Accueil » Droit des affaires » Propriété intellectuelle, web & NTIC » Internet » Vendre sur Internet » Protection des données : personnelles, bancaires, sensibles » Actualités

Article avocat Protection des données : personnelles, bancaires, sensibles

Les étapes pour être en conformité avec le RGPD d’ici mai 2018

Par , Avocat - Modifié le 21-12-2017

Le but de ce texte est de pérenniser un cadre unifié pour l’ensemble de l'europe, concernant le droit des personnes au regard du traitement de leurs données à caractère personnel. L’idée est également d’encadrer la pratique des traitants et sous-traitants.

Me CAHEN Murielle, Avocat, peut être choisi par une société pour être Avocat agissant en tant que délégué à la protection des données .

L’avocat  délégué à la protection des données  a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

        Le souci, c’est qu’aujourd’hui très peu d’entreprises sont en mesure d’accueillir cette nouvelle réglementation d’ici le mois de mai. Il apparaît nécessaire, de fait, d’accompagner les entreprises dans ces différentes étapes : l’ensemble des dispositions du texte se devra d’être compris par les entreprises (I), pour pouvoir organiser de manière rapide et efficace leur mise en conformité (II).

 

I)Règlement européen sur la protection des données : une compréhension préalable obligatoire

        Le texte européen prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

a)     Une nouvelle réglementation pour les entreprises

        L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

        Pour commencer, une des dispositions les plus attendues du texte consiste en la «consécration» du droit à l’oubli, déjà soutenu par la Cour de justice de l'Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir «avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées».

        Par ailleurs, les traitants et sous-traitants de données devront désormais conserver celles-ci aussi longtemps que nécessaire et leur accès, leur modification, leur restitution ainsi que leur effacement à la demande des individus concernés, devront être garantis et assurés effectivement.

      De même, seules les données nécessaires à la finalité en cause pourront être collectées par les entreprises, et ces dernières devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données. Cette obligation de consentement, éclairé qui plus est, devra être prouvée au besoin par les entreprises. 

         Enfin, le texte prévoit également de nouvelles obligations comme le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de ainsi que l’obligation pour les entreprises d’informer la CNIL, ainsi que la personne dont les données ont fuité, d’une violation grave des données ou d’un piratage, et ce dans les 72 heures après la découverte du délit.

 

b)     Les entreprises réticentes sous le joug de sanctions

        C’est également aux entreprises de veiller à ce que les données soient à tout moment sécurisées contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

        Si ces dispositions ne sont pas respectées, le texte prévoit plusieurs sanctions, dont des amendes administratives pouvant s’élever jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédant l’année de la violation établie.

        Par ailleurs et dans la même logique, c’est l’entreprise traitante ou sous-traitante qui devra indemniser les personnes lésées matériellement ou moralement par un traitement non conforme de ses données. Mais cette fois-ci, aucun plafond n’est prévu à l’égard de cette obligation.

      Il est donc urgent pour les entreprises de se mettre en conformité avec le RGPD rapidement. Le texte, d’ailleurs, porte aussi vocation d’obliger les plus réticents à «jouer le jeu», à l’appui d’un texte qui se positionne dans la lignée de la décision de la CNIL espagnole du 11 septembre dernier, ayant infligé à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement de données sensibles sans le consentement des utilisateurs.

       Pour autant, toutes les entreprises n’ont pas forcément conscience de la quantité ni de la façon dont elles traitent les données à leur disposition, notamment sur leurs bases de données.

     Cette transition se doit donc d’être structurée, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

 

II)Un processus de mise en conformité en plusieurs étapes

        Il convient pour les entreprises de prendre de l’avance et d’entamer dès aujourd’hui un processus de transition. À cet égard, le délégué à la protection des données (a) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (b) de cette transition.

a)     Le rôle-clé du délégué à la protection des données

        Le délégué à la protection des données («DPO») sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif. Il fait office, au sein de l’entreprise, de «chef d’orchestre» de cette transition, de cette mise en conformité des entreprises aux dispositions nouvelles qu’introduit le Règlement général sur la protection des données.

        La désignation de celui-ci est obligatoire pour les organismes publics et entreprises responsables du traitement de données sensibles ou de traitement à grande échelle.                                                    

     Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est «fortement recommandé» d’effectuer une telle désignation, «le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement».

        Le DPO peut être lié à l’entreprise par un d’un contrat de service. De fait, il n’a pas à en faire partie, mais sera pour autant soumis au secret professionnel ou à une obligation de confidentialité, pour des raisons évidentes.

        Le rôle du DPO in fine, sera de comprendre les nouvelles obligations prévues par le texte en vue d’une transition cordonnée de l’entreprise concernée. Néanmoins, le texte rappelle qu’il n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données, même s’il est conseillé pour lui de tenir un suivi à jour des propositions qu’il a faites, surtout dans le cas où l’etreprise n’aurait pas suivi ses recommandations.

 

b)     Le tracé de cette mise en conformité

       Une fois le DPO désigné, trois étapes paraissent essentielles pour d’une transition réussie.

        Tout d’abord, l’entreprise devra lister précisément l’intégralité des données dont elle dispose et qu’elle traite, ainsi que les acteurs de ce traitement.

     Pour ce faire, la tenue d’un registre des traitements semble toute indiquée : l’entreprise y consignera les informations précitées, ainsi que la nature de ces données, leur provenance ou encore la manière dont elles sont traitées.

        Par la suite, il faudra comparer la manière dont ces traitements sont effectués avec les bases légales qui vont prochainement entrer en vigueur, pour s’assurer qu’ils respectent les droits des utilisateurs, le principe de transparence ainsi que le fait de savoir s’ils sont suffisamment sécurisés.

        La dernière étape s’articule autour d’une documentation «au fil de l’eau» de cette mise en conformité par l’entreprise, permettant d’identifiant facilement les points sur lesquels elle est à jour et les points sur lesquels il faut encore travailler.

Commenter cet article




Je souhaite être prévenu(e) des nouvelles contributions publiées sur ce sujet

Voir les conditions générales d'utilisation

Ces informations, nécessaires au traitement de votre demande, sont destinées au Juritravail et à la société WENGO SAS. Conformément à la loi relative aux fichiers, à l'informatique et aux libertés, vous bénéficiez d'un droit d'opposition, d'accès et de rectification des informations par mail à info@juritravail.com

Pour aller plus loin


Maître Murielle CAHEN

Maître Murielle CAHEN

Avocat au Barreau de PARIS

  • Droit du Travail Salarié
  • - Droit des Employeurs - Droit Social

Me contacter

Publicité

Ne passez pas à coté de l'actualité juridique

Recevez gratuitement notre Newsletter !

Toutes les nouveautés juridiques décryptées par notre équipe de juristes et d'avocats, rédigées en langage simple dans tous les domaines de droits !

Personnalisez votre Newsletter :

Simplicité et transparence avec Juritravail en savoir plus

Nous ne commercialisons pas vos adresses emails à un tiers. Nous conservons vos informations personnelles uniquement pour vous adresser des contenus et services que vous avez demandés et qui vous intéressent. Vous pouvez vous désinscrire à tout moment depuis les mails que vous allez recevoir.

Votre inscription a bien été prise en compte !

Vous recevrez bientôt des nouvelles de nous par email.

Pour connaitre et exercer vos droits relatifs à l'utilisation de vos données, consultez notre  Charte sur la protection des données personnelles ou contactez-nous à l'adresse suivante : dpo@juritravail.com.



30 000 professionnels MyBestPro disponibles sur :


© 2003 - 2019 JuriTravail tous droits réservés