RGPD, GDPR, DPO, DPD…depuis quelques mois les acronymes en lien avec les données personnelles fleurissent sur le net.
Nous vous en parlions d’ailleurs dans un précédent article signé Vincent Louchez. Cet article vous permet de faire le point sur ce qui va changer et sur vos nouvelles obligations.
Vous avez dit RGPD ?
RGPD pour « Règlement Général sur la Protection des Données » (ou « General Data Protection Regulation- GDPR »). Il s’agit d’un texte voté par l’Union européenne le 27 avril 2016 mais qui ne rentrera en vigueur que le 25 mai 2018. Ce texte vient modifier en profondeur le droit appliqué à la collecte des données personnelles.
Pour rappel, une « donnée personnelle » est une donnée qui permet d’identifier seule, ou combinée avec d’autres informations, directement ou indirectement, une personne. Donc une adresse email est une donnée personnelle, tout comme le montant d’un salaire, la profession d’une personne, etc.
Jusqu’à aujourd’hui la loi applicable aux données personnelles était la loi dite « Informatique et Libertés » du 6 janvier 1978. Bien que remaniée à de nombreuses reprises, cette loi n’était plus adaptée aux nouvelles technologies et aux risques d’atteinte à la vie privée causés par la puissance des nouveaux outils informatiques.
Car c’est bien ce risque qui est au centre des préoccupations du législateur européen. A titre d’exemple une étude réalisée en 2015 démontrait qu’en moyenne, la localisation d’une personne était partagée via son téléphone plus de 5000 fois en moins de deux semaines. Sans parler évidemment des renseignements collectés en masse via les cookies placés sur les sites Internet ou parfois, tout simplement, via les caméras situées dans les magasins.
Le législateur a donc souhaité sensibiliser les personnes au fait que la communication de leurs données n’était pas un acte anodin et qu’elle pouvait avoir un impact fort sur leur vie privée. Cette sensibilisation se traduit notamment par un renforcement des mentions légales à faire figurer sur les formulaires de collecte de données.
Les personnes dont les données sont collectées se voient également attribuer un droit de contrôle renforcé sur leurs données. Elles peuvent notamment exiger que leurs données soient effacées (droit à l’effacement) ou que l’ensemble de leurs données leur soient communiquées et/ou transmises à un nouveau prestataire (droit à la portabilité).
De leurs côtés, les entreprises ont désormais l’obligation d’être en mesure de démontrer à tout moment à la CNIL qu’elles sont en règle avec la nouvelle règlementation.
Autrement dit et en premier lieu, qu’elles ne collectent que des données en lien avec leur activité, et qu’elles ont mis en place au sein de leur société les processus nécessaires au respect de la règlementation :
- détermination des personnes ayant accès aux données (service marketing, paye, etc.),
- détermination des personnes auprès de qui les droits d’accès, d’effacement et de portabilité s’exercent,
- mise en place des procédures d’alerte et de sécurisation en cas de fuite/piratage de données,
- actualisation de la documentation contractuelle.
En second lieu – pour les entreprises qui collectent ou exploitent un grand nombre de données – tenue d’un registre de traitement des données qui synthétise les caractéristiques des différents traitements effectués par la société.
Mise en place – obligatoire ou facultative selon l’activité de la société – d’un délégué à la protection des données (ou « Data Protection Officer – DPO ») qui aide l’entreprise à se mettre en conformité, tient à jour le registre des traitements, et assiste et conseille l’entreprise lors de la mise en œuvre de nouveaux traitements.
Même si la nomination d’un DPO n’est pas obligatoire, elle est vivement recommandée puisqu’à compter du 25 mai 2018 la CNIL – ou toute autorité de contrôle – sera en mesure d’imposer des amendes pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial, le plus gros des deux montants…
Le délégué à la protection des données peut être soit un salarié de l’entreprise – ce qui nécessite de le former – soit une personne extérieure (DPO externalisé, avocat, etc.).
VIRTUAL-DPO est une solution externalisée qui propose de réaliser vos audits de conformité et assure la fonction de DPO externalisé lorsque l’activité de l’entreprise le justifie. Elle propose deux formules différentes : un pack accessible en ligne (Audit de conformité seul et Audit de conformité avec désignation d’un DPO) réservé aux entreprises gérant jusqu’à dix traitements de données, et une offre sur mesure pour les entreprises de plus grande taille prévoyant notamment un audit directement dans les locaux de la société.
Afin de garantir le sérieux de la prestation, VIRTUAL-DPO travaille en partenariat avec une équipe d’avocats spécialisée en droit des nouvelles technologies qui gère notamment la mise en conformité de la documentation contractuelle, et avec d’anciens Correspondants Informatiques et Libertés.
Pour tout renseignement, contact@virtual-dpo.fr.
Article rédigé par Henri Leben, avocat-associé au cabinet Colbert Avocats, avocat partenaire du Groupe CHD
