RGPD : le contrat de confiance

Le Règlement général sur la protection des données personnelles (RGPD) est entré en vigueur le 25 mai 2018. Il vise une meilleure protection de la vie privée des citoyens européens et crée de nouvelles obligations pour toute entreprise manipulant des données personnelles, ainsi que ses sous-traitants. Aussi, la mise en conformité à cette réglementation représente pour les entreprises un véritable défi nécessitant de procéder à un changement de culture en matière de gouvernance des données personnelles.

A noter que si le règlement remplace la directive de 1995, il complète la loi française de 1978 dite « Informatique et Libertés », qui est maintenue pour certains traitements tout en s’adaptant au règlement (ainsi près de 70 à 80 % des dispositions reprennent des obligations qui existaient déjà !).

Logique de conformité

Désormais, les entreprises n’ont plus à faire de déclarations préalables à la Commission nationale de l’Informatique et des Libertés (Cnil) quand elles souhaitent mettre en place un traitement de données (vidéo-surveillance des locaux par-exemple), mais doivent entrer dans une logique de « conformité » ou « accountability » qui consiste à s’interroger, pour toutes utilisations de données, sur le respect de toutes les obligations du règlement (droit à l’oubli, droit à la rectification, droit à la portabilité des données, etc.), sur les risques qu’elles font courir aux personnes comme sur les mesures de sécurité qu’elles prévoient.

Il s’agit de s’assurer de la conformité à tout moment de sa politique au regard du règlement, de manière continue tout au long de la vie du traitement, et non à l’instant « t » de sa déclaration ou de son autorisation.

Registre des données

Cette responsabilisation va avec un accroissement considérable des sanctions qui, en France, seront prononcées par la Cnil, qui voit, par là même, son pouvoir de contrôle renforcé [selon les types de manquements, 10 millions d’euros ou 2% du chiffres d’affaires mondial ; 20 millions ou 4 % du chiffre d’affaires mondial.]

Simultanément, les entreprises doivent ouvrir de vastes chantiers parmi lesquels la « tenue d’un registre des données » afin de répertorier toutes les données à caractère personnel collectées au sein d’un registre des traitements (finalités pour lesquelles ces données sont utilisées, l’emplacement de ces données, la liste des personnes autorisées à y accéder, ainsi que les mesures garantissant leur sécurité) ; le « respect du consentement libre, éclairé et univoque » en matière de recueil des données personnelles, ce qui suppose d’informer les utilisateurs de ces nouvelles modalités et de mettre en place de nouveaux procédés pour recueillir leur consentement ; la mise en place d’ « étude d’impact » pour certains types de traitements de données, et plus particulièrement ceux présentant « un risque élevé pour les droits et libertés des personnes physiques » ou encore la mise à niveau des mesures garantissant la « sécurité des données » (pseudonymisation ou chiffrement par exemple).

Pour faire face à la complexité de la réforme, la Cnil propose les outils et la méthode pour se préparer, ainsi que les clés de compréhension pour engager une démarche de conformité au RGPD, et faire progresser l’entreprise dans sa maturité numérique.

Thierry Charles, docteur en Droit, directeur des affaires juridiques d’Allizé-Plasturgie, membre du « Cercle Montesquieu »