Accueil » Droit de l'informatique, des Libertés & Internet » Fichiers, libertés, protection de la vie privée » Protection des données RGPD » Actualités

Article avocat Protection des données RGPD

Le RGPD à l’épreuve de la "pratique"

Par , Avocat - Modifié le 19-11-2019

Beaucoup parle du RGPD avec la volonté de le complexifier. Comme tout sujet, il faut du temps pour l'appréhender mais ce n'est pas la complexité qui le caractérise mais sa transversalité.

Évolution ou révolution ? Encore et toujours la même question qui revient. La législation sur les données personnelles existant depuis 40 ans, le RGPD n’est en rien une révolution. C'est un changement profond du fonctionnement et de l’appréhension par les entreprises des enjeux liés au traitement des données personnelles. Contrairement à ce que l’on pourrait penser, se mettre en conformité avec le RGPD est relativement simple si l’on dispose des bons outils, de la bonne méthodologie mais surtout que l’on fait ½uvre de pédagogie en interne. Mais attention, simple ne veut pas dire rapide.

Cette mise en conformité RGPD doit être abordée comme un projet à part entière et peut s’envisager par deux axes principaux :

  • La conformité externe, c’est-à-dire la conformité dans votre relation avec vos clients/fournisseurs ;
  • La conformité interne, représentant l’ensemble des mesures mises en place au sein même de votre entreprise pour assurer le respect du RGPD.

 

La conformité externe

Le RGPD apporte une logique de responsabilisation des acteurs, responsable de traitement comme sous-traitant, qui doivent encadrer les traitements mis en ½uvre dans le cadre de leurs relations contractuelles. Pour être exhaustif, cet encadrement doit se matérialiser sur les aspects juridiques, mais également sur les aspects opérationnels.

D’un point de vue purement juridique, doivent être déterminés les obligations et droits de chaque partie : qui est responsable de quoi dans le traitement des données, et quelle responsabilité pour qui en cas de violation de données ? Sous quel délai le sous-traitant doit-il notifier une violation au responsable de traitement ? Quelles sont les modalités des audits relatifs à la protection des données ? Dans quelle mesure le sous-traitant peut-il recourir à d’autres prestataires pour traiter les données ?

Sur les aspects opérationnels, l’article 28.3 du RGPD est très clair : « le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de lou du droit d'un État membre, qui lie le sous-traitant à l'égard du responsable du traitement, définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement []».

Concrètement, il vous appartient de vous poser les questions suivantes pour chaque traitement :

  1. Quelles sont les opérations effectuées sur les données ?
  2. Quel est l’objectif du ou des traitement(s) devant être mis en ½uvre ?
  3. Quelles sont les catégories de données et de personnes concernées ?
  4. Pendant combien de temps le traitement doit-il être mis en ½uvre ?
  5. Y a-t-il un transfert de données en dehors de l’UE ?

Il est également indispensable de cadrer la mise en place et le respect des mesures relatives à la sécurité des données. A défaut de recueillir de telles instructions, le sous-traitant risque une requalification en responsable de traitement (article 28.10).

 

La conformité interne

Les mesures devant être mises en place au sein de l’entreprise pour assurer le respect du RGPD découlent directement de la nouvelle logique d’« Accountability » : les entreprises doivent désormais mettre en ½uvre des mécanismes et des procédures internes permettant de démontrer leur respect de la législation en matière de données personnelles.

Cette logique implique notamment la désignation obligatoire d’un Data Protection Officer (DPO) pour les entreprises de plus de 250 salariés et la tenue d’un registre de l’ensemble des traitements réalisés. Au-delà des éventuelles données clients pouvant être traitées, ne doivent pas être oubliées celles des collaborateurs de l’entreprise. Ces derniers doivent être informés de la manière dont sont traitées leurs données, la gestion des accès des personnes traitant des données personnelles doit être strictement encadrée, et la sensibilisation des collaborateurs est indispensable pour assurer une bonne compréhension des enjeux à tous les niveaux. La conformité passe aussi par l’ensemble des outils informatiques traitant des données personnelles : une cartographie des outils utilisés doit être effectuée, les outils devant être sécurisés, et les nouveaux outils internes conçus en prenant compte de la protection des données dès leur conception et par défaut.    

La conduite d’une analyse d’impact permet quant à elle d’analyser un traitement avant sa mise en ½uvre, pour identifier les risques et menaces liés à ce traitement. Cette analyse est obligatoire pour certains traitements, dont les traitements susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes concernées. L’analyse consiste à faire une balance entre le dispositif choisi et les enjeux qu’il soulève, en tenant compte du respect des principes juridiques fondamentaux et des techniques de sécurisation des données. L’analyse d’impact permet non seulement de vérifier la conformité RGPD du traitement en interne, mais également de démontrer le respect du principe d’« Accountability » auprès de la CNIL.

Comme évoqué dans le « Rapport d’activité 2018 » publié par la CNIL, le nombre de plaintes déposées en 2018 a augmenté de 32,5%. L’entrée en vigueur du RGPD a marqué une prise de conscience inédite de la part des particuliers comme des entreprises. Si l’année 2018 a constitué une année de transition permettant aux acteurs de comprendre cette législation, l’année 2019 achève cette période et connaitra donc de nombreux contrôles du respect des nouvelles obligations.

En conclusion, la conformité RGPD doit être perçue comme un sujet de compliance qui n'est pas l’affaire du seul DPO mais bien un enjeu quotidien pour l’ensemble de vos collaborateurs.

À propos de l'auteur

Commenter cet article




Je souhaite être prévenu(e) des nouvelles contributions publiées sur ce sujet

Voir les conditions générales d'utilisation

Ces informations, nécessaires au traitement de votre demande, sont destinées au Juritravail et à la société WENGO SAS. Conformément à la loi relative aux fichiers, à l'informatique et aux libertés, vous bénéficiez d'un droit d'opposition, d'accès et de rectification des informations par mail à info@juritravail.com

Maître Benjamin Gras

Maître Benjamin Gras

Avocat au Barreau de LILLE

  • Droit des Sociétés - Création Entreprise - Cessation Activité
  • - Droit Commercial

Me contacter

Publicité

Ne passez pas à coté de l'actualité juridique

Recevez gratuitement notre Newsletter !

Toutes les nouveautés juridiques décryptées par notre équipe de juristes et d'avocats, rédigées en langage simple dans tous les domaines de droits !

Personnalisez votre Newsletter :

Simplicité et transparence avec Juritravail en savoir plus

Nous ne commercialisons pas vos adresses emails à un tiers. Nous conservons vos informations personnelles uniquement pour vous adresser des contenus et services que vous avez demandés et qui vous intéressent. Vous pouvez vous désinscrire à tout moment depuis les mails que vous allez recevoir.

Votre inscription a bien été prise en compte !

Vous recevrez bientôt des nouvelles de nous par email.

Pour connaitre et exercer vos droits relatifs à l'utilisation de vos données, consultez notre  Charte sur la protection des données personnelles ou contactez-nous à l'adresse suivante : dpo@juritravail.com.



30 000 professionnels MyBestPro disponibles sur :


© 2003 - 2019 JuriTravail tous droits réservés