x En poursuivant votre navigation sur notre site, vous acceptez l'installation et l'utilisation de cookies sur votre poste, notamment à des fins promotionnelles et/ou publicitaires, dans le respect de notre politique de protection de votre vie privée. Pour en savoir plus...
>> Recherche avancée
Actualités
L'œil de l'expert
L'œil de l'expert

Mettre en place la conformité au RGPD avec la CNIL

Lundi 28 Mai 2018  |  L'œil de l'expert
Mettre en place la conformité au RGPD avec la CNIL

Le 25 mai 2018 le Règlement général sur la protection des données (RGPD) est entré en vigueur. Ce règlement remplace l’actuelle réglementation qui oblige les entreprises qui collectent et traitent des données personnelles à respecter des formalités déclaratives auprès de la Cnil. En contrepartie de la fin des obligations déclaratives, les entreprises ont l’obligation de mettre en œuvre des mécanismes et des procédures internes permettant de respecter les règles relatives au RGPD.

 

 

Qu'est-ce que le RGPD ?

Le RGPD tend à responsabiliser les acteurs économiques, incités à entrer dans l’ère de la compliance en matière de données personnelles. Les entreprises devront s’autoréguler à travers la mise en œuvre de mesures techniques et opérationnelles garantissant un traitement des données respectant la vie privée et les nouveaux droits garantis par le RGPD aux citoyens européens : droit à l’oubli, droit à la rectification et droit à la portabilité des données. Ainsi, le RGDP supprime la plupart des obligations déclaratives auprès des autorités de contrôle.

Ainsi, les entreprises n’ont plus à déclarer leurs traitements de données personnelles auprès de la Cnil. La suppression de ce régime de notification préalable représente donc une évolution majeure pour de nombreuses entreprises, qui se contentaient jusqu’alors de déclarer leurs systèmes de traitement sans concrètement s’assurer par la suite qu’ils restaient conformes à la législation applicable en matière de protection des données personnelles.

La réforme poursuit trois objectifs :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

 

Comment se mettre en conformité ?

En pratique, l’article 35 du RGPD prévoit la conduite d’une analyse d’impact sur la protection des données (DPIA) « lorsqu‘un traitement de données personnelles est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ». Elle doit être mené avant la mise en œuvre du traitement et être mise à jour tout au long du cycle de vie du traitement. Un DPIA doit obligatoirement être mené quand le traitement est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées ».

Le RGPD définit à son article 1 le responsable du traitement comme « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ». Il est tenu par l’obligation de s’assurer de la conformité de son traitement au RGPD.

Toutefois, une entreprise peut demander à un sous-traitant la mise en œuvre d’un traitement de données personnelles pour son compte. A cet égard, le responsable du traitement est toujours rattaché à l’entreprise mais c’est le sous-traitant qui est chargé de réaliser le traitement (à noter qu’un sous-traitant ne peut être qualifié de responsable du traitement que dans le cas où il définirait lui-même les finalités et moyens du traitement mis en œuvre).

 

Obligation et contrôle

Rappelons également que le traitement de données personnelles doit être réalisé de manière loyale et licite, ce qui impose d’informer les personnes préalablement au traitement de leurs données personnelles.

A cet égard, il existe des obligations quant à la transmission de nouvelles informations, à savoir la base juridique du traitement (consentement, exécution d’un contrat, intérêts légitimes, etc.), la durée de conservation des données ou, lorsque ce n’est pas possible, les critères utilisés pour déterminer cette durée, les coordonnées du délégué à la protection des données (DPD), et le droit de retirer son consentement à tout moment et d’introduire une réclamation devant les autorités de contrôle. 

Enfin signalons que le RGDP accroît considérablement le pouvoir de sanction des autorités de contrôle : outre leur pouvoir d’imposer des mesures correctrices (avertissement, interdiction du traitement, suspension du transfert de données hors EEE, etc.),

Concrètement, les entreprises auront à identifier elles-mêmes les potentiels risques que représentent leurs modes de traitement et prendre les mesures appropriées pour assurer la sécurité des données personnelles. Ces mesures seront contrôlées a posteriori par la CNIL qui verra, par là même, son pouvoir de contrôle renforcé et pourra infliger une amende administrative de 20 millions d’euros ou bien équivalent à 4% du chiffre d’affaires annuel mondial de l’entreprise.

En résumé, les « chantiers » à mettre en œuvre :

  • Chantier n°1 : la tenue d’un registre des données [répertorier toutes les données à caractère personnel collectées au sein d’un registre des traitements et indiquer les finalités pour lesquelles ces dernières sont utilisées, l’emplacement de ces données, et préciser la liste des personnes autorisées à y accéder, ainsi que les mesures garantissant leur sécurité, et toutes les données qui ne seront plus nécessaires au regard des finalités initiales devront être supprimées]
  • Chantier n°2 : le respect du consentement libre, éclairé et univoque  en matière de recueil des données personnelles.
  • Chantier n°3 : la mise en place d’étude d’impact pour certains types de traitements de données [et notamment pour tous les modes de traitement présentant « un risque élevé pour les droits et libertés des personnes physiques ». 
  • Chantier n°4 : la mise à niveau des mesures garantissant la sécurité des données [si les entreprises restent libres de choisir les mesures appropriées pour garantir la sécurité des données, le règlement offre néanmoins quelques pistes en énumérant des mesures parmi lesquelles la « pseudonymisation » - opération visant à remplacer une donnée personnelle par un pseudonyme -, ou le chiffrement].

 

A noter que la CNIL a publié des guides pratiques et notamment la « méthode en 6 étapes » pour se préparer et qui permet aux entreprises de s’assurer qu’ils ont anticipé et mis en œuvre l’essentiel des mesures /  https://www.cnil.fr/professionnel .
Voir également le « Guide de sensibilisation au RGPD pour les petites et moyennes entreprises », le « Guide améliorez et maîtrisez votre relation client », le « Guide protégez les données de vos collaborateurs », ainsi que le « Guide RGPD et TPE/PME : un nouveau modèle de registre plus simple et plus didactique »

 

Source : https://www.cnil.fr/fr/la-cnil-et-bpifrance-sassocient-pour-accompagner-les-tpe-et-pme-dans-leur-appropriation-du-reglement

« Retour