitant, celui-ci en informera son donneur d’ordre qui, à son tour, informera la CNIL.

Le responsable du traitement doit notifier toute violation de données à caractère personnel à l’autorité de contrôle compétente dans les meilleurs délais et, si possible, 72h au plus tard après en avoir pris connaissance.

Lorsqu’un responsable du traitement constate une violation des données à caractère personnel qu’il traite, il est tenu d’informer l’autorité de contrôle de :

  • la nature de la violation de données à caractère personnel y compris, si possible, des catégories et du nombre approximatif de personnes concernées par la violation et des catégories et du nombre approximatif d’enregistrements de données à caractère personnel concernés ;
  • du nom et des coordonnées du délégué à la protection des données (DPO), ou de tout contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • des conséquences probables de la violation de données à caractère personnel ;
  • des mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

S’il n’est pas possible de fournir toutes ces informations en même temps, elles peuvent l’être par étape, dans un délai raisonnable.

Il existe cependant une dérogation à cette obligation de notification des violations de données personnelles lorsque les violations en question ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques.

Obligation de notification aux personnes concernées

L’obligation de notification des violations de données personnelles aux personnes concernées est introduite par l’article 34 du RGPD.

Conformément à cet article, le responsable du traitement doit informer la personne concernée de toute violation de ses données à caractère personnel lorsque celle-ci est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique.

La boucle vertueuse imposée par le RGPD est bouclée :

  • le professionnel liste les traitements de données auxquels il procède (tenue d’un registre) ;
  • le professionnel protège les données qu’il traite (obligation de sécurité) ;
  • le professionnel informe la CNIL en cas de faille / fuite de données (obligation de notification) ;
  • et le professionnel informe en direct ou publiquement les personnes concernées par une faille / fuite de leurs données.

Les plus ardents défenseurs des libertés numériques ne manqueront pas de critiquer ce dispositif obligatoire de communication limité aux seules “violations de données susceptibles d’engendrer un risque élevé pour les droits et libertés d’une personne physique”.

Plus surprenant, la seconde dérogation à l’obligation de communiquer à la personne concernée envisage l’hypothèse « des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées n’est plus susceptible de se matérialiser ».

C’est pour éviter tout dérapage dans l’usage abusif de cette dérogation que la CNIL disposera de la possibilité d’imposer la communication au responsable du traitement.

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*