En poursuivant votre navigation, vous acceptez l’utilisation de cookies destinés à réaliser des statistiques de navigation et à vous proposer des offres adaptées à vos besoins.
En savoir plus
Fermer
Article mis à jour le 19 juillet 2017

Entreprises : préparez-vous au RGPD

Malo de Braquilanges
Diplômé de Sciences Po et spécialisé dans l'accompagnement des créateurs d'entreprise chez Legalstart.fr. Sous la direction de Pierre Aïdan, docteur en droit et diplômé de Harvard.

Publié le 19 juillet 2017

Le Règlement Général sur la Protection des Données, règlement RGPD entrera en vigueur le 25 mai 2018. Entrepreneurs, anticipez les actions à mener pour être en conformité ! Le nouveau cadre juridique remplacera l’environnement mis en place par la loi de 1978 et nécessite d’ajuster votre politique de traitement et de protection des données personnelles.

Concrètement, le texte vise non seulement à harmoniser plus encore la gestion des données personnelles au niveau de l’Union, mais il renforce également les droits des personnes. Nous décryptons pour vous les changements à mettre en place dès aujourd’hui pour préparer votre mise en conformité.

Une logique de responsabilité renforcée

Le règlement européen fait évoluer la logique d’encadrement du traitement des données. L’objectif est de responsabiliser davantage les responsables de traitement des données dans les entreprises (dirigeant ou salarié), mais également leurs sous-traitants qui dont la responsabilité juridique est renforcée.

Dans cette optique, un glissement est effectué avec la suppression de certaines obligations de déclarations préalables lorsque les traitements effectués ne présentent pas un risque pour la vie privée des personnes. A l’inverse, en cas de traitements dits “à risque”, vos obligations sont renforcées. Ainsi, c’est au responsable du traitement de s’auto-réguler pour être constamment en conformité avec la réglementation.

C’est l’autre volet : la logique d’accountability est plus appuyée. Le responsable du traitement doit être en mesure de justifier à tout moment de la conformité de l’entreprise auprès de l’autorité de contrôle (pour la France, la CNIL). Cela implique d’importants chantiers de cartographie des données utilisées et traitées par l’entreprise et des process associés.

Une nouvelle organisation européenne de la protection des données

Comment s’organise ce nouveau cadre juridique ?

  • Qui est concerné ? Toutes les entreprises, publiques ou privées, qui agissent dans l’Union Européenne et traitent des données. Le règlement touche donc toutes les entreprises européennes susceptibles de collecter des données de la part des consommateurs mais aussi des entreprises étrangères.

  • Quelle autorité compétente ? Un guichet unique est mis en place pour chaque entreprise. Concrètement, l’autorité de protection des données d’un Etat-membre est responsable pour toutes les entreprises dont l’établissement principal est déclaré sur son territoire. En France, il s’agit donc de la CNIL. Les autorités de contrôle nationales sont regroupées au sein du CEPD (Comité Européen de Protection des Données) et coopèrent sur des opérations de contrôle conjointes.
  • Quels acteurs dans l’entreprise ? Outre la responsabilité du dirigeant d'entreprise bien sûr, deux acteurs principaux : en interne, le responsable du traitement des données qui pilote les opérations de gestion des données personnelles et la mise en conformité. En externe, le DPO (Délégué à la Protection des Données) qui remplace le CIL avec des pouvoirs étendus.

Quelles sont les nouveautés de la réglementation européenne?

  • De nouveaux droits : le RGPD met en place de nouveaux droits. D’abord, le droit à la portabilité des données : cela signifie que les données doivent pouvoir être à tout moment récupérées par l’utilisateur et éventuellement transférées à un tiers. Ensuite, la protection des mineurs de - de 16 ans est renforcée avec une obligation de décrire les traitements en termes clairs et facilement compréhensibles et un consentement qui doit être donné par le titulaire de l’autorité parental.
  • Le responsable du traitement, pilote de l’action en interne : l’entreprise doit nommer un responsable du traitement des données qui a pour mission de piloter toutes les opérations de traitement des données pour s’assurer de leur conformité avec le règlement. En cas de traitements à risque, il doit mener un audit approfondi des méthodes de traitement et des risques associés en amont : c’est l’étude d’impact. Il doit également alerter sous 72 heures la CNIL s’il détecte une violation de la réglementation ou une brèche dans la sécurité.
  • Le DPO, un super-CIL : les entreprises tenues de nommer un CIL (Correspondant Informatique et Liberté) devront désormais nommer un DPO (qui peut être la même personne). Ses missions sont étendues : conseil et information sur la réglementation, contrôle du respect du règlement européen, conseil dans l’analyse d’impact menée par le responsable du traitement, il est aussi le point de contact entre l’entreprise et l’autorité de contrôle (CNIL).

Quelles sanctions en cas de non-conformité ?

Les sanctions peuvent être très importantes si votre entreprise n’est plus en conformité avec le règlement européen. En effet, les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial. Naturellement, ces chiffres concernent les structures les plus importantes. En pratique, un éventail de réponses de la CNIL en cas de violation de la réglementation est mis en place (avertissements, mises en demeures, etc). La logique affichée n’est pas celle de la répression mais de la responsabilisation des acteurs.

Si l’activité de votre entreprise implique le traitement des données personnelles de vos utilisateurs ou clients, veillez à bien être en conformité avec la réglementation qui l’encadre ! N’hésitez pas à vous renseigner sur les obligations qui encadrent la rédaction des CGU et des mentions légales. Cela est d’autant plus vrai si ces informations sont sensibles, donc si vos traitements sont “à risque” (informations sur l’origine ethnique, l’orientation sexuelle, l’état de santé…) ou si elles contribuent à du “profilage”.

N’hésitez pas à contacter un conseiller professionnel pour vous épauler dans votre stratégie données personnelles.

Mise à jour : 19/07/2017

Rédaction : Malo de Braquilanges, diplômé de Sciences Po et spécialisé dans l'accompagnement des créateurs d'entreprise chez Legalstart.fr. Sous la direction de Pierre Aïdan, docteur en droit et diplômé de Harvard.

Inscrivez-vous à notre newsletter

pour recevoir nos dernières informations