Rappel : Le nouveau règlement européen sur la protection des données personnelles (RGPD) entre en vigueur le 25 mai prochain. Il reste donc quatre mois pour se mettre en conformité avec les nouvelles exigences en matière de données personnelles.
Le RGPD allège les formalités à effectuer auprès de la CNIL en contrepartie d’une responsabilisation des professionnels via la minimisation de l’utilisation des données à caractère personnel et l’anticipation de ces sujets dès la conception des traitements. Dès lors que les données traitées concernent des résidents européens, le RGPD impose de nouvelles règles pour les responsables de traitement et leurs sous-traitants, et notamment :
- la tenue d’un registre de l’ensemble des traitements ;
- la mise en place de politiques internes de protection et de documentation des traitements de données ;
- la notification des violations de données dans les 72 heures ;
- la désignation d’un data privacy officer (DPO) dans certaines entreprises (notamment celles dont l’activité principale est le traitement de données à grande échelle) ;
- la réalisation d’études d’impact sur la vie privée pour certains traitements considérés comme « à risque ».
Les responsables de traitement doivent adapter l’ensemble de leurs contrats avec leurs sous-traitants (y compris leur hébergeur) afin de s’assurer que ceux-ci remplissent les garanties techniques et organisationnelles exigées par le RGPD. Le sous-traitant a, vis-à-vis du responsable de traitement, un devoir de coopération, d’assistance et de conseil dans l’application du RGPD.
Le RGPD crée également de nouveaux droits et renforce les droits existants des personnes concernées :
- le droit à la portabilité des données, qui suppose une procédure de traitement des demandes et un travail sur les formats de données afin de permettre leur lecture par d’autres sociétés concurrentes ;
- l’exigence d’un consentement renforcé notamment pour la protection des mineurs.
Concernant les sanctions, bien que graduées, celles-ci pourront atteindre 20 000 000 € ou 4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu. A noter qu’en cas de faute partagée entre le responsable de traitement et le sous-traitant, la responsabilité sera solidaire.
Notre recommandation : Voici les principales actions à entreprendre rapidement afin de se mettre en conformité avec le RGPD :
- Réalisation d’un audit interne afin d’identifier les données collectées, les traitements existants, les fondements de ces traitements, etc.
- Révision ou mise en place d’une politique de confidentialité des données ainsi que d’une charte d’utilisation des outils informatiques.
- Documentation des mesures en place pour respecter le RGPD : sécurité IT, procédures internes, etc.
- Formation des équipes et mise en œuvre de procédures de gestion de crise.
- Adaptation des contrats avec les sous-traitants afin de renforcer leurs obligations en la matière.
Contact référent : Mathilde Croze