RGPD : plus que 18 mois pour se préparer au nouveau règlement européen sur les données personnelles

Sommaire du dossier :

• Données personnelles : ce qui va changer
• RGPD : plus que 18 mois pour se préparer au nouveau règlement européen sur les données personnelles
• 10 conseils et outils indispensables pour bien protéger vos données personnelles
• RGPD : se faire aider dans sa mise en conformité, c'est possible !​

Entretien avec Fabrice Mattatia, ingénieur général des mines, docteur en droit et chercheur associé à l’université Paris-I. Il est également l'auteur de l'ouvrage "Le droit des données personnelles" (Eyrolles, 2016).

Le Règlement européen de protection des données personnelles a été adopté au mois d’avril dernier. Quelle est la philosophie générale de ce nouveau règlement ?

Le RGPD a pour objectifs d’uniformiser la protection effective des données dans toute l’Union européenne et de mettre à jour le droit européen. En effet, le droit actuel, basé sur la directive 95/46/CE de 1995, n’avait pas prévu le web, les moteurs de recherche, les réseaux sociaux, les objets communicants, le cloud computing, le big data, le quantified self…

Face à un besoin universel de protection des données, générées et gérées désormais non seulement par les Etats et par les entreprises, mais par chacun d’entre nous, le RGPD supprime pour les traitements courants les contraintes de formalités administratives, et renforce en contrepartie le pouvoir de contrôle et de sanction des Cnil. Il modifie également le champ d’application de la protection, puisque désormais tous les services, même non européens, qui visent des personnes se trouvant dans l’Union, devront appliquer le RGPD.

Enfin, les Cnil devront harmoniser leurs pratiques, ce qui assurera pour les entreprises un système réellement paneuropéen de gestion des traitements de données, et pour les citoyens un niveau uniforme de protection.

Précisons que le RGPD ne sera applicable qu’à partir du 25 mai 2018. Il reste donc 18 mois pour s’y préparer.

Selon un sondage réalisé par Symantec, 96 % des entreprises des trois principales économies européennes se disent perdues face à ce nouveau règlement ! Que doivent-elles mettre en place pour répondre à ces exigences ?

Je présume que les 4 % d’entreprises qui se déclarent « sereines » n’ont pas dû entendre parler du RGPD. En effet, soit une entreprise n’est pas du tout concernée par le RGPD (un boulanger qui exerce seul et qui n’a en informatique que sa comptabilité ?), soit elle l’est, et alors il n’est pas possible de se sentir prêt, car on ne sait pas encore comment il faudra appliquer le RGPD. Ce n’est pas surprenant car, d’une part, le règlement prévoit des possibilités d’options nationales (âge jusqu’auquel les mineurs ont besoin du consentement de leurs parents pour s’inscrire sur un site web ; possibilité d’actions de groupe à l’initiative des associations de défense des consommateurs, etc.), options que la France n’a pas encore tranchées, et, d’autre part, il laisse à l’ensemble des Cnil européennes le soin de déterminer collégialement certains points critiques, notamment le seuil du « risque élevé » au-delà duquel il sera nécessaire d’obtenir un feu vert explicite de la Cnil pour traiter des données.

Ce nouveau règlement a-t- il également un impact sur les administrations dans leur gestion des données personnelles des usagers ? Que doivent-elles faire ?

Les administrations sont impactées notamment par l’obligation de nommer désormais un délégué à la protection des données, nouvelle appellation du correspondant informatique et libertés (Cil). Pour le reste, elles bénéficieront comme toute organisation de la suppression des formalités préalables, du moins tant qu’on est en-dessous du « risque élevé », et de leur remplacement par le registre tenu par le délégué…

Quels sont les risques encourus par les organisations qui ne respecteraient pas ce nouveau règlement ?

Les sanctions financières par les Cnil seront harmonisées dans l’UE, à partir de 2018, à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise (le plus haut des deux), contre 3 millions d’euros actuellement en France (et seulement 150 000 euros avant l’adoption de la loi pour une République numérique en octobre 2016). Le volet pénal demeure applicable en parallèle (pour la France, 5 ans de prison, quasiment jamais prononcés sauf en cas de volonté manifeste de nuire, et 300 000 euros d’amende).
Il est désormais clair que toute organisation qui traite les données de personnes résidant sur le territoire européen devra respecter le règlement. Cela constitue une évolution notable par rapport à la directive de 1995 qui ne s’appliquait pas aux acteurs basés hors d’Europe et dont les serveurs étaient hors d’Europe.

Le 19 octobre dernier, la Cnil a adressé un avertissement et une mise en demeure au distributeur Cdiscount pour différents manquements concernant la sécurité et la confidentialité des données personnelles. Faut-il s’attendre à une multiplication des mises en demeure de la part de la Cnil ?

Le renforcement des contrôles et des sanctions par la Cnil fait effectivement partie de la nouvelle philosophie impulsée par le règlement.

Les organisations, entreprises et administrations, doivent-elles déployer des outils informatiques particuliers ?

La philosophie du RGPD conduit à internaliser les contraintes de protection des données personnelles, en les prenant en compte dès la conception des traitements, et en documentant en interne ces traitements afin d’être en mesure de répondre à tout contrôle de la Cnil (concept dit "accountability"). Pour les traitements à risque, il sera nécessaire de procéder à une étude d’impact préalable. Les méthodes à suivre pour réaliser ces différentes opérations doivent encore être précisées.

Conseillez-vous aux entreprises et aux organisations de se doter d’un correspondant informatique et libertés ?

Pour le secteur public, la nomination d’un délégué sera obligatoire en 2018. Pour le secteur privé, cette démarche n’a pas de raison d’être systématique. Une PME « classique », qui n’a qu’un fichier clients et un fichier employés, peut sans doute s’en passer. En revanche, dès que l’organisation gère des données multiples et effectue des traitements dessus, et ce d’autant plus qu’il s’agit de données sensibles (santé, origine ethnique, opinions politiques, religieuses ou syndicales, etc.), la présence d’un Cil - ou d’un délégué - sera très utile pour connaître les obligations légales, effectuer les démarches (jusqu’en 2018) et tenir les registres internes (à partir de 2018), dialoguer avec la Cnil, conseiller en amont la direction de l’entreprise et les développeurs sur les choix à privilégier… La désignation d’un délégué sera également obligatoire si l’entreprise réalise un suivi systématique de personnes ou traite à grande échelle des données sensibles.
Il existe une association, l’AFCDP (Association française des correspondants aux données personnelles), qui propose des formations et des échanges entre pairs. Il n’est pas obligatoire d’être Cil pour y adhérer ; l’entreprise peut trouver intérêt à y chercher de l’information. La Cnil propose également sur son site web des informations générales et un soutien aux Cil.