rooryck-sarret Avocat Informatique et Libertés Blog d'une avocate en droit des TIC

Accueil » Actualité juridique » Maître ariane rooryck-sarret » Actualité » Entrée en vigueur du RGPD : la chasse aux traitements non déclarés est ouverte !

Entrée en vigueur du RGPD : la chasse aux traitements non déclarés est ouverte !

Par Maître ariane rooryck-sarret | 20-04-2018 | 0 commentaires | 653 vues


 

L’entrée en vigueur du Règlement européen 2016/679 refondant le régime de protection des données (RGPD) est prévu au 25 mai 2018. La loi de transposition en droit interne qui doit remplacer l’actuelle loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) est toujours en attente de publication.

D’ores et déjà les responsables de traitement peuvent anticiper les principales difficultés de l’entrée en application de cette nouvelle réglementation en dressant une cartographie de leur système d’information.

En effet, en tout état de cause, les entreprises devront pouvoir renseigner la CNIL en cas de contrôle (les pouvoirs d’amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaire mondial, le plus élevé d’entre les deux étant retenu) sur les caractéristiques précises de leurs traitements de données à caractère personnel.

Plus encore il s’agit de profiter du délai restant avant l’entrée en application du nouveau règlement pour déclarer la conformité des traitements de données qui ne l’auraient pas été.

En effet les traitements régulièrement déclarés avant l’entrée en vigueur de la nouvelle réglementation bénéficieront d’un délai de trois de mise en conformité, contrairement à ce qui ne l’auront pas été.

Il s’agit dès maintenant de cibler les traitements de données les plus sensibles (soumis actuellement à autorisation préalable auprès de la CNIL), ou réalisés à grande échelle ; ces deux catégories de traitements sont en effet l’objet d’un encadrement juridique renforcé à compter du 25 mai 2018[i].

En contrepartie de la suppression de l’obligation de déclaration préalable à la CNIL, avancée majeure du RGPD, les responsables de traitements devront réaliser en priorité pour ces deux types de traitements des analyses d’impact sur la vie privée, dans le but de pré-constituer une documentation de conformité à la disposition des contrôleurs de la CNIL.

Cette analyse comporte un volet technique et juridique, puisqu’il s’agit d’analyser les menaces internes et externes potentielles sur un traitement de donnée et d’en tirer les conclusions : s’il s’agit d’un traitement de donnée dont le risque est élevé (par exemple avec un transfert hors de l'union européenne vers un pays n’assurant pas une protection des données adéquate) alors il faudra quand même soumettre sa mise en œuvre à une autorisation préalable auprès la CNIL (sous conditions).

Il convient donc dès à présent d’analyser non seulement les traitements de données en interne mais également les flux de données hors de l’entreprise vers les sous-traitants (hébergeur en Cloud, prestataire informatique, etc.). Et de se faire communiquer si nécessaire les informations de mise en conformité du sous-traitant à la règlementation européenne.

En effet, une des grandes nouveautés du RGPD est la notion de responsabilité du responsable de traitement élargie à celle du sous-traitant en cas de manquement à l’obligation d’audit de ces derniers.

 


1.       [i]Il s’agit précisément :

- des organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d'assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d'accès internet.

- des organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale) ou relatives à des condamnations pénales et infractions.

 

Contactez le Cabinet Sterenn Law

Vos Réactions Réagir

Répondre au sujet

Pour commenter cet article, veuillez vous connecter ou compléter le formulaire ci-dessous :





Je souhaite être prévenu(e) des nouvelles contributions publiées sur ce sujet


Voir les conditions générales d'utilisation

Ces informations, nécessaires au traitement de votre demande, sont destinées au Juritravail et à la société WENGO SAS. Conformément à la loi relative aux fichiers, à l'informatique et aux libertés, vous bénéficiez d'un droit d'opposition, d'accès et de rectification des informations par mail à info@juritravail.com




© 2003 - 2020 JuriTravail tous droits réservés

L'info vient à vous
Recevez gratuitement l'essentiel de l'actualité juridique de la semaine
Je m'inscris Ou je me connecte à mon compte