RGPD, ÊTRE OU NE PAS ÊTRE CONCER­NÉ

Décisions - - Expertise -

Avis d’ex­pert: Florent DAUXAIS, ex­pert-comp­table, Ca­bi­net ACCIOR, Les Sables d’Olonne (85) Alexis MONIOT, res­pon­sable in­for­ma­tique, Ca­bi­net ACCIOR, La Roche Sur Yon (85)

Le 25 mai 2018, le rè­gle­ment eu­ro­péen se­ra ap­pli­cable. De nom­breuses formalités au­près de la CNIL vont dis­pa­raître. En contre­par­tie, la res­pon­sa­bi­li­té des « or­ga­nismes » se­ra ren­for­cée en as­su­rant une pro­tec­tion op­ti­male des don­nées tout en étant en me­sure de dé­mon­trer leur confor­mi­té. Le contexte ju­ri­dique s’adapte pour suivre les évo­lu­tions des tech­no­lo­gies et de nos so­cié­tés (usages ac­crus du nu­mé­rique, dé­ve­lop­pe­ment du com­merce en ligne…). Ce nou­veau rè­gle­ment eu­ro­péen s’ins­crit dans la conti­nui­té de la Loi fran­çaise « In­for­ma­tique et Li­ber­tés » de 1978 et ren­force le contrôle par les ci­toyens de l’uti­li­sa­tion qui peut être faite des don­nées les concer­nant. Le Rè­gle­ment Gé­né­ral sur la Pro­tec­tion des Don­nées (RGPD) har­mo­nise les règles eu­ro­péennes en of­frant un cadre ju­ri­dique unique aux pro­fes­sion­nels, et per­met de dé­ve­lop­per leurs ac­ti­vi­tés nu­mé­riques au sein de l’Union eu­ro­péenne en se fon­dant sur la confiance des uti­li­sa­teurs.

Qui est concer­né par le RGPD? Quels sont les risques en­cou­rus?

Toutes en­tre­prises ou sous-trai­tants qui pos­sèdent ou traitent ( col­lectent, stockent, conservent ou uti­lisent) des don­nées à ca­rac­tères per­son­nelles sur le ter­ri­toire eu­ro­péen sont concer­nés par le RGPD. À titre d’exemple, si vous conser­vez des nu­mé­ros de té­lé­phone per­son­nels de vos em­ployés ou clients, vous êtes concer­né. Si vous échan­gez des in­for­ma­tions RH avec l’ad­mi­nis­tra­tion ou un ser­vice paie (nu­mé­ro de sé­cu­ri­té so­ciale, date de nais­sance, etc.), vous êtes concer­né. Donc a prio­ri, toutes les en­tre­prises ! L’au­to­ri­té lo­cale char­gée de la pro­tec­tion des don­nées pour la France est la CNIL : Com­mis­sion Na­tio­nale In­for­ma­tique et Li­ber­tés. Elle est ga­rante du contrôle de l’ap­pli­ca­tion et du res­pect de ce rè­gle­ment. Les sanc­tions liées à la vio­la­tion du RGPD sont gra­duées ain­si : Aver­tis­se­ment, rap­pel à l’ordre, sus­pen­sion du trai­te­ment des don­nées, amende (jus­qu’à 20 mil­lions d’eu­ros ou 4 % du CA an­nuel mon­dial). La mise en place du RGPD dans les en­tre­prises étant plus ou moins longue, et compte te­nu de l’échéance proche du 25 mai 2018, il est in­dis­pen­sable de ré­per­to­rier tous les do­cu­ments de tra­vail concer­nant sa mise en ap­pli­ca­tion (comptes ren­dus de réunions, emails, dé­ci­sions, dé­nom­bre­ment, etc.) qui prou­ve­ront que vous êtes en­ga­gé sur ce thème.

Qu’est-ce qu’une don­née per­son­nelle?

Le RGPD dé­fi­nit une don­née per­son­nelle comme étant « Toute in­for­ma­tion se rap­por­tant à une per­sonne phy­sique iden­ti­fiée ou iden­ti­fiable […] di­rec­te­ment ou in­di­rec­te­ment, no­tam­ment par ré­fé­rence à un iden­ti­fiant, tel qu’un nom, un nu­mé­ro d’iden­ti­fi­ca­tion, des don­nées de lo­ca­li­sa­tion, un iden­ti­fiant en ligne, ou à un ou plu­sieurs élé­ments spé­ci­fiques propres à son iden­ti­té phy­sique, phy­sio­lo­gique, gé­né­tique, psy­chique, éco­no­mique, cultu­relle ou so­ciale. » Par exemple, un nu­mé­ro de té­lé­phone est-il consi­dé­ré comme une don­née per­son­nelle? Oui si ce nu­mé­ro est pri­vé ou pro­fes­sion­nel sans consen­te­ment. Non si ce nu­mé­ro est af­fi­ché « pu­bli­que­ment » sur un site In­ter­net, an­nuaire ou carte de vi­site…

Qu’est-ce qu’un trai­te­ment de don­nées per­son­nelles?

Le RGPD dé­fi­nit un trai­te­ment comme « Toute opé­ra­tion ou tout en­semble d’opé­ra­tions ef­fec­tuées ou non à l’aide de pro­cé­dés au­to­ma­ti­sés, et ap­pli­quées à des don­nées ou des en­sembles de don­nées à ca­rac­tère per­son­nel, telles que la col­lecte, l’en­re­gis­tre­ment, l’or­ga­ni­sa­tion, la struc­tu­ra­tion, la conser­va­tion, l’adap­ta­tion ou la mo­di­fi­ca­tion, l’ex­trac­tion, la consul­ta­tion, l’uti­li­sa­tion, la com­mu­ni­ca­tion par trans­mis­sion, la dif­fu­sion ou toute autre forme de mise à dis­po­si­tion, le rap­pro­che­ment ou l’in­ter­con­nexion, la li­mi­ta­tion, l’ef­fa­ce­ment ou la des­truc­tion. » En bref, un trai­te­ment concerne toutes opé­ra­tions sur une don­née per­son­nelle.

La sous-trai­tance, êtes-vous concer­né?

Pour ré­pondre à cette ques­tion, il est né­ces­saire de dis­tin­guer qui est le res­pon­sable du trai­te­ment de la per­sonne phy­sique ou mo­rale qui traite les don­nées per­son­nelles. En somme : Qui fait quoi? Soit, vous trai­tez vous-même vos don­nées via des lo­gi­ciels de ges­tion (CRM, ges­tion com­mer­ciale, etc.). Et par consé­quent, vous êtes res­pon­sable du trai­te­ment des don­nées col­lec­tées, trai­tées et conser­vées. Dans ce cas vous de­vez de­man­der à votre sous-trai­tant (pres­ta­taire in­for­ma­tique, etc.) de vous as­su­rer par contrat de la confor­mi­té du lo­gi­ciel au RGPD. Et à vous de ga­ran­tir la sé­cu­ri­sa­tion de l’ac­cès aux don­nées. Soit, vous trai­tez des don­nées per­son­nelles pour le compte d’autres en­tre­prises (pres­ta­tions di­verses). Par consé­quent, vous êtes sous-trai­tant, et vous vous de­vez de res­pec­ter la mise en confor­mi­té du ser­vice ou pro­duit que vous pro­po­sez en ma­tière de sé­cu­ri­té, de confi­den­tia­li­té et d’ac­com­pa­gne­ment. À noter que le non-res­pect du RGPD par le res­pon­sable du trai­te­ment ou par le sous-trai­tant en­ga­ge­ra tou­jours la res­pon­sa­bi­li­té du Di­ri­geant et qu’un ac­cord entre les deux par­ties de­vra être contrac­tua­li­sé par écrit.

Trai­te­ments des don­nées à risque, êtes-vous concer­né?

Les don­nées per­son­nelles sont clas­sées en fonc­tion de leur « cri­ti­ci­té » dont une ca­té­go­rie spé­ci­fique dites don­nées « sen­sibles » ne peuvent être col­lec­tées uni­que­ment se­lon des si­tua­tions pré­cises (art. 9,2) : entre autres, si les per­sonnes concer­nées ont ex­pli­ci­te­ment don­né leur consen­te­ment pour une ou plu­sieurs fi­na­li­tés dé­fi­nies. Ou en­core si un trai­te­ment est né­ces­saire à la sau­ve­garde des in­té­rêts vi­taux de la per­sonne concer­née n’ayant pas la pos­si­bi­li­té de don­ner son consen­te­ment (pour plus d’in­for­ma­tion se ré­fé­rer à l’ar­ticle 9 du RGPD). Les don­nées sen­sibles sont : • Ori­gine ra­ciale ou eth­nique. • Orien­ta­tions sexuelles. • Convic­tions re­li­gieuses ou phi­lo­so­phiques. • Opi­nions po­li­tiques. • Opi­nions syn­di­cales. • État de santé. • Don­nées bio­mé­triques. • Don­nées gé­né­tiques. • Condam­na­tions pé­nales et in­frac­tions. Dans le cadre d’un trai­te­ment de don­nées à risque « éle­vé » une dé­cla­ra­tion doit être ef­fec­tuée à la CNIL, qui de­vra se pro­non­cer dans un dé­lai maxi­mum de 8 se­maines pour au­to­ri­ser, pres­crire des me­sures, li­mi­ter ou sus­pendre le trai­te­ment.

Quel plan d’ac­tions?

Dé­si­gnez ou non un Pi­lote (DPO) ? La dé­si­gna­tion d’un DPO (Da­ta Pro­tec­tion

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.