1. Application

Le législateur européen a souhaité « Établir un cadre de protection renforcé et un niveau de protection cohérent et élevé des données personnelles permettant de susciter une confiance propice au développement de l’économie numérique » (considérant 7 du RGPD), au sein de l’UE, en adoptant le Règlement Général sur la Protection des Données personnelles, le 27 avril 2016, devenu applicable le 25 mai 2018 ou RGPD. La directive 95/46 a ainsi été abrogée et la loi du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux Libertés » modifiée en conséquence.

Le RGPD s’applique :

  • au traitement1 de données à caractère personnel2, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier pour une utilisation à titre professionnel.
  • au Responsable de Traitement3 ou au Sous-Traitant4 établi sur le territoire de l’UE
  • au Responsable de Traitement ou Sous-Traitant non établi dans l’UE mais dont les activités de traitement concernent l’offre de biens ou services à des personnes résidant dans l’UE ou au suivi du comportement (au sein de l’UE) de personnes se trouvant sur son territoire

De nouvelles dispositions ont ainsi vu le jour autour des exigences du RGDP :

  • Auto Responsabilisation des Entreprises : avec la fin des déclarations préalables des traitements (lorsqu’il n’y a pas de risque pour la vie privée) et autorisations restreintes à certains cas ; la tenue d’une documentation interne visant à démontrer sa conformité ainsi que la mise en œuvre de la protection des données à caractère personnel à la conception par défaut
  • Renforcement des droits des personnes avec la consolidation du consentement, la mise en place de nouveaux droits et la possibilité de recourir à des actions collectives
  • Désignation d’un Délégué à la Protection des Données obligatoire dans certains cas
  • Co-responsabilité des Sous-Traitants en cas de manquements : Co responsabilité pénale et obligations de conseil auprès des Responsables des Traitements (art. 28 du RGPD).
  • Durcissement des sanctions avec des amendes pouvant aller jusqu’à 4% du chiffre d’affaires annuel mondial ou 20 millions d’euros

2. Responsabilités

Responsable de Traitement :

  • Respecter les principes de conformité d’un traitement (licéité, finalité, minimisation, exactitude, durée de conservation, intégrité et confidentialité)
  • Encadrer la sous-traitance des traitements par un contrat prévoyant les garanties de sécurité et de confidentialité imposées aux sous-traitants.
  • Sécuriser les traitements par la mise en œuvre de mesures organisationnelles (politiques, procédures, formation, etc…) et techniques (chiffrement, gestion des droits, flux sécurisés, etc…) appropriées (état des connaissances, coûts de mise en œuvre et nature du traitement et des risques pour les droits et libertés des personnes physiques).
  • Garantir le respect des droits des personnes en facilitant l’exercice des droits dans le respect du délai de réponse aux demandes d’exercice.
  • Recueillir le consentement (lorsque c’est la base légale du traitement) et assurer sa traçabilité
  • Notifier les violations de données personnelles dans les 72h à l’autorité de contrôle et aux personnes concernées le cas échéant
  • Tenir un Registre des activités de traitement
  • Désigner un DPO (obligatoire dans certains cas)
  • Réaliser une analyse d’impact pour les traitements à risques
  • Documenter sa conformité

Sous-Traitant :

  • Sécuriser les traitements en mettant en œuvre des mesures organisationnelles et techniques appropriées
  • Tenir un registre des catégories de traitement réalisées pour le compte du (ou des) responsable(s) de traitement
  • Conseiller et aider le responsable de traitement dans la mise en œuvre d’analyse d’impact et d’audits.
  • Notifier les violations de données personnelles dans les 72h au responsable de traitement
  • Documenter sa conformité

1 Traitement : Opération ou ensemble d’opérations réalisées sur les données personnelles de manière automatisée ou non, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou l’altération, la récupération, la consultation, l’utilisation, la divulgation par transmission, la diffusion ou autre mise à disposition, alignement ou combinaison, la suppression, la restriction ou la destruction.

2 Données à caractère personnel : Toute information permettant d’identifier ou rendre identifiable directement ou indirectement une personne physique par un nom, un numéro d’identification, des données de localisation, un identifiant en ligne ou un ou plusieurs éléments propres à son identité physique, physiologique, génétique, psychique, économique ou sociale.

3 Responsable de Traitement : Personne (morale ou physique) qui va déterminer à quoi va servir (finalités) et la manière dont on va atteindre l’objectif fixé (moyens).

4 Sous-Traitant : Prestataires de service (hébergement ou maintenance informatique, call center, etc…) qui s’engage contractuellement à exécuter un traitement de données à caractère personnel pour le compte du responsable de traitement.