14 Mai Les nouveautés pour la protection des données personnelles
Le projet de loi relatif à la protection des données personnelles a été adopté en première lecture par l’Assemblée nationale et le Sénat. Ce projet de loi viendra modifier la loi « informatique et liberté du 6 janvier 1978 » et doit permettre de transposer en droit français d’un règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard des données à caractère personnel directement applicable au 25 mai 2018, d’une part, et une directive (UE) 2016/680 relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquête et de poursuites ou d’exécution de sanctions pénales, qui doit être transposée avant le 6 mai 2018 d’autre part.
Parler du RGPD c’est se référer au Règlement relatif à la protection des personnes physiques à l’égard des données à caractère personnel qui est applicable en droit interne à partir du 25 mai 2018 sans qu’une loi ait à le transposer.
Ce règlement vise à concilier la protection des données personnelles et le principe de la libre circulation de ces données.
Jusqu’à ce jour, la protection des données était assurée par la loi informatique et liberté (1978). Ce système de protection reposait en partie sur une logique d’accomplissement de « formalités préalables » (déclaration, autorisation, etc.) faite par les entreprises (au sens large) auprès de la CNIL.
Avec la directive, les organismes, entreprises privées ou publics, associations deviennent les acteurs et les responsables de la gestion de ces données à caractère personnel. Il leur appartient de s’assurer de la conformité de la donnée, tout au long du cycle de sa vie, sous le contrôle et avec l’accompagnement d’un « Délégué à la Protection des Données (DPD) » qui devra, dans certains cas, être obligatoirement désigné.
En contrepartie de la réduction du contrôle exercé jusqu’alors par la CNIL en amont, cette dernière voit ses pouvoirs de contrôle et de sanction renforcés.
Dans le même temps, le règlement renforce les droits des personnes et crée des nouveaux droits, comme le droit à la portabilité des données personnelles ou un droit à l’oubli propre pour les mineurs.
La mise en conformité avec le RGPD n’exige pas le même degré de ressources pour toutes les entreprises, selon également qu’il s’agisse d’organismes privés ou publics, mais aussi en fonction de leur cœur de métier, du volume de données à caractère personnel traité, du caractère sensible ou non de ces données, de l’existence ou non de sous-traitants, etc.
Si l’on peut résumer les apports de la directive par rapport à la loi de 1978, ils concernent :
– La légitimité du traitement de la donnée : Les données personnelles s’entendent par toutes informations relatives à une personne qui permettent son identification par un nom ou par toutes autres modalités. Ces informations portent aussi bien sur la vie privée de la personne, que sur sa vie professionnelle, ses habitudes de vie et de consommation, ses opinions, ses relations sociales…
La légitimité repose sur l’une des bases juridiques suivantes : le consentement de la personne, des obligations légales ou contractuelles, la sauvegarde de la vie humaine, l’intérêt public ou du responsable du traitement sous réserve de ne pas méconnaître le droit de liberté des personnes concernées.
– La transparence : la collecte des données doit être transparente et loyale. Le but de la directive est de donner aux personnes concernées par ces collectes, une information préalable complète et accessible.
– Le traitement doit répondre à une finalité déterminée et les données ne doivent être collectées que si elles sont pertinentes et nécessaires à la finalité déterminée : Se pose la question du devenir de la donnée et d’un traitement qui ne serait plus compatible avec sa finalité initiale. Ce traitement ultérieur peut être mis en place, sous réserve du consentement de la personne concernée.
– La donnée ne peut être conservée que pour un temps déterminé nécessaire à sa finalité. Le droit à l’oubli est renforcé et aménagé avec des nouveaux concepts, comme le droit à l’effacement, le droit au retrait du consentement, le droit à la limitation du traitement, le droit au déréférencement, le droit d’opposition au profilage à des fins de prospection commerciale. Le droit pour les personnes concernées d’être informées en cas de piratage ou de perte des données.
– La nécessité de garantir la sécurité des données par la mise en œuvre de certaines mesures organisationnelles au sein des entreprises, ce qui induit des changements pour les collecteurs de ces données, notamment en terme de responsabilité relative à la sécurité du traitement, d’obligation de désigner, dans certains cas (entreprises de plus de 250 salariés), un Délégué à la Protection des Données (DPD), d’obligation de tenir un registre de traitement.
Pour la mise en conformité dans des conditions optimales, il est préférable de désigner au sein de l’entreprise une personne dédiée en charge de celle-ci qui, à défaut, est le représentant légal. L’entreprise peut également faire le choix de sous-traiter cette prestation. Dans certains cas la désignation d’un Délégué à la Protection des Données (DPD) ou Data Protection Officer en anglais (DPO) est obligatoire.
C’est ce responsable qui va :
– recenser l’ensemble des catégories de données à caractère personnel collectées par l’entreprise (ex : listes des prospects, fichiers clients, registres des salariés) et des finalités correspondantes (ex : gestion de la relation client, gestion du personnel). En fonction des finalités identifiées, certaines obligations légales imposeront des mesures spécifiques. Le double des bulletins de paie des salariés doit par exemple être conservé par l’employeur pendant cinq ans (C. trav., art. L. 3243-4), ce qui dictera donc la durée de conservation de ces données.
-tenir à jour un registre des traitements qui permettra aux entreprises de justifier de leur conformité avec le RGPD, dans le cas de contrôle.
– former et informer le personnel pour maintenir un haut niveau de conformité.
Vous êtes donc en tant que chef d’entreprise directement concernés par cette directive. Au-delà des conséquences qu’elle engendre en terme d’organisation, elle vous oblige également à être particulièrement attentif au contenu de vos documents contractuels (conditions générales contractuelles, contrat de travail, contrats commerciaux.. ).