Actualité juridique

05 février 2018

RGPD : les cinq points à vérifier pour la mise en conformité

Le RGPD ne change pas les grands principes applicables au traitement de données personnelles. Cependant, le règlement européen crée de nouvelles obligations spécifiques et étend le champ de protection des données, impliquant le développement d’une “culture” de la donnée personnelle dans chaque entreprise.

Les grands principes restent inchangés

Le RGPD ne change pas les grands principes applicables aux données personnelles. Le renforcement des contraintes est cependant l’occasion de s’assurer que les traitements de données personnelles opérés au sein de l’entreprise le sont en conformité du droit applicable. Il convient notamment de s’assurer du fondement juridique permettant à l’entreprise de réaliser le traitement.

Malgré une permanence des grands principes, le RGPD crée de nouveaux droits spécifiques et de nouvelles obligations à la charge des responsables des traitements, qui ont des conséquences importantes pour les entreprises. Une “culture” de la donnée personnelle devra ainsi être développée dans chaque entreprise, afin d’adapter ses stratégies aux nouvelles contraintes dès l’origine des projets.

Les 5 nouvelles obligations à respecter

Les cinq nouvelles obligations sont les suivantes :

  • La protection des données dès la conception (privacy by design) : Ce principe impose aux responsables du traitement des données de mettre en œuvre toutes les techniques nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Parmi les techniques de sécurisation, le règlement évoque le chiffrement (59) et la pseudonymisation des données (60).
  • L’obligation de tenir un registre des activités de traitement de données : Afin de démontrer qu’ils ont mis en place des mesures de protection des données appropriées, l’article 30 du règlement prévoit que les responsables des traitements et les sous-traitants ont l’obligation de tenir un « registre des activités de traitement effectuées sous leur responsabilité », ce registre étant mis à la disposition de l’autorité de contrôle à sa demande.
  • L’obligation de faire une analyse de l’impact des opérations de traitement sur la protection des données à caractère personnel : Des analyses de l’impact des opérations de traitement sur la protection des données à caractère personnel devront être conduites par les responsables de traitement lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques.
  • L’obligation de désigner un délégué à la protection des données : S’agissant des organismes privés, cette désignation sera obligatoire pour les traitements à grande échelle impliquant un suivi systématique et les traitements à grande échelle de données sensibles.
  • L’obligation de notification des violations de données à caractère personnel : Lorsqu’il constate une violation de données à caractère personnel, le responsable du traitement des données doit la notifier à l’autorité nationale de protection des données dans un délai de 72 heures, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.

Mesures correctives et sanctions administratives

Ces nouvelles obligations impliquent une mise en conformité, qui concerne presque toutes les entreprises. À défaut de mise en conformité, les entreprises peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

Les autorités de contrôle peuvent prononcer des “mesures correctives”, telles qu’un avertissement, mettre en demeure l’entreprise, limiter temporairement ou définitivement un traitement, suspendre les flux de données, ordonner de satisfaire aux demandes d’exercice des droits des personnes ou ordonner la rectification, la limitation ou l’effacement des données.

Mais surtout, la Cnil pourra prononcer des amendes administratives pouvant atteindre, selon la catégorie de l’infraction, 10 à 20 millions d’euros, ou, dans le cas d’une entreprise, de 2 % à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.