Se mettre en conformité
d’ici le 25 mai prochain avec le Règlement Général sur la Protection des
Données (RGPD) est encore possible !
Accroissement des droits
des personnes protégées. Le RGPD apporte des nouveautés importantes et
approfondit bon nombre de droits des personnes concernées, tels que le droit à
la portabilité des données personnelles, le « droit à l’oubli » ou le
droit de ne pas faire l’objet de profilages, et accroît les obligations de
sécurité et d’information du responsable du traitement et de son (ou ses)
sous-traitant(s).
Data Protection Officer et responsabilités accrues du responsable du traitement. Le
règlement européen modifie les relations entre responsable du traitement et
sous-traitant et transforme le correspondant informatique et libertés (CIL) en
« délégué à la protection des données » (DPO ou « Data Protection
Officer »). La contrepartie de l’allégement des formalités
administratives, c’est un poids accru de ce DPO
mais aussi de nouvelles responsabilités mises à la charge du responsable du
traitement (ex : étude d’impact sur la vie privée et notification des
failles de sécurité aux personnes concernées et aux autorités de contrôle).
Analyse d’impact. C’est
une dernière nouveauté. « L’analyse d’impact » évalue la nécessité et
l’absence du caractère excessif des traitements de données par rapport à leur
finalité. Toutefois, seuls les traitements « susceptibles d’engendrer un risque élevé pour les droits et libertés
des personnes physiques » l’exigeront.
Accroissement des
sanctions et des risques liés aux contrôles. Enfin,
de nouvelles amendes administratives et sanctions (notamment financières) voient
le jour en cas de violation. L’importance des contrôles a posteriori des autorités nationales (en France, par la CNIL) se
voit également renforcée par la disparition des déclarations préalables.
Rappelons aussi que toute violation du RGPD par le responsable du
traitement ou son sous-traitant est susceptible de conduire à la réparation
intégrale du préjudice subi par les personnes affectées. Ainsi, eu égard aux
standards actuels, le niveau de protection des personnes et les risques liés à
la gestion de données sont accrus.
Quelles solutions ?
Quelle stratégie ? Que faire ? Il vous
faut agir, et commencer par identifier les besoins de votre structure et vous
poser les bonnes questions. Faut-il par exemple adapter vos conditions générales
de vente B2C ? Modifier vos contrats de sous-traitance portant sur la
gestion de données ? Changer vos pratiques internes et mettre en place de
nouvelles procédures ? Etc. Le nombre de questions et de changements à apporter
dépendent de votre entreprise.
Illustrons notre propos par un
exemple concret. La vérification et
l’encadrement des engagements de vos prestataires
(« sous-traitants ») sont d’autant plus indispensables qu’ils
participent pleinement de la mise en conformité de votre entreprise (en qualité
de « responsable du traitement ») avec les exigences nouvelles du
RGPD. Eu égard aux obligations nouvelles des sous-traitants, le contrat de
sous-traitance devra désormais prévoir notamment les éléments suivants :
·
la ou les finalités du traitement (à ce jour, seule
la nature des prestations confiées au sous-traitant y figure) ;
·
la nature des données traitées par le sous-traitant ;
·
le type de personnes concernées par la collecte et
le ou les traitements ;
·
le sort des données gérées à l’expiration du
contrat ;
·
les engagements pris par le sous-traitant en termes
de traitement et de sécurité des données (le responsable du traitement est plus
que jamais tenu de les définir) ;
·
les mesures garantissant la protection des données
personnelles dès l’origine des projets de traitement, dite aussi privacy by
design (principe complété par celui de security by default qui veut dire que, par défaut, seules pourront
être collectées les données nécessaires pour assurer la finalité de chaque
traitement envisagé) ;
·
l’obligation de créer et tenir à jour une documentation
concernant les mesures (techniques et organisationnelles) destinées à sécuriser
les données personnelles ;
·
la définition de la collaboration entre les
parties, notamment pour la mise en œuvre des droits des personnes concernées et
pour régir les relations des parties au contrat de sous-traitance avec les
autorités de contrôle ;
·
les mesures d’urgence à adopter par les parties en
cas de fuite de données…
Cet exemple n’est qu’un
cas concret parmi d’autres à traiter en vue de la mise en conformité de votre
entreprise avec le RGPD dans les douze semaines qui vous séparent de son entrée
en vigueur ! Le plus important est de lancer ce chantier si cela n’est pas
encore fait.
L’équipe d’avocats
spécialisés de KOBALT se tient à votre disposition pour vous aider à redéfinir votre
stratégie de protection des données traitées et vous assurer de la mise en
conformité de votre entreprise.
Aucun commentaire:
Enregistrer un commentaire