L’entrée en vigueur du Règlement européen 2016/679 refondant le régime de protection des données (RGPD) est prévu au 25 mai 2018.

La loi de transposition en droit interne qui doit remplacer l’actuelle loi informatique et libertés du 6 janvier 1978 (modifiée en août 2004) est toujours en attente de publication.

D’ores et déjà les responsables de traitement peuvent anticiper les principales difficultés de l’entrée en application de cette nouvelle règlementation en dressant une cartographie de leur système d’information.

En effet, en tout état de cause, les entreprises devront pouvoir renseigner la CNIL en cas de contrôle (les pouvoirs d’amende pouvant aller jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaire mondial, le plus élevé d’entre les deux étant retenu) sur les caractéristiques précises de leurs traitements de données à caractère personnel.

Plus encore il s’agit de profiter du délai restant avant l’entrée en application du nouveau règlement pour déclarer la conformité des traitements de données qui ne l’auraient pas été.

En effet les traitements régulièrement déclarés avant l’entrée en vigueur de la nouvelle règlementation bénéficieront d’un délai de trois de mise en conformité, contrairement à ce qui ne l’auront pas été.

Il s’agit dès maintenant de cibler les traitements de données les plus sensibles (soumis actuellement à autorisation préalable auprès de la CNIL), ou réalisés à grande échelle ; ces deux catégories de traitements sont en effet l’objet d’un encadrement juridique renforcé à compter du 25 mai 2018[i].

En contrepartie de la suppression de l’obligation de déclaration préalable à la CNIL, avancée majeure du RGPD, les responsables de traitements devront réaliser en priorité pour ces deux types de traitements des analyses d’impact sur la vie privée, dans le but de pré-constituer une documentation de conformité à la disposition des contrôleurs de la CNIL.

Cette analyse comporte un volet technique et juridique, puisqu’il s’agit d’analyser les menaces internes et externes potentielles sur un traitement de donnée et d’en tirer les conclusions : s’il s’agit d’un traitement de donnée dont le risque est élevé (par exemple avec un transfert hors de l’Union européenne vers un pays n’assurant pas une protection des données adéquate) alors il faudra quand même soumettre sa mise en œuvre à une autorisation préalable auprès la CNIL (sous conditions).

Il convient donc dès à présent d’analyser non seulement les traitements de données en interne mais également les flux de données hors de l’entreprise vers les sous-traitants (hébergeur en Cloud, prestataire informatique, etc.). Et de se faire communiquer si nécessaire les informations de mise en conformité du sous-traitant à la règlementation européenne.

En effet, une des grandes nouveautés du RGPD est la notion de responsabilité du responsable de traitement élargie à celle du sous-traitant en cas de manquement à l’obligation d’audit de ces derniers.

Par ailleurs, une réflexion approfondie doit être menée sur comment satisfaire aux nouvelles obligations d’information des personnes puisque de nouveaux droits sont créés et le principe du consentement préalable des personnes à l’utilisation de leurs données personnelles (y compris indirectes, comme l’adresse IP) renforcé.

De toute évidence, mieux vaut privilégier l’anonymisation des traitements et anticiper tant que c’est encore possible la désignation d’un Correspondant à la Protection des Données (jusqu’au 24 avril 2018) permettant de bénéficier de l’exonération de la déclaration préalable des traitements par rapport à la présente loi Informatique et Libertés, et se concentrer sur les traitements de données soumis actuellement à autorisation préalable.

Ce Correspondant aura vocation à être désigné Délégué à la Protection des Données en application du RGPD, autre dispositif phare rendu obligatoire pour les organismes publics et pour les entreprises ayant recours pour leur activité à des traitements de données soumis à analyse d’impact préalable (cf supra).

 

 

  1. [i]Il s’agit précisément :

- des organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Par exemple : les compagnies d'assurance ou les banques pour leurs fichiers clients, les opérateurs téléphoniques ou les fournisseurs d'accès internet.

- des organismes dont les activités de base les amènent à traiter à grande échelle des données dites "sensibles" (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale) ou relatives à des condamnations pénales et infractions.