12 mars 2018

Newsletter - Le Réglement "RGPD" en 80 Jours

Se mettre en conformité d’ici le 25 mai prochain avec le Règlement Général sur la Protection des Données (RGPD) est encore possible !
Accroissement des droits des personnes protégées. Le RGPD apporte des nouveautés importantes et approfondit bon nombre de droits des personnes concernées, tels que le droit à la portabilité des données personnelles, le « droit à l’oubli » ou le droit de ne pas faire l’objet de profilages, et accroît les obligations de sécurité et d’information du responsable du traitement et de son (ou ses) sous-traitant(s).
Data Protection Officer et responsabilités accrues du responsable du traitement. Le règlement européen modifie les relations entre responsable du traitement et sous-traitant et transforme le correspondant informatique et libertés (CIL) en « délégué à la protection des données » (DPO ou « Data Protection Officer »). La contrepartie de l’allégement des formalités administratives, c’est un poids accru de ce DPO mais aussi de nouvelles responsabilités mises à la charge du responsable du traitement (ex : étude d’impact sur la vie privée et notification des failles de sécurité aux personnes concernées et aux autorités de contrôle).
Analyse d’impact. C’est une dernière nouveauté. « L’analyse d’impact » évalue la nécessité et l’absence du caractère excessif des traitements de données par rapport à leur finalité. Toutefois, seuls les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques » l’exigeront.
Accroissement des sanctions et des risques liés aux contrôles. Enfin, de nouvelles amendes administratives et sanctions (notamment financières) voient le jour en cas de violation. L’importance des contrôles a posteriori des autorités nationales (en France, par la CNIL) se voit également renforcée par la disparition des déclarations préalables.
Rappelons aussi que toute violation du RGPD par le responsable du traitement ou son sous-traitant est susceptible de conduire à la réparation intégrale du préjudice subi par les personnes affectées. Ainsi, eu égard aux standards actuels, le niveau de protection des personnes et les risques liés à la gestion de données sont accrus.
Quelles solutions ? Quelle stratégie ? Que faire ? Il vous faut agir, et commencer par identifier les besoins de votre structure et vous poser les bonnes questions. Faut-il par exemple adapter vos conditions générales de vente B2C ? Modifier vos contrats de sous-traitance portant sur la gestion de données ? Changer vos pratiques internes et mettre en place de nouvelles procédures ? Etc. Le nombre de questions et de changements à apporter dépendent de votre entreprise.
Illustrons notre propos par un exemple concret. La vérification et l’encadrement des engagements de vos prestataires (« sous-traitants ») sont d’autant plus indispensables qu’ils participent pleinement de la mise en conformité de votre entreprise (en qualité de « responsable du traitement ») avec les exigences nouvelles du RGPD. Eu égard aux obligations nouvelles des sous-traitants, le contrat de sous-traitance devra désormais prévoir notamment les éléments suivants :
·         la ou les finalités du traitement (à ce jour, seule la nature des prestations confiées au sous-traitant y figure) ;
·         la nature des données traitées par le sous-traitant ;
·         le type de personnes concernées par la collecte et le ou les traitements ;
·         le sort des données gérées à l’expiration du contrat ;
·         les engagements pris par le sous-traitant en termes de traitement et de sécurité des données (le responsable du traitement est plus que jamais tenu de les définir) ;
·         les mesures garantissant la protection des données personnelles dès l’origine des projets de traitement, dite aussi privacy by design (principe complété par celui de security by default qui veut dire que, par défaut, seules pourront être collectées les données nécessaires pour assurer la finalité de chaque traitement envisagé) ;
·         l’obligation de créer et tenir à jour une documentation concernant les mesures (techniques et organisationnelles) destinées à sécuriser les données personnelles ;
·         la définition de la collaboration entre les parties, notamment pour la mise en œuvre des droits des personnes concernées et pour régir les relations des parties au contrat de sous-traitance avec les autorités de contrôle ;
·         les mesures d’urgence à adopter par les parties en cas de fuite de données…

Cet exemple n’est qu’un cas concret parmi d’autres à traiter en vue de la mise en conformité de votre entreprise avec le RGPD dans les douze semaines qui vous séparent de son entrée en vigueur ! Le plus important est de lancer ce chantier si cela n’est pas encore fait.

L’équipe d’avocats spécialisés de KOBALT se tient à votre disposition pour vous aider à redéfinir votre stratégie de protection des données traitées et vous assurer de la mise en conformité de votre entreprise.


Aucun commentaire:

Publier un commentaire