Ce site utilise des cookies pour permettre de reconnaître un internaute d’une visite à une autre, pour le fonctionnement des boutons de partage sur les réseaux sociaux et la mesure d’audience des pages. Pour en savoir plus, et paramétrer vos cookies.

Publié le 29/05/2018

La loi sur le RGPD votée, ce qu’il faut retenir

  • Actualité sociale

Le projet de loi organisant la mise en œuvre du règlement européen sur la protection des données personnelles (RGPD) sur le territoire français a été définitivement voté le 14 mai.

Le texte intègre la mise en place d’un contrôle a posteriori en lieu et place de l’actuel régime de déclaration des traitements de données. Il redéfinit le rôle de la Cnil et renforce aussi ses pouvoirs d’investigation et de sanction. En outre, le projet de loi ouvre la possibilité d’introduire une action de groupe en réparation des préjudices causés par les manquements d’un responsable de traitement de données personnelles. 

Au-delà de la mise en conformité du droit national avec le RGPD, le nouveau texte complète et précise les cas d’autorisations préalables de la Cnil pour des traitements ou encore les actions de groupe en matière de protection des données. Il met, par ailleurs, en œuvre dans la Loi Informatique et Liberté (LIL) un texte européen, la directive dite « police-justice » du 27 avril 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale.

Les entreprises qui étaient déjà en règle avec la LIL ne devraient pas avoir de grandes difficultés à respecter le RGPD. D’une manière générale, les obligations de ce règlement diffèrent peu de celles qui figuraient dans la loi de 1978.

Le principe de responsabilité

Le RGPD substitue aux démarches de déclaration préalable auprès de la Cnil, une posture de responsabilité qui conduit les acteurs à la mise en conformité des traitements de données personnelles. Il est indispensable que les organisations démontrent à tout moment qu’elles respectent les « règles d’or » (grands principes de transparence et l’obligation, issue du RGPD, de documenter sa conformité), en particulier en cas d’incident ou de contrôle par la Cnil.

Constituer un registre

Il faut donc disposer d’un registre des activités de traitement permettant de recenser les traitements de données et avoir une vue d’ensemble de l’usage des données personnelles.

La constitution d’un tel « registre » est une obligation pour toutes les organisations – seules celles qui n’ont pas de traitement pérenne en seraient exonérées. La Cnil propose d’ailleurs un modèle de registre, notamment pour les PME-TPE, qui peut constituer une aide utile.

Les données sensibles

Il est ensuite nécessaire de vérifier que les données traitées respectent bien les grandes exigences.

Elles doivent être strictement nécessaires (principe de « minimisation des données ») et n’être conservées que pour la durée utile à la finalité du traitement. Dans le cas où des données « sensibles » font l’objet d’un traitement – par exemple des données sur la santé des salariés – des précautions particulières doivent être prises, à savoir : la réalisation d’une « analyse d’impact relative à la protection des données ». Celle-ci doit conduire à minimiser les risques.

Respecter le droit des personnes

Il faut également s’assurer du respect des droits des personnes concernées par ces données (clients, prospects, salariés, etc.). Chaque personne doit être informée du motif de traitement de ses données, de leurs destinataires, de leur durée de conservation, mais aussi de leurs droits d’accès, de correction si nécessaire ou encore d’opposition au traitement dans certains cas. Enfin, il est essentiel d’assurer la sécurité des données, afin d’éviter qu’elles ne soient modifiées, effacées ou consultées par un tiers non autorisé.

Encadrer les contrats avec les prestataires

Enfin, dans le cas où l’entreprise fait appel à un prestataire externe pour le traitement de certaines données, il convient de prendre désormais des précautions contractuelles précisant les responsabilités nouvelles du sous-traitant.

Notons que consigne semble avoir été donnée à la CNIL, la garante de l’application du RGPD, de ne pas être dans une logique répressive car l’idée est de rehausser le niveau de protection et non pas de pénaliser l’économie française ou européenne.