RGPD
Généralités
C’est toute information relative à une personne physique permettant de l’identifier soit directement (par exemple : un nom, un prénom, une photo, etc.) soit indirectement (par exemple : une empreinte, une adresse mail, un numéro de téléphone, un matricule, un identifiant de connexion informatique, etc.).
Attention : s’il est possible d’identifier une personne par un recoupement d’informations (par exemple : âge, sexe, ville, fonction au sein d’une entreprise, etc.) ou par l’utilisation de moyens techniques divers, ces données seront considérées comme des données à caractère personnel.
C’est toute opération portant sur des données à caractère personnel, quel que soit le procédé et le support utilisés (par exemple : conserver un fichier clients dans un fichier Excel, modifier une fiche client sur support papier, rapprocher des données, etc.).
Les données à caractère personnel sont protégées depuis la loi informatique et libertés n°78-17 du 6 janvier 1978. Avant l’entrée en vigueur du RGPD, il fallait donc d’ores-et-déjà respecter les règles relatives au recueil du consentement, à la suppression des données au-delà d’une certaine durée, à l’information des personnes, etc. Le RGPD renforce simplement ces obligations et en crée de nouvelles pour encore mieux protéger les personnes.
En bref, le RGPD renforce et unifie les droits des citoyens des Etats membres de l’UE, par exemple en créant un droit à la portabilité des données à caractère personnel (qui signifie le droit pour une personne de récupérer ses données sous un format facilement réutilisable et le cas échéant de les transmettre à un tiers), ou en renforçant le consentement et la transparence (désormais, non seulement le professionnel devra informer la personne, mais aussi faire en sorte que cette information soit claire, intelligible, et aisément accessible par la personne concernée, notamment un enfant).
Le RGPD a également vocation à responsabiliser les acteurs traitant des données à caractère personnel (responsables de traitement et sous-traitants) : par exemple, l’obligation d’effectuer des déclarations de traitement de données à caractère personnel auprès de la CNIL a disparu (sauf certains cas particuliers) afin d’alléger les formalités administratives, mais les responsables de traitement doivent établir un registre des traitements qui pourra être contrôlé à tout moment et dans certains cas, nommer un DPO. Les sous-traitants peuvent voir également leur responsabilité engagée, au titre de leur devoir de conseil auprès du responsable de traitement – ils sont soumis aux mêmes obligations que ce dernier.
Le RGPD coexiste avec la loi informatique et libertés sur le territoire de la République française (y compris en Nouvelle-Calédonie) : cette dernière a été adaptée après l’entrée en vigueur du RGPD pour préciser ses modalités d’application au niveau national.
Ma structure/suis-je/qui est concerne par le rgpd ?
A toute entité, publique ou privée, quelle que soit sa forme et sa taille (association, organisme public, patenté, entreprise, etc.), qui est établie sur le territoire de l’Union européenne ou dans les collectivités d’Outre-mer, y compris en Nouvelle-Calédonie, OU dont l’activité cible directement des résidents européens ou ultra-marins, quel que soit son secteur d’activité (par exemple, une société américaine proposant la vente de produits sur un site Internet à des citoyens français).
Toute personne est concernée par le RGPD dès lors qu’elle traite des données à caractère personnel, qu’il s’agisse des données de ses clients (même un patenté ayant peu de clients), d’adhérents, de salariés, etc. Les obligations sont cependant modulées en fonction de la quantité de données traitées.
Toute personne traitant des données à caractère personnel est soumise à cette règlementation, quelle que soit sa taille et le type de support utilisé. Le seul fait de collecter des données est un traitement : même sans partage de celles-ci, je suis soumis au RGPD. Le nombre d’obligations du RGPD qui s’appliquent à une entreprise dépendent davantage de la quantité de données traitées que de la taille de structure.
Secret professionnel et protection des données à caractère personnel sont régis par des règlementations différentes, le fait d’être soumis à l’obligation de secret médical est sans incidence sur l’obligation de respecter les dispositions de la loi informatique et libertés, ces règlementations n’étant pas exclusives l’une envers l’autre.
Quels sont les elements/dossiers/supports impactes par le rgpd ?
Le RGPD est applicable a tout traitement de données à caractère personnel, quelque soit son support.
Oui : tout traitement de données permettant d’identifier directement ou indirectement une personne est soumis au RGPD.
Non, tous les fichiers ou toute information contenant des données personnelles y sont soumis. Ainsi entrent dans le champ d’application de la loi :
- Les contacts fournisseurs ;
- Les contacts clients ;
- Les informations sur les salariés (registre du personnel, fiches de paie, etc.) ;
- Etc.
Toute l’organisation de l’entité, de ses traitements de données et du site internet doivent être en conformité avec le RGPD. A titre d’exemple, les formulaires d’inscription devront être revus afin d’intégrer les mentions d’information et le recueil de consentement ; le site internet devra être ajusté pour y intégrer les mentions légales, les demandes d’acception de cookies, etc.
Sont soumises à l’obligation de désigner un délégué à la protection des données :
- Les organismes publics ;
- Les entreprises dont l’activité de base amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Les entreprises traitant de données à caractère sensible, telles que les données relatives à la santé, à la religion, à l’orientation sexuelle, etc.
La désignation d’un DPO pour les entités ne rentrant pas dans le cadre précité est facultative.
Les entités peuvent désigner un délégué interne (salarié) ou externe à leur structure (prestataire de service). Le DPO peut également être mutualisé, c’est-à-dire désigné pour plusieurs organismes, sous certaines conditions.
Il n’y a pas de condition préalable à remplir ou de formation obligatoire à suivre pour être nommé DPO dans les textes, même s’il est préférable d’avoir des compétences juridiques et une bonne connaissance en matière de protection et de sécurité des données.
La CNIL a publié un référentiel listant les 17 compétences que doit remplir le DPO, pour bénéficier d’une certification, délivrée par des organismes habilités par la CNIL.
Cette certification n’est pas obligatoire pour exercer la fonction de DPO, mais c’est un gage de compétence et de savoir-faire du DPO pour l’entreprise.
Cette liste n’existe pas. Pour plus d’informations sur les DPO contactez le cluster « OPEN NC ».
Le DPO a pour principales missions :
- L’information et le conseil à l’entité entendue largement (le responsable de traitement, les salariés, les sous-traitants, etc.) ;
- Le contrôle du respect de la règlementation ;
- La coopération avec l’autorité de contrôle.
Il est actuellement impossible de transférer au DPO la responsabilité incombant au responsable de traitement de se mettre en conformité. En d’autres termes, le DPO n’est pas responsable en cas de non-respect du règlement.
Toutefois, comme tout employé, le DPO pourrait voir sa responsabilité engagée :
- S’il enfreint intentionnellement les dispositions pénales des règles protectrices des données personnelles ;
- S’il est complice de violations ou apporte son concours au responsable de traitement pour enfreindre les dispositions pénales.
Quels impacts en cas de retard (ou absence) de mise en conformité ?
Lorsque le responsable de traitement ou son sous-traitant ne respectent pas les dispositions du RGPD :
- Le président de la CNIL peut prononcer une mise en demeure (de satisfaire à la demande du requérant, de se mettre en conformité, etc.), dans le délai qu’il fixe (24h en cas d’extrême urgence). A la suite de la mise en demeure restée sans effet ou en complément de celle-ci, le président de la CNIL peut saisir la formation restreinte en vue du prononcé d’une ou plusieurs des mesures suivantes :
- Rappel à l’ordre ;
- Injonction de mise en conformité ;
- Limitation, interdiction, retrait de l’autorisation de traitement ;
- Une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise 2% du chiffre d’affaires annuel mondial, ou dans certaines hypothèses, ces plafonds sont portés respectivement à 20 millions d’euros et 4% du chiffre d’affaires mondial ;
- Etc.
Les tribunaux sont compétents pour appliquer les sanctions telles que prévues par le droit (code du travail, code pénal, etc.)
La loi informatique et libertés modifiée est applicable en Nouvelle-Calédonie depuis 2004. Le RGPD reprend dans sa majorité, les obligations imposées par cette loi ; les modifications majeures se concentrent dans les analyses d’impact, la responsabilisation des sous-traitants, etc. Une entité qui ne se serait pas mise en conformité avec la loi informatique et libertés dans sa version antérieure au 1er juin 2019, sera exposée aux sanctions en cas de contrôle ou dénonciation auprès de la CNIL.
L’ordonnance n° 2018-1125 du 12 décembre 2018, qui a étendu le RGPD à la Nouvelle-Calédonie, entre en vigueur en même temps que le futur décret (non encore adopté) qui modifiera le décret d’application de la loi Informatique et libertés, et au plus tard le 1er juin 2019. C’est cette date que nous communiquons donc généralement comme référence.
Quelles procedures/guides suivre ?
Pour toute collecte, le responsable de traitement doit :
- Recueillir le consentement des personnes ;
- Informer les personnes sur :
- La ou les finalités du traitement (ex : gestion d’une inscription, d’une candidature, etc.) ;
- Les destinataires (internes et externes) des données (service de la communication, direction des ressources humaines, etc.) ;
- Leurs droits et les modalités d’exercice de ces droits (droit d’opposition, de limitation, de suppression, de modification des données, etc.) ;
- Le lieu de stockage des données ;
- La durée de conservation de celles-ci ;
- Mentionner l’autorité de contrôle auprès de laquelle ils peuvent porter toute réclamation (www.cnil.fr).
- En cas de recueil de données en vue de prospections commerciales, le responsable de traitement doit recueillir le consentement exprès de la personne (une case cochée par défaut est interdite).
Sauf exceptions, il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l'origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale d'une personne physique ou de traiter des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique. Le cas échéant, ou si un traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable de traitement doit au préalable, effectuer une analyse d’impact des opérations de traitement envisagées sur la protection des données à caractère personnel.
Les principales étapes sont :
- La désignation d’un DPO le cas échéant ;
- La cartographie des traitements : un registre permettant de lister l’ensemble des traitements de données personnelles informatisés ou non. Chaque activité recensée doit faire l’objet d’une fiche registre qui comporte notamment : le nom et les coordonnées du responsable du traitement, les finalités, les objectifs poursuivis, les catégories de personnes concernées et les données utilisées, les destinataires des données, la durée de conservation, les transferts, la description générale des mesures de sécurité ;
- L’identification des actions à mener et leur priorisation ;
- La gestion des risques : analyse d’impact qui contient une description du traitement étudié et de ses finalités, une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, une évaluation des risques pour les droits et libertés des personnes concernées, les mesures envisagées pour faire face aux risques. Un logiciel d’aide à l’établissement des analyses d’impact est téléchargeable gratuitement sur le site de la CNIL ;
- L’organisation des processus internes (prise en compte de la protection, respect droit des personnes, sensibilisation et organisation de la remontée d’information, anticipation des violation, sécurisation des données, etc.) ;
- Documentation de la mise en conformité.
En principe, les transferts ou réplications de données hors de l’Union européenne ou hors des pays considérés comme adéquats (Suisse, Nouvelle-Zélande, Japon, etc.) sont interdits, sauf à l’entité à :
- Apporter des garanties suffisantes ;
- Obtenir une autorisation de transfert de la part de la CNIL ;
- Se prévaloir de l’une des dérogations énumérées limitativement par le RGPD.
Voir la carte de protection des données dans le monde établie par la CNIL : ici.