Ayant pour objet de responsabiliser les organismes traitant des données personnelles et de renforcer les droits des personnes dont les données sont traitées, deux ans après son adoption au Parlement européen et au lendemain de son entrée en vigueur dans les Etats membres, les enjeux du RGPD sont plus que jamais d’actualité comme en témoigne le récent scandale Facebook ayant contraint son fondateur, Mark Zuckerberg, à s’expliquer devant le Congrès américain et les députés européens.
Qu’est-ce que le RGPD ?
Entré en vigueur le 25 mai 2018, l’acronyme RGPD signifie «Règlement Général sur la Protection des Données».
Il permet d’encadrer le traitement et la circulation des données à caractère personnel sur le territoire de l’Union européenne.
Ce règlement européen qui date en réalité du 27 avril 2016 est entré en vigueur dans l’ensemble des Etats membres le 25 mai 2018.
Il est directement applicable et a force obligatoire depuis cette date.
Le RGPD est né de la volonté européenne de créer un cadre juridique unifié, afin de faire face aux enjeux majeurs que représente le traitement de données personnelles.
Qui est concerné ?
Le RGPD s’applique à tout organisme, quelle que soit sa taille, traitant des données personnelles pour son compte ou non, dès lors qu’il est établi sur le territoire de l’Union européenne ou que son activité cible directement des résidents européens.
Le champ d’application du RGPD est donc extrêmement large puisque toutes les entreprises sont en réalité concernées quel que soit leur taille ou leur effectif.
La responsabilité de la mise en œuvre de la protection des données repose sur l’employeur, ce dernier étant considéré comme le responsable du traitement c’est-à-dire la personne à qui il incombe de vérifier la conformité du traitement des données au RGPD. Ainsi, l’employeur doit faire preuve d’une extrême vigilance quant à cette mise en conformité.
Qu’est-ce qu’une donnée personnelle ?
La notion de donnée personnelle est extrêmement large puisqu’elle est définie par la CNIL comme « toute information se rapportant à une personne physique identifiée ou identifiable ».
L’identification peut se faire de manière directe (nom, prénom, adresse postale…) ou de manière indirecte (éléments physiques, identifiant, adresse IP, numéro…).
Par ailleurs, sont également considérées comme personnelles les données qui, par le recoupement de plusieurs informations, (date de naissance, sexe, ville, diplôme, etc.) ou l’utilisation de divers moyens techniques, permettent d’identifier une personne.
Quelles sont les obligations des entreprises ?
Selon l’article 5.1 du RGPD, les données personnelles doivent être :
- Traitées de manière licite, loyale et transparente ;
- Collectées à des fins déterminée, explicite et légitimes ;
- Adéquates, pertinentes et limitées ;
- Exactes et tenues à jour ;
- Conservées pendant une durée raisonnable ;
- Traitées de façon à garantir leur protection.
Afin de se mettre en conformité avec le RGPD et de respecter les six obligations essentielles énoncées ci-dessus, la CNIL recommande aux entreprises de mener six actions :
- Désigner un pilote :
La CNIL recommande vivement à l’ensemble des entreprises de désigner une personne chargée de s’assurer de la mise en conformité avec le RGPD. Cet acteur permettra de dialoguer avec les autorités de protection des données et ainsi, de réduire les risques de contentieux.
Certaines entreprises qui traitent des données dites «sensibles» ont quant à elles, l’obligation de désigner un délégué à la protection des données.
Cette désignation est également obligatoire pour les organismes publics et les entreprises dont l’activité nécessite un suivi régulier des personnes à grande échelle tels que les opinions politiques, philosophiques ou religieuses d’une personne.
- Recenser les fichiers :
Les entreprises de plus de 250 salariés ont l’obligation de constituer un registre de traitement des données.
Cela consiste à identifier les activités principales de l’entreprise nécessitant la collecte et le traitement de données personnelles.
Pour chaque activité, les entreprises doivent ensuite répertorier le responsable du traitement, l’objectif poursuivi, la catégorie de données utilisées, les personnes y ayant accès et la durée de conservation desdites données.
La CNIL propose un modèle de ce registre sur son site Internet : https://www.cnil.fr/fr/RGDP-le-registre-des-activites-de-traitement.
- Repérer les traitements à risque :
Le responsable du traitement a l’obligation d’être en mesure de prouver à tout moment que les traitements qu’il gère sont conformes au RGPD.
Il est donc conseillé aux entreprises d’effectuer un tri dans leurs données afin de vérifier que chacune des sauvegardes est nécessaire et pertinente.
Par ailleurs, la CNIL met en garde les entreprises contre certains traitements réclamant une vigilance particulière.
Il s’agit notamment des traitements concernant des données relatives aux personnes vulnérables, à la surveillance systématique des personnes, au croisement d’ensembles de données ou encore au traitement de données dites « sensibles ».
En effet, si le traitement de données concerné répond à au moins deux des critères prévus par le RGPD, une analyse d’impact sur la protection des données devra être réalisée.
- Respecter le droit des personnes :
Les entreprises ont l’obligation de fournir à leurs salariés les informations relatives à la collecte et au traitement de leurs données.
Cette information doit être effectuée dès la collecte des données ou dans un délai d’un mois suivant cette collecte lorsque les éléments sont recueillis de manière indirecte.
Elle peut être réalisée sur le support papier ou électronique permettant la collecte des données.
Elle peut également faire l’objet d’une note de service, d’un affichage ou d’une diffusion sur l’intranet de l’entreprise, lors de la mise en place d’un dispositif de surveillance.
Par ailleurs, les entreprises ont l’obligation de garantir les droits des personnes dont les données sont traitées en permettant la mise en œuvre effective de ces droits. Il est ainsi recommandé aux entreprises de mettre à la disposition des personnes concernées des moyens matériels, tels qu’un numéro de téléphone, une adresse de messagerie ou un formulaire sous format papier ou électronique.
- Sécuriser les données :
Les entreprises ont l’obligation d’assurer la sécurité des données personnelles en minimisant les risques de perte de données ou de piratage.
Pour ce faire, il leur est conseillé de mettre à jour des antivirus et des logiciels ainsi que de procéder au changement régulier des mots de passe et à l’utilisation de mots de passe complexes.
- S’assurer en cas de sous-traitance que le prestataire respecte le RGPD
Les sous-traitants sont soumis à des obligations particulières de transparence, d’assistance, d’alerte, de conseil. Ils doivent par ailleurs garantir la sécurité et la protection des données traitées. De surcroît, le contrat de sous-traitance doit prévoir une clause spécifique sur la protection des données personnelles.
Quels sont les droits des personnes dont les données sont traitées ?
Au préalable, il faut souligner que les personnes concernées peuvent être aussi bien les clients d’une entreprise que les collaborateurs travaillant au sein de cette entreprise.
Ces personnes bénéficient de nombreux droits :
- Droit d’accès: droit pour la personne concernée d’obtenir du responsable de traitement la confirmation que des données personnelles sont ou ne sont pas traitées et lorsqu’elles le sont, l’accès auxdites données ainsi qu’aux informations la concernant. L’entreprise dispose ensuite d’un délai d’un mois pour accéder à la demande de la personne concernée.
- Droit de rectification : droit pour la personne concernée d’obtenir du responsable du traitement, dans les meilleurs délais, la rectification des données inexactes la concernant.
- Droit d’opposition : droit pour la personne concernée de s’opposer, pour des raisons tenant à sa situation particulière, à un traitement des données personnelles la concernant.
- Droit d’effacement (droit à l’oubli): droit pour la personne concernée d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, des données personnelles la concernant.
- Droit à la portabilité : droit pour la personne concernée d’obtenir et de réutiliser les données la concernant pour ses besoins personnels.
- Droit à la limitation du traitement : droit pour la personne concernée d’interdire au responsable du traitement de se servir de certaines données collectées.
Comment agir en cas de faille dans la sécurité ?
En cas de violation des données personnelles, une double obligation de notification s’impose à l’employeur ; à la CNIL, dans un délai de soixante-douze heures et à la personne concernée, dans les meilleurs délais.
Une telle violation s’analyse selon la CNIL comme celle « entraînant de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
Quel contrôle est exercé par la CNIL ?
Le contrôle exercé par la CNIL en matière de RGPD reste globalement inchangé.
En effet il pourra s’agir d’un contrôle sur place, sur pièces, sur audition ou en ligne.
La nouveauté majeure résultant du RGPD réside dans la volonté de renforcer la coopération afin de permettre une décision harmonisée à portée européenne lors des contrôles exercés sur des acteurs internationaux.
Quelles sont les sanctions encourues ?
En France, seule la CNIL a la capacité de sanctionner les entreprises en cas de méconnaissance des dispositions du règlement.
La CNIL peut ainsi prononcer plusieurs sanctions administratives : avertissement, mise en demeure, injonction de cesser le traitement, suspension des flux de données, ordre de satisfaire aux demandes d’exercice des droits des personnes ou de rectifier, limiter ou effacer des données.
Par ailleurs, des amendes administratives peuvent être prononcées et s’élever, selon la catégorie de l’infraction, à 10 ou 20 millions d’euros, ou à 2% jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise, le montant le plus élevé étant retenu.
Romane BASLE, Master II Droit et Pratique des Relations de Travail (Promotion EDF)
Sandrine PARIS, Avocat associé ATALANTE AVOCATS
contact@atalante-avocats.com