Comprendre (enfin) le règlement européen sur la protection des données (RGPD ou GDPR).
Le Règlement entre en vigueur le 25 mai 2018. Certains le découvrent seulement et ne savent comment l’aborder. Nous avons procédé aux jeux des questions-réponses pour vous permettre d’y voir plus clair.
Faut-il nommer un DPO (Data Privacy Officer) ?
Oui si vous traitez un volume important de données, des données de santé ou encore si vous êtes un organisme public.
La désignation d’un délégué à la protection des données est obligatoire lorsque les activités de base du responsable consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées.
Le délégué a vocation à être l’interlocuteur privilégié et le garant de la conformité en matière de protection des données au sein de son organisme
Il devra être disponible pour répondre à toutes les questions relatives au traitement des données personnelles et à l’exercice de ses missions.
Il sera soumis au secret professionnel et à la confidentialité. Il devra veiller à ce que l’exercice de ses missions de délégué ne présente pas de conflits d’intérêts avec ses autres activités professionnelles. Le Responsable de traitement a l’obligation d’assurer l’indépendance du DPO, qui ne devra recevoir aucune instruction de la part du responsable sur le déroulement de ses missions.
Qui peut être DPO ?
Toute personne qui connaît votre entreprise, vos différents métiers, qui peut dialoguer avec le plus grand nombre dont la DSI ou le RSSI, a des capacités de formateur, a une très bonne connaissance des textes et est capable d’écrire des process.
Peut-il être externe ? Oui mais le DPO externe doit être très présent dans votre structure, ce qui limite son recours en cas d’organisation éclatée ou importante.
Peut-il être mutualisé ? Oui à condition qu’il dispose d’une organisation sur laquelle il peut se baser comme des référents dans chaque structure.
Quelles missions lui attribuer ?
Il doit :
– informer, conseiller et alerter, si besoin, le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent en matière de données personnelles, émettre des conseils auprès de chaque direction Métier ;
– diffuser une culture données personnelles dans l’entreprise ;
– analyser, auditer, contrôler le respect des dispositions applicables en matière de données personnelles, y compris en ce qui concerne la répartition des responsabilités, la sensibilisation et la formation du personnel participant aux opérations de traitement, et les audits s’y rapportant ;
– dispenser des conseils, sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;
– établir et maintenir à jour une documentation au titre de l’Accountability ;
– assurer une médiation avec les personnes physiques concernées ;
– coopérer avec l’autorité de contrôle ;
– faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement.
Quelle responsabilité pour le DPO ? Peut-il recevoir une délégation de pouvoir ?
Le DPO n’encourt pas à titre personnel de sanctions pénales. Le DPO ne peut être responsable en cas de manquement au règlement. Le dispositif de délégation de pouvoir n’est pas non plus admis à l’égard du DPO, notamment parce que la délégation est incompatible avec l’indépendance du délégué et avec le fait que le responsable doit garantir l’absence d’un conflit d’intérêts avec le DPO (article 38.6 du Règlement).
Quelles sont les sanctions encourues par le représentant légal?
Elles sont de deux ordres :
-des sanctions prononcées par la CNIL.
Le montant des sanctions encourues a été majoré par le RGPD :
jusqu’à 10M d’euros ou, si c’est un montant supérieur, à 2% du CA annuel mondial du Groupe en cas de manquements à certaines obligations telles l’obligation de tenue du Registre des activités de Traitement, l’obligation de mener une Etude d’Impact (Privacy Impact Analyse)…
jusqu’à 20M d’euros ou, si c’est un montant supérieur, à 4% du CA annuel mondial du Groupe en cas de manquement aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, d’effacement), manquement à la sécurité des données…
-des sanctions pénales
Ces sanctions existent déjà en droit français et n’ont pas été modifiées par le RGPD. Il convient de bien distinguer la responsabilité de la personne morale, distincte de l’éventuelle responsabilité du dirigeant.
Le représentant peut-il être responsable du fait de personnes tierces ?
Oui il est responsable du fait de ses propres actions mais aussi des agissements de ses sous-traitants.
Une délégation de pouvoir est-elle envisageable en matière de données personnelles ?
En cas de poursuites pénales envers la personne morale, c’est le représentant de la société qui sera poursuivi, et non le DPO.
Pour pouvoir être exonéré de sa responsabilité, c’est au représentant de justifier de la mise en œuvre effective de délégations.
En cas de délégation valable, le représentant peut s’exonérer de sa responsabilité dans le seul domaine couvert par la délégation et sauf s’il a personnellement pris part à l’infraction.
Deux conditions sont nécessaires pour une délégation valable :
– le délégant doit être dans l’impossibilité réelle de veiller personnellement au respect de la réglementation, compte tenu de la taille de l’entreprise mais aussi de sa structure ;
– le délégataire doit être doté de la compétence (y compris en termes de connaissance de la règlementation applicable), des moyens et de l’autorité nécessaires à l’accomplissement des tâches qui lui sont déléguées.
Sur la forme, la délégation doit être certaine, expresse et limitée à un domaine précis. Toutefois, elle doit correspondre à une véritable délégation de pouvoirs et de responsabilités. Une délégation fictive pourrait toujours être invalidée par un juge.
Le principe général d’ « accountability » posé par le RGPD tend à limiter les champs de délégations du dirigeant aux aspects opérationnels non stratégiques.
Comment démarrer son projet GDPR ?
La cartographie des flux de données, le recensement des applications utilisées et des sous-traitants et destinataires des données sont les points de départ indispensable. Il sera nécessaire assez rapidement de réflechir à la gourvernance et de revoir la politique contractuelle de l’organisme.
Quelles sont les nouvelles obligations du responsable de traitement ?
Le règlement européen vient renforcer les droits des personnes et les responsabilités des Responsables de traitements et des sous-traitants.
Le responsable de traitement a notamment pour obligation :
– d’assurer la licéité du traitement (obligation d’information, consentement, transparence) ;
– de respecter les finalités du traitement ;
– de mettre en œuvre les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément à la législation ;
– d’informer les personnes concernées et/ ou obtenir leur consentement au traitement des données ;
– de mettre en œuvre une protection des données dès la conception et la protection des données par défaut ;
– de tenir à jour une documentation démontrant la conformité des traitements ;
– de mettre en œuvre des obligations en matière de sécurité et de confidentialité et notamment la gestion des accès, l’obligation de notifier les violations de données personnelles.
De quelle documentation doit-il dorénavant disposer ?
Il est nécessaire de tenir à jour une documentation démontrant la conformité des traitements ; cette documentation comprendra la tenue à jour du registre des traitements en tant que responsable, du registre des sous-traitants, les mentions d’information, les modèles de recueil de consentement, les procédures mises en place pour l’exercice des droits, les contrats avec les sous-traitants, les mesures prises pour encadrer les transferts de données en dehors de l’Union, un cahier des incidents et de la gestion des failles de sécurité, un suivi des formations, la preuve que les personnes ont donné leur consentement, un suivi des analyses d’impacts réalisées…
Un mineur peut-il consentir à la collecte de ses données personnelles dans le cadre de l’utilisation d’un service en ligne?
Lorsque l’enfant est âgé de moins de 16 ans, ce traitement n’est licite que si, et dans la mesure où, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale à l’égard de l’enfant.
Le professionnel concerné doit s’efforcer « raisonnablement » de vérifier, compte tenu des moyens technologiques disponibles, la qualité du titulaire de la responsabilité parentale à l’égard de l’enfant.
Avec l’entrée en vigueur du RGPD, quel sera le sort des déclarations précédemment effectuées auprès de la CNIL?
Les formalités préalables effectuées auprès de la CNIL ne devront pas faire l’objet d’une demande spécifique de suppression.
Néanmoins, compte-tenu des nouvelles obligations résultant du RGPD, et notamment du principe d' »accountability », le responsable de traitement devra se mettre spontanément en conformité avec les nouvelles règles et, par exemple, s’assurer d’obtenir un nouveau consentement des personnes concernées si le traitement est fondé sur un tel consentement, ou encore mettre en place une analyse d’impact du traitement sur la vie privée lorsque celui-ci est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes concernées.
Le Règlement ne s’applique-t-il qu’envers des entreprises ou organismes européens ?
Le Règlement relatif à la protection des données personnelles s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens (articles 2 et 3 dudit Règlement).
En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.
Que doit faire une société hors Union Européenne ayant des services à destination de citoyens européens ?
Le considérant 80 du règlement et l’article 27 prévoient la désignation d’un représentant du responsable de traitement établi en dehors de l’Union européenne.
En effet, « lorsqu’un responsable du traitement qui n’est pas établi dans l’Union traite des données à caractère personnel de personnes concernées qui se trouvent dans l’Union et que ses activités de traitement sont liées à l’offre de biens ou de services à ces personnes dans l’Union, […] il convient que le responsable du traitement ou le sous-traitant désigne un représentant ».
L’article 27, 4° dudit règlement dispose que le représentant est mandaté par le Responsable pour être l’interlocuteur des autorités de contrôle et des personnes concernées sur le territoire de l’Union.
Les dispositions du règlement permettent également de renseigner l’obligation, pour le responsable de désigner par un mandat écrit le représentant et de rédiger ses obligations. Ce dernier devra accomplir ses tâches conformément au mandat reçu.
Il sera précisé que la désignation de ce représentant ne porte pas atteinte aux responsabilités du responsable du traitement.