4…3…2…1… RGPD !!!

 

Dernière ligne droite avant l’entrée en vigueur du règlement européen… KOS Avocats vous accompagne et vous propose, au long de la semaine, quelques informations clés sur le RGPD…

 

Qu’est-ce que le RGPD ou GDPR ?

Le RGPD (ou GDPR) est le Règlement Général pour la Protection des Données (ou General Data Protection Regulation). Il s’agit d’une réglementation européenne qui vise à renforcer la protection des données personnelles.

 

 

Pourquoi une nouvelle réglementation ?

En raison de l’évolution rapide des technologies (Big Data, objets connectés, Intelligence Artificielle) et de l’augmentation substantielle des flux transfrontaliers de données à caractère personnel, le législateur européen a entendu créer un cadre renforcé et harmonisé de protection des données. Ainsi, une protection effective des données exige :

  • de renforcer et préciser les droits des personnes concernées : L’individu est alors placé au cœur du dispositif légal et bénéficie de droits renforcés (consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, à l’effacement, etc.) ;
  • de renforcer les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants fournisseurs de service (principe de Privacy by Design et d’ Accountability). Dès lors, chaque entreprise doit se doter d’une politique de protection des données globale en s’assurant, dès la conception du projet qu’il est conforme à la réglementation dès lors qu’il y a collecte de données.

Cette exigence de protection de la vie privée induit un mécanisme de sanction lourd : Dès mai 2018, la CNIL pourra infliger des sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires mondial (alors qu’auparavant, une amende ne pouvait excéder 150.000 €…).

 

Qui est concerné par le Règlement Général sur la Protection des données (RGPD) ?

Le RGPD s’applique au bénéfice de tous les citoyens européens. En effet, la collecte de données de citoyens européens est soumise au RGPD, que le traitement de données à caractère personnel intervienne ou non dans l’Union Européenne. Un moyen d’imposer aux grandes sociétés du continent américain et asiatiques l’application des mêmes règles contraignantes que celles imposées aux entreprises européennes, souvent plus modestes…

Ensuite, le RGPD s’applique à tous les établissements récoltant des données personnelles pour leur activité professionnelle, quelle que soit leur nature (public/privé) et leur taille : TPE/PME, sociétés du CAC 40, banques, assurances, cybermarchands, SSII, fournisseurs de services SaaS, exploitants de MarketPlace, éditeurs d’applications mobiles ou autres dispositifs connectés, etc.

Cela induit un changement important de paradigme. En effet, alors qu’auparavant le responsable du traitement endossait une part quasi-totale du risque juridique, aujourd’hui l’ensemble des acteurs de la chaîne sont soumis aux mêmes obligations et partant aux mêmes sanction (responsable de traitement et sous-traitant). La responsabilité s’inscrit dans un schéma horizontal et non plus vertical.

 

A partir de quand se conformer aux obligations du RGPD ?

Le RGPD est applicable au 25 mai 2018…A noter que la CNIL a fait savoir qu’elle agirait avec mansuétude pour la mise en œuvre de son pouvoir de sanction étendu. Ainsi, un défaut de conformité au 25 mai n’entrainera pas automatiquement une sanction. La CNIL procèdera à un examen au cas par cas, pour savoir si l’entreprise s’est effectivement préoccupée de la protection des données personnelles. La CNIL va publier d’ici 2019 des référentiels sectoriels, traduisant sa doctrine pour accompagner les établissements et dont la publication marquera sans doute la mise en œuvre du pouvoir de sanction.

 

Comment être en conformité avec le Règlement Général sur la Protection des données (RGPD) ?

L’accompagnement juridique est indispensable. En effet, la mise en conformité suppose de définir une Gouvernance de la Data, et ce, à chaque étape de la conception et du lancement de nouveaux services impliquant des traitements de données.

 

En premier lieu, et pour répondre aux exigences du RGPD et vous prémunir contre d’éventuelles sanctions, pensez à :

  • désigner un Délégué à la protection des données (DPO en anglais), pilier central de ces différentes mesures ;
  • revoir votre dispositif contractuel pour garantir la confidentialité des données ;
  • mettre en place un référentiel sécurité (charte éthique, politique de gestion des incidents…) ;
  • réaliser des études d’impact pour justifier du niveau de garantie de protection des données….

 

Définir une politique de protection des données constitue désormais, et sans aucun doute, un investissement clé pour favoriser un développement harmonieux de l’entreprise.

0 Comments

Leave a Reply

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *