La directive européenne relative au règlement général sur la protection des données (RGPD) n° 2016/679 du 27 février 2016 est applicable depuis le 25 mai 2018.

De quoi parle-t-on ?
Le RGPD concerne le traitement des données personnelles, à savoir, toute opération (collecte, enregistrement, transmission, destruction…) portant sur une information se rapportant à une personne physique identifiée ou identifiable. Et ce, à l’aide de procédés automatisés (informatique) ou non (dossiers papiers).

Quelles différences avec la loi française ?
De nombreux droits des personnes étaient déjà prévus dans la loi française modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Le RGPD va plus loin. Il renforce les droits et obligations. Il conduit à modifier la loi de 1978.

Qui est concerné ?
En premier lieu, tout responsable du traitement. Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement. En second lieu toute personne qui est amenée à traiter des données (recueil d’informations sur une personne, courrier, conservation d’informations, etc.).

Quels sont les risques en termes de responsabilité ?
Outre la responsabilité civile et pénale lié à une atteinte aux données personnelles, un responsable du traitement qui ne respecte pas le RGPD peut être soumis à des amendes, qui selon la situation et la gravité de la violation, peuvent atteindre 20 millions d'euros, et pour une entreprise, jusqu'à 4 % du chiffre d'affaires.

Quels sont les nouveaux droits créés par le RGPD ?
De nombreux droit étaient déjà existants. Certains sont renforcés : - Droit à l’information - Droit au consentement - Droit d’accès aux données - Droit à rectification - Droit à l’oubli - Droit à la limitation du traitement - Droit d’opposition au traitement de données - Droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (et limitation du recours au profilage) - Droit à la portabilité des données (nouveau) - Droit à être informé en cas de violation (nouveau) - Consentement des mineurs de moins de 16 ans (nouveau ; concerne les services de la société de l'information, le consentement est donné ou autorisé par le titulaire de la responsabilité parentale).

Quels sont les obligations du « responsable du traitement » ?
En complément de la mise en œuvre des droits, on peut citer : - Mettre en place des mesures techniques et organisationnelles pour assurer sa conformité au RGPD - Etablir un registre des activités de traitement qui remplace de fait la déclaration CNIL auparavant obligatoire. Une déclaration CNIL reste obligatoire dans certains cas seulement (ex : recherche). - Analyser l’impact d’un nouveau traitement de données s’il existe un risque élevé pour les droits et libertés des personnes physiques. - Notifier une violation de données à l’autorité compétente (ARS, CNIL selon les cas). - Etablir une convention avec ses sous-traitants qui traite des données à caractère personnel pour le compte du responsable du traitement. - Désigner un DPO dans certains cas : le DPO est chargé de veiller à l'application du RGPD (Data Protection Officer ou DPD, Délégué à la Protection des Données) ; il doit disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

Quel est l’intérêt d’un DPO ?
Le DPO est chargé de veiller à l'application du RGPD (Data Protection Officer ou DPD, Délégué à la Protection des Données). Tout établissement public et toute structure traitant à grande échelle des données sensibles -par exemple des données de santé- doit désigner un DPO. En dehors de ces cas de désignation obligatoire, désigner un DPO est encouragé par la CNIL. Le DPO doit être désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir ses missions (article 37). Ses missions sont les suivantes : a) Conseiller le responsable du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement sur les obligations qui leur incombent ; b) Contrôler le respect du RGPD, de l’application du droit du pays concerné et des règles internes du responsable du traitement ou du sous-traitant (dont la répartition des responsabilités, la sensibilisation et la formation du personnel et les audits) ; c) Dispenser des conseils, sur demande, en ce qui concerne l'analyse d'impact relative à la protection des données et vérifier son exécution ; d) Coopérer avec l'autorité de contrôle ; e) Faire office de point de contact avec l’autorité de contrôle (CNIL).

Pourquoi mettre en œuvre le RGPD ?
Il constitue une obligation légale de nature à prévenir certains risques juridiques. Il est aussi un indicateur du degré de sensibilisation, de respect et de responsabilité d’un acteur du traitement des données personnelles. Certains d’entre eux sont déjà sensibles à la protection des données. Mais ils devront évoluer dans leur approche et leurs pratiques. Car dans tous les cas des évolutions s’imposeront.

Le RGPD n’est-il pas déjà en place dans de nombreuses organisations ?
Plusieurs années seront sans doute nécessaires à la prise en compte de l’intégralité des obligations tirées du RGPD. Elle implique une politique de conception, d’organisation et de gestion des données. Et une mise en œuvre effective par l’ensemble des acteurs concernés. Par ailleurs, la mise en œuvre du RGPD ne fait que commencer pour de nombreux acteurs.

La mise en œuvre du RGPD est-elle rigoureuse ?
Il est probable que nous soyons en présence de plusieurs façons de faire : - ne pas appliquer le RGPD, - l’appliquer le plus tard possible, - faire mine de l’appliquer, en se contentant d’une démarche de façade, - croire qu’il est appliqué, alors par exemple que les personnes chargées du traitement des données ne sont ni informées, ni formées ; - mettre en œuvre sérieusement le RGPD, en y travaillant sur la durée.

C’est bien sûr cette dernière option que nous conseillons.