Le règlement européen sur la protection des données personnelles (RGPD) est paru au journal officiel de l’Union européenne et entrera en application le 24 mai 2018, comme nous le rappelle la fédération Enben. Il implique, pour les entreprises concernées, de revoir en détail les traitements des données personnelles à tous les niveaux (juridique, technique, opérationnel, etc.).
Sa date d'entrée en vigueur de la RGPD peut paraître lointaine, toutefois les entreprises ont intérêt à anticiper dès à présent leurs nouvelles obligations. Un des objectifs consiste à supprimer les déclarations avec comme contrepartie une logique de responsabilisation. Sauf exception, il n’y a donc plus de déclaration ou de demandes d’autorisation préalable à la mise en place de traitements de données à caractère personnel. Les entreprises devront cependant intégrer la protection de la vie privée dès la construction du traitement de données et par défaut (concept de « Privacy by design and by default »). Elles auront l'obligation de s'équiper en interne. Le règlement oblige en effet la mise en œuvre de « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».
Il encourage donc le chiffrement des données, l’utilisation d’outils de détection et de notification des fuites, le recours à des mécanismes de certification permettant à chaque entreprise de démontrer leur respect de la législation sur la protection des données (concept de responsabilité). Ainsi, les entreprises devront désigner un Délégué à la Protection des Données (DPD ou « Data Protection Officer ») qui succèdera à l'actuel Correspondant Informatiques et Libertés (CIL) et qui sera chargé d’assister le responsable du traitement et le sous-traitant pour s’assurer du respect du RGPD. La désignation d’un tel délégué à la protection des données est obligatoire : lorsque le responsable de traitement est un organisme public ; lorsque l’activité du responsable de traitement ou du sous-traitant « exige un suivi régulier et systématique à grande échelle des personnes concernées » ; lorsque l’activité du responsable de traitement ou du sous-traitant consiste en un « traitement à grande échelle » de données particulières telles que des données de santé, données sur l’opinion politique ou religieuse, l’orientation sexuelle, etc. En dehors de ces cas elle sera facultative. (sur ce point, voir : https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees).
Le règlement étend aux sous-traitants (ex : prestataires de service en mode SaaS, hébergeurs, etc.) une large partie des obligations imposées aux responsables de traitement en matière de sécurité, de confidentialité notamment. L’article 28 du RGPD prévoit de nouvelles obligations qui doivent se retrouver dans le contrat de sous-traitance, à savoir principalement : l’objet et la durée du traitement de données à caractère personnel ; la nature et la finalité de ce traitement ; les obligations de sécurité, d’avertissement et alerte envers le responsable du traitement. La CNIL établira certainement des clauses contractuelles types.
Il devient aussi désormais obligatoire à tout responsable de traitement de notifier à la CNIL toute faille de sécurité concernant les données personnelles dans un délai de 72 heures après sa découverte. Il est également obligatoire de notifier les personnes concernées lorsqu’il existe un risque élevé pour leurs droits et libertés. Le sous-traitant, quant à lui, notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.
En conclusion, il revient aux entreprises de s’approprier au plus vite les nouveaux outils de conformité tels que : le registre des traitements ; la procédure de notification de failles de sécurité (aux autorités et personnes concernées) ; la certification de traitement ; l’adhésion à des codes de conduite ; le DPO ; les études d’impact sur la vie privée (pour les données sensibles notamment). En cas de méconnaissance des dispositions du règlement, des amendes administratives ou sanctions sévères sont prévues. L’amende maximale s’élève désormais à 20 millions d’euros ou 4 % du chiffre d’affaires total annuel mondial de l’exercice précédent. Afin de faciliter la mise en conformité des traitements de données en cours, la CNIL a mis en ligne un dossier complet sur les nouveautés du règlement européen : https://www.cnil.fr/fr/reglement-europeen-protection-donnees
