Derniers articles
< Retours aux fiches pratiques
La protection des données à caractère personnel est un enjeu majeur de notre société numérique. Depuis de nombreuses années, un certain nombre de lois et de règlements ont tenté d'encadrer et d'harmoniser le traitement de nos données. Le RGPD, applicable à compter du 25 mai 2018, vient apporter un nouvel élan à ce mouvement, et de nouvelles règles applicables à tous !
Nous vous proposons de faire un bref rappel des différentes évolutions apportées par le règlement européen sur la protection des données (RGPD).
Pour plus d'informations à ce sujet, nous vous invitons à contacter Me Fabien DREY, Avocat en nouvelles-technologies et Délégué à la Protection des Données Personnelles (DPO) à Bordeaux et en Charente-Maritime.
DEMANDE DE DEVIS GRATUIT EN LIGNE
Une demande ? Une question particulière ?
Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne
Les données (data) et notamment les données personnelles, représentent pour beaucoup le pétrole du XXIème siècle. En effet, nos données personnelles possèdent une valeur de plus en plus importante, en fonction de leur précision, de leur rareté, de leur impact, etc.
Il est aisé de s'en apercevoir lors d'une simple navigation sur internet, où chacune de nos recherches sont enregistrées afin de nous proposer des publicités ciblées (via, notamment, l'utilisation des cookies).
Cependant, l'utilisation de nos données personnelles recouvre un champ beaucoup plus important et concerne la quasi-intégralité des traitements, et donc la quasi-intégralité des entreprises.
Un fichier client simple, contenant simplement des noms et des adresses mails, est un fichier de traitement contenant des données personnelles. Ainsi, toutes les entreprises sont concernées par l'évolution du RGPD.
Il convient toutefois de rappeler que la France a toujours encadré le développement de ces traitements, et cela depuis plus de 40 ans !
Suite à l'adoption de la loi 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dite « loi Informatique et libertés », la France avait été l'un des premiers pays à créer une législation globale relative à la protection des données à caractère personnel.
Par la suite, cette loi a fait l'objet de nombreuses évolutions et certains lois spéciales sont venues encadrer un certain nombre de traitements de données spécifiques.
La dernière modification de cette loi provient de l'entrée en vigueur de la loi 2016-1321 du 7 octobre 2016 (loi pour une République numérique), qui est venue renforcer certains pouvoir accordés à la CNIL et les droits des personnes concernées.
Le droit européen en matière de protection des données personnelles était issu de la directive 95/46 du 24 octobre 1995 dont le principal but était d'harmoniser les législation des différents états de la communauté européenne.
Cette directive a été transposée en droit français avec la loi 2004-801 du 6 août 2004.
Toutefois, cette loi n'était pas satisfaisante car elle ne garantissait pas l'harmonisation des procédures et des sanctions entre les différents Etats européens.
Fort de ce constat, et devant l'importance grandissante des problématiques liées aux données personnelles, le Parlement Européen a souhaité encadrer de manière plus strict les législations des différents Etats, en adoptant le règlement 2016/679 du 27 avril 2016.
Ce règlement est généralement dénommé « règlement général sur la protection des données » (RGPD) (« general data protection regulation » ou GDPR).
Pour en savoir plus, sur la date d'entrée en vigueur du RGPD, nous vous invitons à consulter notre fiche dédiée (A quelle date dois-je me mettre en conformité avec le RGPD ?).
Depuis le 24 mai 2016, le RGPD est entrée en vigueur. Ce nouveau règlement vient introduire un certain nombre de changements que les entreprises doivent mettre en application au plus tard le vendredi 25 mai 2018.
Il convient dans un premier temps de rappeler que, dans la mesure où votre entreprise aurait respecté l'ensemble des obligations issues de la loi Informatique et Liberté actuellement en vigueur (novembre 2017), les changements introduits par le RGPD n'aurait pas d'impact conséquent.
Par ailleurs, et afin de préciser les nouvelles obligations inhérentes au traitement des données à caractère personnel, il conviendra d'attendre l'entrée en vigueur de la réforme de la loi informatique et liberté (qui devrait intervenir au cours du mois de décembre 2017).
Il est cependant possible de faire la synthèse des principales évolutions introduites par le RGPD.
Cette synthèse n'a pas vocation à être exhaustive et nous vous invitons à nous contacter pour plus d'informations.
Une demande ? Une question particulière ?
Contactez nous au 09.72.60.94.89, par mail (contact@reclex-avocats.com) ou via notre tchat en ligne
De nombreuses dispositions obligatoires actuellement resteront en vigueur.
Le règlement européen ne modifie pas la teneur des traitements effectués, il s'appliquera aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données personnelles contenues ou appelées à figurer dans un fichier.
Le traitement des données par une personne physique dans le cadre d'une activité strictement personnelle ou domestique n'est toujours pas concerné par la règlementation (toutefois, dans l'hypothèse où les données seraient stockées sur un cloud, il convient de rappeler que le prestataire reste concerné par les obligations issues du RGPD).
Le RGPD reprend dans leur grande majorité les obligations d'ores et déjà applicables en France. Dans ce cadre, il est rappelé que la collecte des données à caractère personnel doivent répondre aux critères suivants (art.5, 1-a à f du RGPD) :
Il est interdit de traiter des données personnelles dites sensibles liées :
La principale nouveauté concernant l'interdiction des "données génétiques" ainsi que les "données biométriques" permettant d'identifier une personne de manière unique.
Bien évidemment, des dérogations peuvent être accordées afin de traiter ce type de données personnelles sensibles, à condition de respecter des obligations strictes (pour plus d'informations, nous vous invitons à nous consulter).
Il est impératif, sous exception, que la personne concernée ait consenti au traitement de ses données.
Cette notion a faiblement évolué avec l'entrée en vigueur du RGPD.
Il est ainsi obligatoire que la personne donne son accord de manière claire et non-équivoque et le responsable de traitement doit être en mesure de rapporter la preuve que le consentement a été valablement donné.
Le consentement reste facultatif dans la mesure où le traitement est nécessaire :
Les personnes concernées par le traitement de leur données bénéficient aujourd'hui d'un certain nombre de protections, issues de la loi de 1978, ces obligations sont renforcées par le RGPD.
Pour rappel, les droits des personnes quant à l'utilisation de leurs données personnelles sont les suivants :
Le RGPD renforce le droit pour les personnes de ne pas faire l'objet de décision fondée exclusivement sur un traitement automatisé (art. 22). Une disposition similaire existait déjà dans la loi informatique et liberté.
Le "profilage" est défini comme (art. 4) toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique.
Là-encore, certaines dérogations peuvent exister, notamment dans l'hypothèse où la personne aurait donné son consentement express.
L'une des principales nouveautés du RGPD est d'introduire un principe de responsabilité du responsable de traitement. Le responsable de traitement doit ainsi effectuer un auto-contrôle interne.
Cette nouvelle procédure met fin aux obligations antérieures de déclaration à la CNIL des traitements (sauf exceptions pour certains traitements spécifiques).
Dorénavant, les traitements pourront être effectués sans déclaration préalable, et l'autorité de contrôle (la CNIL) pourra effectuer des contrôles à tout moment (sur pièce ou à distance). Les entreprises qui ne respecteraient pas les principes édictés serait redevables de très lourdes amendes (infra).
Cette nouvelle disposition impose aux entreprises de mettre en oeuvre un certain nombre de pratiques et de documentations, à conserver en cas de contrôle.
Il s'agit principalement de cette obligation que les entreprises doivent mettre en place, en se faisant aider par des professionnels qualifiés (Data Protection Officer, voir ci-dessous).
Il s'agit des deux principales nouveautés du RGPD.
Ces deux méthodes impliquent de mettre en oeuvre, dès la création du traitement, des techniques organisationnelles permettant de respecter le RGPD (privacy by design).
En outre, seules les données personnelles strictement nécessaires au traitement en cause et sa finalité doivent être collectées par défaut (privacy by default). Ce principe se rapproche du principe dit de "minimisation des données".
Pour plus d'informations sur ces obligations essentielles, nous vous invitons à nous consulter.
Dans certains cas, le responsable de traitement est tenu de réaliser une "étude d'impact" préalable au traitement (privacy impact assessment).
Cette analyse d'impact est généralement obligatoire :
Pour plus d'information concernant la réalisation de cette étude d'impact, n'hésitez pas à nous consulter.
Chaque responsable de traitement (entreprise traitant des données) est tenue de désigner un DPO dans les hypothèses suivantes :
Chaque entreprise peut, si elle le souhaite, nommer un DPO afin de la conseiller et de l'orienter quant au traitement de ses fichiers.
Pour plus d'informations quant à la nomination d'un DPO, nous vous invitons à nous consulter.
Chaque responsable de traitement (et chaque sousè-traitant) a dorénavant, en principe, l'obligation de tenir un registre des activités exercées sous sa responsabilité.
Cela implique la réalisation d'une étude de cartographie des traitements (mapping) afin de s'assurer du respect des dispositions du RGPD.
Il est indispensable de revoir les contrats avec l'ensemble des partenaires de l'entreprise ayant un accès aux données collectées (par l'intermédiaire d'API, ou autres).
Dès l'instant où les données collectées par une entreprise peuvent être utilisées, consultées et traiter par une autre entreprise, il est fortement recommandé de conclure des accords relatifs aux obligations respectives, notamment quant à l'exercice des droits des personnes concernées et la communication des informations qui doivent leur être fournies.
Pour plus d'informations quant à l'évolution de votre documention, nous vous invitons à nous consulter.
Le responsable du traitement et le sous-traitant sont tenus de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque encouru.
Toute violation des données doit en principe être déclarée à l'autorité nationale de contrôle dans les 72 heures, ce qui implique de mettre en place certains contrôles internes.
La loi actuelle prévoit un certain nombre d'obligation en matière de sous-traitance.
Le RGPD reprend en grande partie les éléments existants, tout en ajoutant certaines obligations spécifiques.
A cet égard, dès l'instant où un sous-traitant (logiciel de gestion, API, utilisation des données collectées, etc.) possède un accès à votre fichier de traitement, il est obligatoire de conclure un contrat de sous-traitance répondant aux obligations posées par l'article 28 du RGPD).
Le responsable de traitement doit être en mesure de rapporter la preuve de l'existence de ces contrats, ainsi que des contrats conclus par le sous-traitant avec ses propres sous-traitants (responsabilité en cascade).