Alors que tout le monde s’affaire ou panique, quelques éléments sur le RGPD
by Me Anna Picot et Viviane de Beaufort
Avec le RGPD, n’importe quelle entreprise traitant des données de citoyens européens devra être capable d’expliquer clairement pourquoi les données sont collectées.
Le citoyen européen est en droit de connaître depuis quand les données sont récoltées, combien de temps elles seront stockées, où, et avec quels moyens de sécurisation. L’entreprise doit aussi expliquer avec quelles autres sociétés les données seront partagées et comment elles seront exploitées par ces tiers (marketing personnalisé, achat programmatique…).
Droit d’information
Les personnes dont les données personnelles sont collectées sont tenues d’être informées de la finalité de la collecte et du traitement et du délai de conservation des données (qui dépend de la nature des données et des finalités poursuivies).
Consentement « explicite »
L’utilisateur devra donner un accord non ambigu pour la collecte et l’exploitation de ses données. Les entreprises devront rédiger le texte de consentement en des termes facilement compréhensibles.
L’adage « Qui ne dit mot consent » n’est pas applicable dans le cadre du RGPD : une case pré-cochée ou un consentement implicite ne sont pas valables !
Droit des personnes dont les données sont collectées
Outre le droit d’être informées de la finalité de la collecte et du traitement et du délai de conservation des données, les personnes dont les données sont collectées doivent être informées des droits dont elles disposent et des conditions d’exercice de ces droits :
- le droit de rectification (art. 16) ;
- le droit à l’effacement dit « droit à l’oubli » (article 17) permet à un individu de demander la suppression de ses données personnelles. Le « responsable du traitement » doit l’effectuer « dans les meilleurs délais » ;
- le droit à la limitation du traitement (art. 18) ;
- le droit d’opposition (art. 21) : ce dernier s’applique par exemple lorsque les données personnelles sont utilisées à des fins de prospection.
En cas de violation au règlement, des actions collectives peuvent être menées par des associations actives dans le domaine de la protection des droits et libertés.
La loi informatique et libertés de 1978 a créé un droit d’accès aux données, le RGPD va plus loin avec la portabilité des données, qui permet à un individu de demander à une entreprise de lui fournir, « dans un format structuré, couramment utilisé et lisible par machine » (art. 20), l’intégralité de ses données personnelles, pour qu’il puisse les transférer à un autre prestataire.
Tenue d’un registre des traitements
Les entreprises de plus de 250 salariés et les entreprises collectant des données dites « sensibles » (santé, politique, ethnique, religieuse, sexuelle) doivent tenir un registre de traitement des données personnelles. La tenue d’un tel registre est conseillée pour toutes les entreprises à des fins de preuve de la conformité de la politique de l’entreprise au RGPD. La CNIL met à disposition un modèle de registre sur son site internet (https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles).
DPO (Data Protection Officer)
Les entreprises qui appartiennent au secteur public et celles qui effectuent un suivi régulier et systématiquement des personnes à grande échelle ainsi que celles qui collectent des données dites « sensibles » à grande échelle, sont tenues de désigner un Délégué à la Protection des Données (DPO), pas les autres.
Le 25 mai 2018
À partir de cette date, en cas de manquement, notamment au « privacy by design » (intégrer la protection de la vie privée dès la conception) et au « privacy by default » (garantir le plus haut niveau de protection des données), les contrevenants risquent de payer une amende pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires annuel de l’entreprise ou du groupe. Ils encourent jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel de l’entreprise ou du groupe pour manquement aux droits des personnes (portabilité, rectification, opposition, limitation, droit à l’oubli…).
Fin des obligations déclaratives
Cette mise en marche forcée des acteurs traitant des données personnelles, sous peine de sanctions vise aussi à alléger les formalités administratives. En revanche, les structures doivent ménager la preuve qu’elles respectent la réglementation en matière de collecte et de traitement des données personnelles. Le registre du traitement des données devra être communiqué à la CNIL en cas de contrôle.
| Conseil d’experte Me Anna Picot
Pour répondre aux exigences du RGPD, les entreprises doivent mettre à jour différents documents tels que : – les contrats conclus avec leurs clients (contrats commerciaux, CGV, CGU, etc.) ; – les contrats conclus avec leurs salariés (contrat de travail) ou les documents opposables aux salariés (règlement intérieur, etc.) Cette mise à jour sera l’occasion pour l’entreprise d’obtenir « le consentement explicite » de ses interlocuteurs concernant la collecte de leurs données personnelles. En outre, les entreprises doivent vérifier que leurs prestataires (comptable, service informatique, etc.) qui ont accès aux données personnelles qu’elles collectent, respectent la politique de l’entreprise en la matière. Pour les contrats conclus avant le 25 mai 2018 et ceux conclus récemment mais ne prenant pas en compte la nouvelle réglementation, il est vivement conseillé de conclure un avenant pour prévoir la répartition des rôles et responsabilités en matière de données personnelles. Il est important d’anticiper cette mise à jour afin que la nouvelle politique soit opposable à vos cocontractants dès le 25 mai 2018. |
ET en mode Video