Règlement sur les données personnelles : attention aux nouvelles obligations à respecter
03.06.2016
Gestion d'entreprise
Le règlement européen impose des obligations aux entreprises avant, pendant et après le traitement des données à caractère personnel. Présentation.
Dans moins de 2 ans, le 25 mai 2018, le nouveau règlement européen sur les données personnelles sera applicable aux entreprises. Un timing de mise en conformité réalisable si les entreprises se préparent dès maintenant. Pour les sensibiliser aux enjeux du texte publié début mai, une matinée était organisée par l’association Anvie mardi dernier.
Pour Henri Leben, avocat associé du cabinet Colbert, « l’entreprise devient acteur et régulateur dans la collecte des données ». Il poursuit : une personne morale ne pourra « collecter n’importe quelle donnée et elle aura aussi à accompagner la personne concernée dans la gestion de celle-ci ». Cette double fonction provient de son analyse des nouvelles obligations que le règlement imposera au responsable de traitement des données personnelles.
Pré-traitement : tenir un registre, faire une analyse d’impact et consulter une autorité de contrôle
La tenue d’un registre, la réalisation d’une analyse d’impact et l'organisation d'une consultation, préalablement à la mise en place d’un nouveau traitement, sont définies par le règlement. Ainsi, l’obligation de déclaration à la CNIL disparaît.
La tenue d’un registre des activités de traitement sera obligatoire pour les entreprises d’au moins 250 salariés, « sauf si le traitement est susceptible de comporter un risque pour les droits et libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur des catégories particulières de données » - sur l’origine raciale, ethnique, les opinions politiques, sur les condamnations pénales et les infractions, etc. (articles 30, 9 et 10). Les petites entreprises semblent ainsi exclues du dispositif. Toutefois, au vu des exceptions, une PME qui gère un site internet pourrait être concernée selon l'avocat. En tout état de cause, il recommande au plus grand nombre de tenir un registre, la preuve d' « un gage de sérieux ».
Deuxième obligation à laquelle un responsable de traitement devra répondre : celle de réaliser une analyse d’impact « lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies (…) est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques » (article 35). Là encore, le champ d’application de la mesure pourrait être assez large car le règlement ne définit pas les notions en cause, telle celle de « nouvelles technologies », souligne Henri Leben. Et dans le cas où l’analyse permet de conclure « que le traitement présenterait un risque élevé si le responsable de traitement ne prenait pas les mesures pour atténuer le risque », alors il devra consulter une autorité nationale de contrôle - la CNIL en France - avant de décliner le traitement (article 36). Les conséquences de cette consultation ne sont pas claires pour l’avocat « la CNIL pourra-t-elle interdire le traitement ou demander des mesures au responsable ? C’est assez flou ». Le règlement pourrait donc être porteur d’insécurité juridique pour les entreprises.
Au cours du traitement : s’assurer du consentement des utilisateurs
Pendant le traitement, l’entreprise devra recueillir le consentement de la personne concernée. C’est « une logique de démonstration », qu’il faudra mettre en place pour Henri Leben (articles 6 et 7). Car le consentement requiert un acte positif de la personne concernée. L’« opt in » ou la politique de la case à cocher, qui est parfois préconisée, est une solution qui montre néanmoins ses limites. « Les gens n’aiment pas cocher une case. Nous allons perdre des prospects », indiquent à Maître Leben certains de ses clients. Il conseille alors de mener une réflexion avec le département marketing pour se conformer au règlement sans altérer la stratégie commerciale de l’entreprise.
A noter, la validation du consentement dans le cadre du formulaire de collecte des données devra être séparée des mentions que peuvent contenir, sur ce sujet, les conditions générales d’utilisation d’un site (article 7.2).
Enfin, de nombreuses informations seront à fournir à la personne concernée au moment où les données sont obtenues. Une liste exhaustive est détaillée par le règlement (article 13). Elle mentionne, par exemple, l’identité du responsable du traitement, les coordonnées du futur data protection officer (DPO) (voir notre article), les finalités du traitement, les destinataires des données et un éventuel transfert de celles-ci vers un pays tiers, etc. La réalisation d’une liste à la Prévert à laquelle s’est prêté l’avocat, en rédigeant une clause longue d’une quinzaine de lignes, ce qui démontre « son côté absurde », estime-t-il. Des icônes offrant « une bonne vue d’ensemble, facilement visible, compréhensible et clairement lisible, du traitement prévu », pourront remplacer ces mentions (article 12).
Sans oublier les obligations post traitement
Après le traitement, de nombreux droits devront être garantis à la personne concernée. Celui d’avoir accès à ses données (article 15), de les rectifier (article 16), de demander à ce qu’elles soient effacées – le droit à l’oubli – (article 17), ou encore à la limitation de leur traitement ainsi qu’à leur portabilité (articles 18 et 19).
Si les entreprises ne se conforment pas aux dispositions du règlement, elles risquent une sanction financière très lourde, pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial.
Penser « privacy by design », oui mais comment ?
|
Au-delà de ces différentes obligations, l’entreprise aura à appréhender la donnée personnelle selon une nouvelle philosophie : celle du « privacy by design » (voir notre interview). C’est « l’intégration du respect de la vie privée dès la conception d’un produit ou d’une offre », précise Catherine Schultis, responsable du pôle Protection des données personnelles et CIL (correspondante informatique et libertés) du groupe Société Générale. Une obligation de faire qui découle de l’article 25 du règlement et qui impose l’identification et la mise en place de mesures techniques et organisationnelles pour assurer la protection de la donnée à caractère personnel. L’entreprise ne pourra donc être sanctionnée que si aucune démarche n’est entreprise en ce sens, sans qu’un résultat spécifique à atteindre ne lui soit imposé. Catherine Schultis recommande à l’entreprise de commencer par s’interroger. Notamment sur le bon moment pour entreprendre la démarche « privacy by design ». Faut-il intégrer le respect de la vie privée en amont des projets, en discuter au sein des comités de l’entreprise sur les nouveaux produits, dans le cadre de la conformité ou avant de choisir son partenaire ou son fournisseur ? Les questions restent sans réponse sauf la dernière qui semble se situer trop tardivement dans le process, selon la CIL de la Société Générale. Le « think privacy » commande également de s’interroger sur ceux ou celui qui sera en charge de cette nouvelle méthode de pensée. La fonction doit-elle être assurée par les juristes, les acheteurs, les responsables de la SSI (sécurité des systèmes d’information), le nouveau DPO ou par la conformité ? Là encore pas d’opinion tranchée. La dernière option ne semble, toutefois, pas la bonne. Car il existerait un risque de conflit d’intérêts selon Catherine Schultis, la conformité étant à la fois juge et partie au dispositif. Concrètement, une boîte à outils pourrait être développée par l’entreprise. Elle émet quelques idées. Proposer une systématisation des analyses d’impact, un questionnaire « privacy » à compléter par les soumissionnaires lors d’appel d’offres, ou un programme de sensibilisation via du e-learning, offert aux salariés de l’entreprise, constituent des moyens propres à insuffler le « privacy by design ». En tout état de cause, elle préconise la mise en place d’une véritable filière « données personnelles » au sein de l’entreprise, indépendante des autres services, voire du DPO, et qui conjuguerait les différentes expertises métiers de l’entreprise identifiées plus haut. |
|---|
Gestion d'entreprise
La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...
Vous aimerez aussi
Nos engagements
La meilleure actualisation du marché.
Notre savoir-faire : mettre à votre disposition des documentations et outils pratiques et mis à jour en permanence par nos équipes de rédaction.
En savoir plusUn accompagnement gratuit de qualité.
Réponse gratuite à toutes vos questions sur l'utilisation de nos produits. Toute l'équipe du service Relations Clientèle se tient à votre disposition au 01 83 10 10 10, de 9h à 18h en semaine, pour traiter l'ensemble de vos demandes.
En savoir plusUn éditeur de référence depuis 1947.
Créées en 1947 par Jean Sarrut, les Editions Législatives vous permettent de veiller, sélectionner, regrouper et commenter l’essentiel de l’actualité juridique. Avec le concept du Dictionnaire Permanent, c'est près d'une trentaine de disciplines qui sont couvertes dont le droit social, le droit des affaires, le droit européen des affaires...
En savoir plusDes moyens de paiement adaptés et sécurisés.
Nous vous proposons de régler vos commandes par chèque, virement, carte bancaire ou prélèvement en ligne SEPA ; pour les produits numériques, vous pouvez en outre bénéficier d'un règlement en 1 ou 12 fois.
En savoir plus