Quelles sont les entreprises concernées par ce règlement européen ? Quels sont les différents acteurs ? Quelles sont les étapes essentielles à respecter afin que les entreprises se mettent en conformité ? Telles sont les questions que la rédaction de GPO Magazine a posé à Amira Bounedjoum, avocate au sein du département Nouvelles technologies et propriété intellectuelle du Cabinet Simon Associés. 

Auparavant, un bref aperçu du Règlement Européen sur la Protection des Données Personnelles et de ses enjeux est nécessaire. Le RGPD a été adopté par le Parlement européen le 14 avril 2016 et il entrera en application le 25 mai 2018. Le RGPD poursuit plusieurs objectifs : uniformiser au niveau européen la réglementation sur la protection des données, responsabiliser davantage les entreprises en développant l’auto-contrôle, renforcer le droit des personnes (droit à l’accès, droit à l’oubli, droit à la portabilité…). 

Quelles sont les entreprises concernées par le RGPD ?

À compter du 25 mai 2018, le RGPD s’appliquera à toutes les entreprises quelle que soit leur taille, privées ou publiques des 28 États membres de l’Union européenne. Plus précisément, aux entreprises proposant des biens et des services sur le marché de l’UE, collectant et traitant des données à caractère personnel sur les résidents de l’UE. Mais le règlement s’appliquera également aux entreprises non implantées en UE, dès lors qu’elles collectent et traitent des données personnelles sur des résidents de l’UE.

« Si vous êtes un grand groupe international implanté au Japon et que le traitement de données personnelles se fait en France ou dans tout autre pays de l’UE, vous êtes concerné par le RGDP et par conséquent, vous devez identifier tous les chantiers de mise en conformité avec ledit règlement », indique Amira Bounedejoum.

Quelles sont les données concernées ?

Il faut se demander si l’on est en présence de « données personnelles ». La Cnil indique qu’une « donnée personnelle » est une donnée se rapportant à une personne physique, qui peut être identifiée quelque soit le moyen utilisé. Il peut s’agir de données directement identifiantes : nom et prénom, photo, e-mail nominatif, de données indirectement identifiantes : identifiant de compte, NIR, empreinte digitale, d’un recoupement d’informations.

Toute la question qui reste en suspend est de savoir si les données utilisées en BtoB seraient concernées. Seraient exclues du périmètre, les données relatives aux entreprises et aux personnes morale (comme par exemple les données administratives consultables en ligne : nom du dirigeant, coordonnées du siège, nombre de salariés, éléments de bilan comptable, ndlr) - qui ont un caractère public.

En revanche, les entreprises qui s’adressent à une clientèle BtoB seraient également concernées, dès lors qu’elles collectent et exploitent des données relatives à des individus, par exemple à des contacts identifiés au sein de leurs comptes clients.

« Souvent des entreprises opposent aux données personnelles les données d’ordre professionnel. Or, le terme « personnel » renvoi à une personne physique, un individu et non aux aspects nécessairement privés », précise Amira Bounedejoum.

Dans tous les cas, les professionnels s’accordent sur le fait que la RGPD entend bien s’appliquer, à terme, à l’ensemble des données personnelles, dont les données relatives à une situation professionnelle comme le poste occupé, un numéro de téléphone ou une adresse e-mail professionnels sont des données à caractère personnel.

Qu’est-ce qui change pour les individus ?

Le Règlement renforce les droits existants des individus et en consacre de nouveaux. L’information et le consentement sont beaucoup plus étendus et strictes qu’auparavant. Par exemple, il faut dorénavant être en mesure de prouver le consentement de la personne et celui-ci devra être donné via une action explicite et positive. Parmi les nouveaux droits consacrés par le RGPD, le droit à la portabilité permet à une personne de récupérer les données qu’elle a fournies dans un format lisible par une machine ou de les transmettre directement à un autre responsable de traitement.

Quels sont les acteurs concernés ?

Les acteurs sont toujours les mêmes, à savoir : les responsables de traitement, les sous-traitants, les personnes concernées et les destinataires. Toutefois, et concernant plus particulièrement les responsables de traitements et les sous-traitants, leurs modes de fonctionnement évoluent et un nouveau schéma voit le jour avec le RGDP. Les sous-traitants vont être plus encadrés qu’ils ne l’étaient auparavant. Les entreprises devront choisir des sous-traitants présentant des garanties suffisantes.

« Jusqu’à présent, sur un plan strictement administratif, seuls les responsables de traitement ne pouvaient voir leur responsabilité engagée et n’avaient à l’encontre de leur sous-traitant qu’un recours contractuel. Par ailleurs, la loi informatique et libertés ne prévoyait à la charge du sous-traitant qu’une obligation de sécurité. Dorénavant, les sous-traitants ont une responsabilité directe et les personnes concernées peuvent s’adresser indistinctement à eux ou aux responsables de traitement. Par ailleurs, le Règlement impose une série de mentions obligatoires dans les contrats conclus entre les responsables de traitement et les sous-traitants. En conséquence, les entreprises devront revoir leurs contrats pour tenir compte de ce nouveau formalisme mais également pour aménager leur responsabilité. Enfin, le Règlement prévoit la possibilité qu’il y ait plusieurs responsables de traitement conjoints. Il est possible que certains sous-traitants, largement autonomes et indépendants dans leurs opérations de traitement ait dorénavant la qualité de responsables conjoints », explique Amira Bounedjoum.

Au niveau interne, il va y avoir une nouvelle organisation de l’entreprise avec la désignation d’un délégué à la protection des données. Ce délégué est le chef d’orchestre de la protection des données en interne. En effet, la Cnil* précise que « la désignation d’un délégué à la protection des données est obligatoire en 2018 si vous êtes un organisme public, une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions. Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux ».

Quelles sont les étapes essentielles à respecter afin qu’une entreprise se mette en conformité avec le RGDP ?

Selon la Cnil, il y a 6 étapes essentielles à respecter afin qu’une entreprise se mette en conformité avec le RGDP.

« La première étape va être de réaliser un audit à fois juridique et technique. Cet audit va porter sur deux grands volets : d’une part, l’audit des traitements existants, qui permettra la réalisation d’une cartographie des traitements et d’autre part, les impacts du règlement sur la structure (aspect organisationnel). C’est l’audit qui permettra d’identifier les écarts de conformité à la règlementation. Ces écarts donneront alors lieu à des recommandations juridiques et techniques lesquelles vont permettre de planifier l’ensemble des actions devant être mises en place. Il conviendra aussi et surtout de prioriser ces actions », précise Amira Bounedjoum.

La mise en conformité de l’entreprise avec le RGPD se prépare en amont et plusieurs étapes seront nécessaires afin de réussir cette mise en conformité.

« À terme, les démarches de mise en conformité conduiront à la mise en place d’une gouvernance des données. En effet, il conviendra d’adopter une politique au sein de l’entreprise afin de traiter les données à caractère personnel. Tout doit être unifié et formalisé : il n’est plus question que le service marketing ait ses habitudes, que le service RH en ait d’autres… Cette politique doit être menée en liaison avec le délégué à la protection des données. Il va y avoir de lourdes transformations en interne à adopter et de nouveaux modes de fonctionnement de l’entreprise à définir et c’est en cela que le RGPD est inédit ! », indique Amira Bounedjoum.

Est-ce que le 25 mai 2018 est une date butoir ?

« Il ne faut pas voir le RGPD comme un couperet en 2018. Nous allons tous ensemble, à partir de mai 2018, pratiquer le RGPD et les nouvelles relations qu’il suscite entre le régulateur et les entreprises... Il faut déconstruire cette idée qu’il y aura un coup de tonnerre en mai 2018 et que, comme des petits soldats, il faut que les entreprises soient prêtes à 100 %. Qui peut être prêt à 100 % sur des questions de données alors qu’elles sont aussi distribuées qu’elles le sont aujourd’hui ? Ce ne serait pas raisonnable. Les régulateurs – et la Cnil en particulier – sont pleinement conscients de cette situation. Nous nous mettons en ordre de marche et nous préparons des outils pour les assister dans leur équipement progressif », explique Isabelle Falque-Pierrotin, Présidente de la CNIL.

Source : www.contexte.com/rgpd-cnil-falque-pierrotin