Suivez-nous :         application      kit média      
Accueil - Réglementation - RGPD – une nouvelle réglementation qui concerne vos entreprises et vos matériels

RGPD – une nouvelle réglementation qui concerne vos entreprises et vos matériels

13 avril 2018
<span>RGPD</span> – une nouvelle réglementation qui concerne vos entreprises et vos matériels

Le 25 mai 2018, les entreprises devront être en conformité avec une nouvelle réglementation concernant leurs traitements de données personnelles. À cette date entre en vigueur le règlement général sur la protection des données personnelles (RGPD), qui va se substituer au droit français existant en matière de règles et de gestion des données à caractère personnel. Vos entreprises sont concernées, mais aussi vos matériels.

 

I – CE QUE VOUS DEVEZ INTÉGRER

Olivier de Mattos, avocat conseil.

Toutes les entreprises sont concernées, parce qu’elles collectent et gèrent une multitude de données personnelles au sens de la réglementation. La gestion des salariés, des clients, des prospects, des fournisseurs et des partenaires, des sous-traitants, la gestion de vos machines connectées (grues, nacelles, pilonneuses, chargeuses, bétonnières), tout cela tombe sous le coup de la mise en conformité au RGPD.

Qu’est-ce qu’une donnée personnelle ? Il s’agit de toute information qui se rapporte à une personne physique et qui permet directement ou indirectement de l’identifier (identité, coordonnées, identifiant, adresse IP, données de localisation, données biométriques, informations relatives à la vie professionnelle, économique, aux habitudes de consommation, etc.).

À chaque fois que vous collectez, enregistrez, organisez, structurez, conservez, adaptez ou modifiez, extrayez, consultez, utilisez, communiquez, diffusez des données personnelles, vous devez vous mettre en conformité.

 Sont notamment concernés vos fichiers de comptabilité générale, de gestion du personnel, de l’informatique, de la téléphonie et de la surveillance au sein de l’entreprise, de gestion des clients/prospects et de la vente en ligne, des fournisseurs et des sous-traitants. Vos matériels sont aussi concernés parce qu’ils sont de plus en plus des objets connectés susceptibles de traiter à tout moment des données personnelles.


II – DE QUOI S’AGIT-IL ?

Le RGPD réforme profondément la philosophie de l’actuelle loi « Informatique et libertés », en passant d’une logique de formalités préalables auprès de la Commission nationale de l’informatique et des libertés (Cnil) à une logique de conformité interne des entreprises à la nouvelle réglementation. La gestion des données personnelles au sein de l’entreprise entre dans le domaine de la « compliance ».

Seront concernées, comme auparavant, les entreprises qui mettent en œuvre des traitements de données personnelles, mais aussi dorénavant les sous-traitants qui traitent et exploitent les données personnelles pour le compte des entreprises donneuses d’ordres.

 

III – QU’EST-CE QUE LA NOUVELLE RÉGLEMENTATION APPORTERA ?

Le passage d’une logique de formalités préalables à une logique de conformité interne des entreprises

Dans la nouvelle logique de « compliance », les entreprises devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, non seulement lors de la conception des traitements, des produits ou des services (« privacy by design »), mais également par défaut (« privacy by default »).

Elles auront l’obligation de veiller à limiter la quantité de données traitées, qui devra être adaptée à la finalité des traitements mis en œuvre (principe dit de « minimisation »), et elles devront aussi être en mesure de démontrer leur conformité à tout moment (principe « d’accountability »).

Pour ce faire, chaque entreprise devra se munir d’outils de conformité (la tenue d’un registre des traitements conforme à la réglementation, la création de procédures attachées à la gestion des données personnelles, la nomination d’un délégué à la protection des données, l’adhésion à des codes de conduites, etc.) et en justifier.

En outre, pour tout traitement de données considérées à risque, l’entreprise devra conduire une étude d’impact sur la vie privée (« Privacy Impact Assessment » – PIA). Cela concernera notamment les traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi les données génétiques ou biométriques, les données d’infraction ou de condamnation pénale) et les traitements reposant sur l’évaluation systématique et approfondie d’aspects personnels des personnes physiques (notamment les traitements dits de profilage).

Le RGPD fera enfin peser sur les entreprises des obligations de sécurité et de notification des violations de données personnelles (notamment à l’occasion d’une faille de sécurité).

 

Des obligations renforcées pour les entreprises face aux personnes concernées

Le règlement renforce les droits des personnes et facilite l’exercice de ces droits. À ce titre, il impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.

De nouveaux droits sont par ailleurs donnés aux personnes, tel le droit à la portabilité des données ou encore un droit à réparation pour toute personne ayant subi un dommage matériel ou moral du fait de la violation du règlement. Dans le droit fil des actions collectives américaines (class action), le RGPD institue une action collective spécifique en matière de données personnelles.

 

Focus sur les donneurs d’ordres et les sous-traitants

Le parti pris par le RGPD est de responsabiliser tous les acteurs des traitements de données, en coordonnant les obligations pesant sur les entreprises responsables de traitements et leurs sous-traitants.

L’entreprise donneuse d’ordres demeurera responsable de ses traitements de données et devra de surcroît s’assurer que ses sous-traitants se conforment à des obligations spécifiques en matière de sécurité et de confidentialité. Les sous-traitants auront une obligation de conseil auprès de l’entreprise donneuse d’ordres pour assurer la conformité au règlement.

 

Faut-il nommer un délégué à la protection des données ?

Le délégué à la protection des données sera chargé de mettre en œuvre la conformité au RGPD au sein de l’entreprise.

Les entreprises responsables de traitements et les sous-traitants devront obligatoirement désigner un délégué à la protection des données (« Data Protection Officer » – DPO) si leurs activités principales les conduisent à réaliser un suivi régulier et systématique des personnes à grande échelle ou si leurs activités principales les conduisent à traiter (toujours à grande échelle) des données sensibles.

En dehors de ces cas, la désignation d’un délégué à la protection des données sera facultative et les entreprises pourront opter pour un délégué mutualisé ou externe.

 

Le cas de transfert de données hors de l’Union européenne

Les entreprises qui échangeront des données personnelles avec des clients, des fournisseurs, des partenaires hors de l’UE seront concernées. Tel est notamment le cas des entreprises qui recourent à un prestataire d’hébergement web, de cloud, dont les serveurs sont hors de l’UE.

Les entreprises pourront transférer des données hors UE, seulement si ce transfert est encadré avec des outils assurant un niveau de protection suffisant et approprié.

 

De lourdes sanctions en cas de non-conformité au règlement

Les entreprises pourront faire l’objet de sanctions administratives en cas de non-conformité aux dispositions du règlement.

Ainsi des amendes seront encourues, pouvant s’élever, selon la catégorie de l’infraction, jusqu’à 10 ou 20 millions d’euros, ou de 2 % jusqu’à 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

 

En conclusion : les entreprises vont toutes devoir intégrer un tout nouveau mode de gestion des données personnelles. La logique de responsabilisation de l’entreprise devra notamment se traduire par un changement de culture et mobiliser des compétences internes ou externes (métier, informatique, financière, support, prestataires juridiques).

Olivier de Mattos, Avocat of Counsel

Droit des affaires – Fiscal – Sociétés – Fusions-acquisitions – Structurations – Social – Contrats – Contentieux – Procédures collectives – Droit du numérique