Comprendre le RGPD : ce qu'il faut savoir

La loi française, souvent prompte à créer une réglementation tatillonne, a pris quelque retard sur la directive européenne relative au règlement général sur la protection des données (RGPD) n° 2016/679 du 27 février 2016. Ce réglement européen n’en reste pas moins applicable depuis le 25 mai 2018. A noter que la loi française sera promulguée très prochainement. Le Conseil Constitutionnel s'est prononcé le 12 juin dernier sur cette loi en censurant une seule disposition relative au traitement de données à caractère personnel en matière pénale (Conseil constitutionnel, n° 2018-765 DC,12 juin 2018).

 

1- De quoi parle-t-on ?

Le RGPD concerne le traitement des données personnelles, à savoir, toute opération (collecte, enregistrement, transmission, destruction…) portant sur une information se rapportant à une personne physique identifiée ou identifiable. Et ce, à l’aide de procédés automatisés (informatique) ou non (dossiers papiers). La mise en œuvre du RGPD est obligatoire depuis le 25 mai 2018.

 

2- Quelles différences avec la loi française ?

De nombreux droits des personnes étaient déjà prévus dans la loi française modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Le RGPD va plus loin. Il renforce les droits et obligations. Il conduit à modifier la loi de 1978.

 

3- Qui est concerné ?

En premier lieu, tout responsable du traitement. Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
En second lieu, toute personne qui est amenée à traiter des données (recueil d’informations sur une personne, courrier, conservation d’informations, etc.).
En troisième lieu, les sous-traitants d'un responsable du traitement, à savoir tout organisme qui traite ces données pour le compte du responsable du traitement.

 

4- Quels sont les risques en termes de responsabilité ?

Outre la responsabilité civile et pénale lié à une atteinte aux données personnelles, un responsable du traitement (ou un sous-traitant) qui ne respecte pas le RGPD peut être soumis à des amendes, qui selon la situation et la gravité de la violation, peuvent atteindre 20 millions d'euros, et pour une entreprise, jusqu'à 4 % du chiffre d'affaires mondial.

 

5- Quels sont les nouveaux droits créés par le RGPD ?

De nombreux droit étaient déjà existants. Certains sont renforcés :
- Droit à l’information ;
- Droit au consentement ;
- Droit d’accès aux données ;
- Droit à rectification ;
- Droit à l’oubli ;
- Droit à la limitation du traitement ;
- Droit d’opposition au traitement de données ;
- Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (et limitation du recours au profilage) ;
- Droit à la portabilité des données (nouveau) ;
- Droit à être informé en cas de violation (nouveau) ;
- Consentement des mineurs de moins de 16 ans (nouveau ; concerne les services de la société de l'information, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale).

 

6- Quelles sont les obligations du « responsable du traitement » ?

En pratique, il doit :
- Repenser les condtions de gestion des données concernant ses salariés ou agents, ses fournisseurs, ses clients ou bénécifiaires, y compris patients etusagers : modalités de recueil des données, information et consentement des personnes concernées, type de données collectées, destintaiires des données, modalités d'accès, durée de conservattion, mesures de sécurité...
- Formaliser ses choix : politique de confidentialité, registre des traitements, formulaires de collectes d'informations ...
- Veiller à la mise en oeuvre effective de ses choix : définition des rôles et responsabilités, formation des personnels, audits, etc.

En effet, il doit :
- Mettre en place des mesures techniques et organisationnelles pour assurer sa conformité au RGPD.
- Etablir un registre des activités de traitement qui remplace de fait la déclaration CNIL auparavant obligatoire. Une déclaration CNIL reste obligatoire dans certains cas (ex : recherche).
- Analyser l’impact d’un nouveau traitement de données s’il existe un risque élevé pour les droits et libertés des personnes physiques.
- Notifier une violation de données à l’autorité compétente (ARS, CNIL ANSSI, selon les cas).
- Etablir une convention avec ses sous-traitants qui traite des données à caractère personnel pour le compte du responsable du traitement.
- Désigner un DPO dans certains cas : le DPO est chargé de veiller à l'application du RGPD (Data Protection Officer ou DPD, Délégué à la Protection des Données) ; il doit disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

 

7- Quel est l’intérêt d’un DPO ?

Le DPO (Data Protection Officer ou DPD, Délégué à la Protection des Données) est chargé de veiller à l'application du RGPD.
Il a un rôle conseil, d'appui, de lien en interne et en externe, sur les questions liées au traitement des données.

Tout établissement public et toute structure traitant à grande échelle des données sensibles -par exemple des données de santé- doit désigner un DPO.
Pour les autres structures, le DPO n'est pas obligatoire mais recommandé par la CNIL. Elle « permet de confier à un expert l’identification et la coordination des actions à mener en matière de protection des données personnelles. » 

Le DPO doit être désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions (article 37).

Ses missions sont les suivantes :
a) Informer et conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en vertu du RGPD et d'autres dispositions du droit de l'Union ou du droit des États membres en matière de protection des données ;
b) Contrôler le respect du RGPD, d'autres dispositions du droit en matière de protection des données et des règles internes du responsable du traitement ou du sous-traitant, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement des données, et les audits s'y rapportant ;
c) Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier l'exécution de celle-ci en vertu de l'article 35 du RGPD ;
d) Coopérer avec l'autorité de contrôle ;
e) Faire office de point de contact pour l'autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable visée à l'article 36 du RGPD, et mener des consultations, le cas échéant, sur tout autre sujet.

 

8- Quel est le point de vue du DPO sur l'intérêt de mettre en oeuve le RGPD ?

Fondamentalement, la mise en oeuvre attentive du RGPD est un indicateur du degré de responsabilité sociale d'un acteur donné. Disons du degré de sensibilisation, de respect des personnes, de conscience professionnelle dès lors qu'il y a manipulation de données personnelles. 

Il s'agit aussi d'une obligation légale dont la portée est majeure. Le respect du RGPD est de nature à prévenir certains risques juridiques aux conséquences fâcheuses et couteuses. D'autant que les contentieux en la matière sont sans doute appelés à se développer. De fait, la responsabilité des dirigeants est majeure pour les structures et organismes qu'ils représentent. Ainsi que celles de leurs cadres. Car la manipulation de données intervient à tous les niveaux d'une organisation : entreprise, administration, établissement de santé, ESMS, acteur de l’économie social et solidaire. De l'accueil téléphonique à l'archivage.

 

9- Tout le monde se conformera-t-il au RGPD ?

Certaines professions et organisations sont déjà sensibles à la protection des données (ex : professions réglementées).
Mais dans tous les cas, des évolutions s’imposent, aujourd'hui même. D'autant que la mise en œuvre du RGPD ne fait que commencer pour de nombreux acteurs. 

Il est probable qu’il y aura finalement trois façons de faire dans la mise en œuvre du RGPD :
- ne pas l'appliquer, ou l’appliquer le plus tard possible,
- faire mine de l’appliquer, ou croire qu'on l'applique, en se contentant d’une démarche de façade,
- le mettre en œuvre sérieusement, en y travaillant méthodiquement et dans la durée.

C'est évidemment la dernière option que nous conseillons.