blog
RGPD : PLUS QUE 6 MOIS POUR VOUS PREPARER !
7 décembre 2017

Le règlement européen n°2016/679 du 27 avril 2016 sur la protection des données personnelles (dit « RGDP ») sera applicable dans les Etats de l’Union Européenne à compter du 25 mai 2018.

La protection des données personnelles n’est pas nouvelle en France (la loi du 6 janvier 1978 fêtera bientôt ses 40 bougies) mais la réforme de la réglementation européenne apporte des changements significatifs et répond à plusieurs objectifs :

Renforcer les droits des personnes faisant l’objet d’un traitement ;

  • Responsabiliser les entreprises ;
  • Harmoniser les règlementations afin de lutter contre une transposition disparate de l’ancienne directive 95/46/CE ;
  • Renforcer les pouvoirs de sanction des autorités de contrôle.

 Que vous soyez responsable de traitement ou simple sous-traitant, il convient de vous préparer au plus vite.

 

 ***

1. Le RGDP, un champ d’application étendu

 A compter du 25 mai prochain, le RGDP s’appliquera non seulement aux entreprises établies dans l’Union Européenne mais également aux entreprises établies en dehors de l’Union qui auraient une activité en Europe ou qui cibleraient des résidents de l’UE par le profilage ou en leur proposant des produits ou services.

Si votre entreprise bénéficie d’établissements au Royaume Uni (ou que vous faites appels à des sous-traitants britanniques), sachez que le Royaume Uni reste un Etat-Membre jusqu’au 29 mars 2019 et qu’il sera donc soumis aux dispositions du RGDP jusqu’à cette date. Après sa sortie, l’autorité britannique de la protection des données personnelles (Information Commissioner’s Office – ICO) a d’ores et déjà indiqué qu’un niveau élevé de protection des données personnelles serait maintenu au Royaume-Uni.

2. Le respect de la vie privée comme norme de base (Privacy by design et Privacy by default)

Le respect de la vie privée devient un principe essentiel « dès la conception » et « par défaut ». A ce titre, le RGDP impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données, la charge de la preuve de l’information et du consentement préalable au traitement reposant sur le responsable du traitement.

Les entreprises auront également l’obligation de prendre en compte le risque pour la vie privée tout au long du processus d’élaboration d’un nouveau produit ou service et devront adopter des mécanismes permettant de s’assurer que, par défaut, seul un minimum de données personnelles est collecté, utilisé et conservé.

Attention : En cas de non-respect de la nouvelle règlementation, les autorités de contrôle pourront imposer des amendes pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial des sociétés en cause.

3. Mon entreprise doit-elle mener des études d’impact ?

Pour tous les traitements de données dit « à risque » (notamment pour les données sensibles ou les traitements utilisant la technique du profilage), vous devrez conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

En cas de risque élevé, la CNIL devra être consultée avant la mise en œuvre du traitement et pourra s’y opposer si le traitement n’offre pas des garanties suffisantes.

4. Le principe d’accountability ou la responsabilisation de l’entreprise

Le responsable du traitement devra mettre en place les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément aux principes posés par RGDP et ce, tout au long de la vie du traitement.

D’un point de vue pratique, il s’agira de construire une véritable « gouvernance des données » dans votre entreprise en mettant en place des process internes adaptés, en renforçant les mesures de sécurité des systèmes d’information et en adaptant vos politiques d’utilisation des données avec les utilisateurs et prestataires.

A noter qu’à compter du 25 mai prochain, les entreprises seront dispensées de formalités déclaratives auprès de la CNIL (à l’exception de certains types de données comme les données sensibles) mais devront toutefois tenir des registres de traitements de données. Les entreprises de moins de 250 salariés ne sont pas concernées par cette obligation sous réserve qu’elles n’effectuent des traitements qu’occasionnellement, ou que ces traitements ne comportent pas de « risque » ou ne portent pas sur des données sensibles.

Que devez-vous faire ?

  •  Interrogez-vous dès à présent sur les traitements mis en œuvre par vos entreprises et les process existants
  • Répertoriez vos contrats avec vos prestataires
  • Mettez à jour vos politiques d’utilisation des données clients BtoB et BtoC ;
  • Cartographiez vos systèmes informatiques et les mesures de sécurité mises en place pour éviter toute atteinte à vos systèmes d’information.

5. Le délégué à la protection des données (DPO) : mon entreprise est-elle concernée ?

La désignation d’un DPO sera obligatoire pour :

  •  Les autorités ou les organismes publics ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ; et
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est vivement encouragée par la CNIL.

Le DPO peut être interne ou externe à votre entreprise et peut être mutualisé pour plusieurs entités.

6. Les données personnelles de mon entreprise sont confiées à des prestataires externes, quels sont les risques pour mon entreprise ?

Si votre entreprise fait appel à des sous-traitants pour la gestion de son système d’information, de vos opérations marketing ou encore de la paie de vos salariés des précautions s’imposent désormais.

Le règlement étend en effet aux sous-traitants une large partie des obligations imposées aux responsables de traitement et impose avant tout la signature d’un contrat traitant du respect de la réglementation applicable aux données personnelles.

Les sous-traitants seront également soumis :

  • A des obligations spécifiques en matière de sécurité et en matière d’accountability;
  • A une obligation de conseil auprès des responsables de traitements pour la conformité à certaines obligations sur le RGDP (analyses d’impact sur la vie privée, failles, sécurité, destruction des données, contribution aux audits) ;
  • A l’obligation de tenir un registre et de désigner un délégué à la protection des données dans les mêmes conditions qu’un responsable de traitement.

Un conseil ? Dressez une liste des sous-traitants collectant, gérant et stockant vos données et pensez à mettre à jour vos contrats !

 

***

blog
RGPD : PLUS QUE 6 MOIS POUR VOUS PREPARER !
7 December 2017

Le règlement européen n°2016/679 du 27 avril 2016 sur la protection des données personnelles (dit « RGDP ») sera applicable dans les Etats de l’Union Européenne à compter du 25 mai 2018.

La protection des données personnelles n’est pas nouvelle en France (la loi du 6 janvier 1978 fêtera bientôt ses 40 bougies) mais la réforme de la réglementation européenne apporte des changements significatifs et répond à plusieurs objectifs :

Renforcer les droits des personnes faisant l’objet d’un traitement ;

  • Responsabiliser les entreprises ;
  • Harmoniser les règlementations afin de lutter contre une transposition disparate de l’ancienne directive 95/46/CE ;
  • Renforcer les pouvoirs de sanction des autorités de contrôle.

 Que vous soyez responsable de traitement ou simple sous-traitant, il convient de vous préparer au plus vite.

 

 ***

1. Le RGDP, un champ d’application étendu

 A compter du 25 mai prochain, le RGDP s’appliquera non seulement aux entreprises établies dans l’Union Européenne mais également aux entreprises établies en dehors de l’Union qui auraient une activité en Europe ou qui cibleraient des résidents de l’UE par le profilage ou en leur proposant des produits ou services.

Si votre entreprise bénéficie d’établissements au Royaume Uni (ou que vous faites appels à des sous-traitants britanniques), sachez que le Royaume Uni reste un Etat-Membre jusqu’au 29 mars 2019 et qu’il sera donc soumis aux dispositions du RGDP jusqu’à cette date. Après sa sortie, l’autorité britannique de la protection des données personnelles (Information Commissioner’s Office – ICO) a d’ores et déjà indiqué qu’un niveau élevé de protection des données personnelles serait maintenu au Royaume-Uni.

2. Le respect de la vie privée comme norme de base (Privacy by design et Privacy by default)

Le respect de la vie privée devient un principe essentiel « dès la conception » et « par défaut ». A ce titre, le RGDP impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données, la charge de la preuve de l’information et du consentement préalable au traitement reposant sur le responsable du traitement.

Les entreprises auront également l’obligation de prendre en compte le risque pour la vie privée tout au long du processus d’élaboration d’un nouveau produit ou service et devront adopter des mécanismes permettant de s’assurer que, par défaut, seul un minimum de données personnelles est collecté, utilisé et conservé.

Attention : En cas de non-respect de la nouvelle règlementation, les autorités de contrôle pourront imposer des amendes pouvant atteindre jusqu’à 4% du chiffre d’affaires mondial des sociétés en cause.

3. Mon entreprise doit-elle mener des études d’impact ?

Pour tous les traitements de données dit « à risque » (notamment pour les données sensibles ou les traitements utilisant la technique du profilage), vous devrez conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

En cas de risque élevé, la CNIL devra être consultée avant la mise en œuvre du traitement et pourra s’y opposer si le traitement n’offre pas des garanties suffisantes.

4. Le principe d’accountability ou la responsabilisation de l’entreprise

Le responsable du traitement devra mettre en place les mesures techniques et organisationnelles appropriées pour s’assurer et être en mesure de démontrer que le traitement est effectué conformément aux principes posés par RGDP et ce, tout au long de la vie du traitement.

D’un point de vue pratique, il s’agira de construire une véritable « gouvernance des données » dans votre entreprise en mettant en place des process internes adaptés, en renforçant les mesures de sécurité des systèmes d’information et en adaptant vos politiques d’utilisation des données avec les utilisateurs et prestataires.

A noter qu’à compter du 25 mai prochain, les entreprises seront dispensées de formalités déclaratives auprès de la CNIL (à l’exception de certains types de données comme les données sensibles) mais devront toutefois tenir des registres de traitements de données. Les entreprises de moins de 250 salariés ne sont pas concernées par cette obligation sous réserve qu’elles n’effectuent des traitements qu’occasionnellement, ou que ces traitements ne comportent pas de « risque » ou ne portent pas sur des données sensibles.

Que devez-vous faire ?

  •  Interrogez-vous dès à présent sur les traitements mis en œuvre par vos entreprises et les process existants
  • Répertoriez vos contrats avec vos prestataires
  • Mettez à jour vos politiques d’utilisation des données clients BtoB et BtoC ;
  • Cartographiez vos systèmes informatiques et les mesures de sécurité mises en place pour éviter toute atteinte à vos systèmes d’information.

5. Le délégué à la protection des données (DPO) : mon entreprise est-elle concernée ?

La désignation d’un DPO sera obligatoire pour :

  •  Les autorités ou les organismes publics ;
  • Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ; et
  • Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

En dehors des cas de désignation obligatoire, la désignation d’un délégué à la protection des données est vivement encouragée par la CNIL.

Le DPO peut être interne ou externe à votre entreprise et peut être mutualisé pour plusieurs entités.

6. Les données personnelles de mon entreprise sont confiées à des prestataires externes, quels sont les risques pour mon entreprise ?

Si votre entreprise fait appel à des sous-traitants pour la gestion de son système d’information, de vos opérations marketing ou encore de la paie de vos salariés des précautions s’imposent désormais.

Le règlement étend en effet aux sous-traitants une large partie des obligations imposées aux responsables de traitement et impose avant tout la signature d’un contrat traitant du respect de la réglementation applicable aux données personnelles.

Les sous-traitants seront également soumis :

  • A des obligations spécifiques en matière de sécurité et en matière d’accountability;
  • A une obligation de conseil auprès des responsables de traitements pour la conformité à certaines obligations sur le RGDP (analyses d’impact sur la vie privée, failles, sécurité, destruction des données, contribution aux audits) ;
  • A l’obligation de tenir un registre et de désigner un délégué à la protection des données dans les mêmes conditions qu’un responsable de traitement.

Un conseil ? Dressez une liste des sous-traitants collectant, gérant et stockant vos données et pensez à mettre à jour vos contrats !

 

***