RGPD
Source : www.cnil.fr

Vous le savez sans doute déjà, le nouveau règlement européen sur la protection des données personnelles entrera en application le 25 mai 2018. En adoptant ce texte, l’Europe souhaite renforcer le droit des personnes, responsabiliser les acteurs traitant les données et donner plus de poids aux autorités de régulation européenne.

Découvrez le décryptage de Jean-Noël Wintergerst, correspondant Informatique & Libertés du groupe Prodware.

 

« Le RGPD, on a bien le temps, consacrons notre énergie à des choses utiles ! »

Depuis quelques mois, nous avons une surabondance d’informations sur le Règlement Général sur la Protection des Données à Caractère Personnel. Pour les décideurs, il ne se passe pas une demi-journée sans qu’ils soient sollicités sur ce thème.

Devant ce trop-plein d’informations, parfois en provenance de canaux totalement légitimes, les idées reçues vont bon train.

C’est que nous voici, avec ce texte, en face de quelque chose de nouveau pour beaucoup : nous devons intégrer une culture qui n’est pas la nôtre. Devant cette avalanche d’informations, essayons de bousculer quelques idées fausses.

« Il s’agit de protéger les libertés individuelles » : Ce n’est pas tout à fait exact.

La grande idée des pères fondateurs de l’Europe, au sortir de 80 ans de conflits sanguinaires, était que pour amener à la paix d’éternels belligérants, il fallait les contraindre à mutualiser leurs moyens de se faire la guerre. De cette mutualisation naîtrait un marché unique synonyme de prospérité pour tous.

Tous les textes européens sont imprégnés de cette philosophie qui, que l’on soit d’accord ou pas, a fait ses preuves depuis bientôt plus de 60 ans.

Le RGDP (Règlement Général sur la Protection des Données à Caractère Personnel) ne fait pas exception à cette règle, puisqu’entre le 2ème attendu de ce texte et le 133ème – qui en compte 173 plus 99 articles – la notion de « marché intérieur » est citée pas moins de huit fois et celle de « libre circulation des données » pas moins de onze.

Alors bien sûr, les textes européens étant toujours savamment équilibrés, la « liberté des personnes physiques » est évoquée à 22 reprises. Mais que l’on ne s’y trompe pas : dans une ère de révolution digitale, il s’agit avant tout de protéger le marché de la donnée à caractère personnel,  gigantesque, en pleine expansion, un formidable levier de croissance que l’Europe ne peut se résoudre à laisser sans contrepartie aux grands acteurs américains du numérique.

« Je ne traite que des données extra-européennes, je ne suis pas concerné » : C’est faux

L’article 3 précise que sont concernés tous les organismes établis sur le sol de l’Union.

« Je suis une trop petite entreprise, je ne suis pas concerné » : C’est faux.

Il s’agit d’un règlement européen. Il a force de loi.  Laquelle s’applique de la même manière pour tous. Le régulateur, conscient de la hauteur de la marche, a prévu (Attendu 13 et Article 30) un aménagement pour les entreprises de moins de 250 personnes. Elles ne seront pas toutes obligées de tenir un registre des traitements. Mais la définition-même de la restriction oblige tout organisme – toutes tailles confondues – qui manipulerait des données à caractère personnel en masse à réfléchir sur ses traitements.

Par ailleurs, la tenue du registre des traitements est loin d’être la seule obligation conséquente à ce règlement. Mais là encore il convient d’intégrer l’esprit du règlement et les enjeux en termes de marché.

« Je suis président d’une association à but non lucratif, je ne suis pas concerné » : C’est faux.

C’est la donnée que l’on souhaite protéger, pas l’entreprise ! L’organisme qui ne facture pas mais qui manipulerait des données à caractère personnel à grande échelle est soumis au règlement. Vous me direz, si la sanction est fonction du chiffre d’affaires… il ne risque pas grand-chose. Voici encore une idée fausse.

« De toute façon, la sanction n’est que de 4% du chiffre d’affaires, limité à 20 millions d’euros » : C’est faux

Le texte prévoit des sanctions proportionnées, dissuasives et effectives, applicables à travers un dispositif de contrôle parfaitement opérationnel, doté d’un budget et d’une organisation bien définis.

Le régulateur souhaite aligner tout le monde sur des bonnes pratiques. L’idée n’est pas de frapper fort, mais de frapper graduellement, de plus en plus fort. L’article 84 prévoit des amendes pouvant aller jusqu’à 20 millions d’euros. Mais pour une entreprise, on prendra le maximum entre 20 millions d’euros et 4% du chiffre d’affaires mondial. Ceci, ce n’est que pour l’amende administrative.

En effet, il peut y avoir également (Article 84) des amendes prononcées, pour ce qui concerne la France, par la CNIL.

Par ailleurs, l’attendu 149, qui n’est pas traduit tel quel dans la loi, précise que les juridictions locales pourraient décider de confisquer les bénéfices réalisés en violation du règlement.

Enfin, l’article 82 indique que la victime d’une entreprise en violation du règlement peut obtenir en justice réparation du préjudice subi. C’est à ce stade que l’information suivante devient importante…

« De toutes façons, je ne suis que sous-traitant, je ne suis pas responsable » : C’est faux

Attention, Danger ! Un des éléments clé du règlement est la responsabilisation des parties prenantes. Il va contraindre les organismes qui sous-traitent à contractualiser les responsabilités respectives. L’article 82 précise que le ou les sous-traitants ou organismes qui participent au même traitement sont responsables chacun pour la totalité du dommage causé. Il devient dont impératif, dans ses contrats, de poser des matrices de responsabilité claires, déclarer les sous-traitants autorisés, les tâches confiées, etc…

« Je suis obligé de nommer un délégué à la Protection des Données » : C’est faux

L’article 37 détaille les trois cas pour lesquels l’entreprise ou l’organisme doivent désigner un DPD. Premier cas : le traitement est effectué par une autorité publique. Deuxième cas : le traitement amène à un suivi régulier à grande échelle de personnes, et c’est votre activité de base. Troisième cas : le traitement consiste en un suivi à grande échelle de données sensibles.

Le premier cas est clair. Quant au deuxième, il vise les entreprises ou organismes qui font du profilage sur les réseaux sociaux, les entreprises de marketing etc… Le troisième cas cible les entreprises qui manipulent des données de type données de santé, infractions pénales etc…

Il est intéressant de noter que le texte ne précise qu’indirectement ce qu’est un traitement à grande échelle. Néanmoins, il en ressort de cette lecture qu’au final peu d’entreprises ou organismes sont contraints d’avoir un DPD.  La question qui subsiste est la suivante : « Si l’on traite beaucoup de données à caractère personnel, est-il raisonnable de prétendre déployer et maintenir une conformité sans une aide structurée au niveau de la conformité ? ».

« Je ne suis pas concerné car j’ai nommé un Délégué à la Protection des Données » : C’est faux

Le DPD, c’est un petit peu l’ancien CIL, le Correspondant Informatique & Libertés, auquel on aurait ajouté une culture à la fois technique et juridique.

Sa mission porte sur quatre axes:

  • Il doit informer et conseiller
  • Contrôler le respect du règlement
  • Conseiller pour les réalisations d’analyse d’impact et en vérifier l’exécution
  • Faire le lien avec l’autorité de contrôle

Il ne rentre pas dans ses missions de faire la mise en conformité. Elle revient au « responsable des traitements » ou au sous-traitant, selon le cas, c’est-à-dire – dans les faits – à la Direction de l’entreprise.

Ce n’est donc pas le fait d’avoir un DPD qui protège l’entreprise. C’est même pire : avoir un DPD sans avoir posé un cadre de gouvernance pourrait vous laisser dans l’illusion de la conformité.

« J’ai pris un cabinet de conseil, il s’occupe de tout, je suis tranquille » : C’est faux

Non, vous devriez au contraire être très inquiet. Le texte encourage, à de très nombreuses reprises, à une mise en conformité, c’est-à-dire à l’obtention d’un label reconnu par un organisme de certification accrédité. Cette labellisation ne peut se faire qu’à travers la mise en place d’une gouvernance dédiée impliquant votre comité de direction. Cette gouvernance validera des mesures opérationnelles. C’est la responsabilité du responsable de l’organisme qui est en jeu, dans les faits, celle du mandataire social. En aucun cas, le cabinet de conseil pourra s’occuper de tout : il ne pourra que vous aider à définir une démarche, une manière de faire, qui devrait vous amener vers une certification.

 « C’est pour mai 2018, on aura bien le temps d’ici là et, de toute façon, le règlement sera reporté » : Vous ne seriez pas un peu joueur ?

Le règlement est complexe, certes, mais il a été publié au journal officiel de l’Union il y a un an et demi. C’est donc tout sauf une surprise.

Depuis 1980 et le texte intitulé « Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel », ce règlement est le résultat d’années d’échanges, de discussions, de négociations de 28 pays. Comme tout texte européen, chaque mot a été pesé, mesuré, apprécié, et a fait l’objet d’âpres négociations.

Le décret d’application a été publié en 2016 et a abrogé la directive 95/46 sur laquelle repose la loi informatique et libertés.

Si l’on peut escompter une relative clémence des institutions, au moins en 2018,il ne serait pas très raisonnable de parier sur un report de ce texte. En résumé, nous ne serions pas surpris que quelques sanctions très démonstratives tombent dès la fin 2018.

Toute l’équipe Prodware reste à votre disposition pour échanger sur ces enjeux stratégiques et vous invite à tester votre niveau de conformité au RGPD.