En cette fin d’année, il est indispensable d’anticiper la nouvelle réglementation européenne portant sur la gestion des données personnelles. En vigueur à partir du 25 Mai 2018, toutes les entreprises de l’Union Européenne devront s’y conformer, dès lors qu’elles collectent et stockent des données personnelles. S’agissant d’un règlement, aucune transposition dans la loi nationale n’est nécessaire : il va s’appliquer tel quel dans tous les pays membres au mois de Mai.
Qui est concerné ?
Avec la Réglementation Générale sur la Protection des Données ce sont tous les citoyens européens qui pourront faire valoir les mêmes droits et garanties auprès de toute entreprise (au sein de l’UE ou non) qui collecterait leurs données personnelles.
Un enjeu considérable car il va falloir faire admettre ces nouvelles contraintes à toutes les typologies d’entreprises quel que soit leurs pays d’origine dès lors qu’elles collectent et traitent les données relatives à un citoyen issu de l’UE : TPE, PME, grosses sociétés, e-commerçants, fournisseurs de services SaaS, éditeurs de logiciels, applicatifs web ou tous dispositifs connectés etc. Secteurs privés et publics sont tous les deux concernés.
Avec ce nouveau règlement, les responsables de traitement de données et leurs sous-traitants font face aux mêmes obligations et sanctions en cas de non-respect du règlement. Jusqu’à maintenant, seuls les responsables étaient concernés mais avec le nouveau règlement, les obligations et sanctions sont étendues à tous les maillons du système de collecte et traitement des données personnelles.
Quels changements à envisager ?
Ce nouveau dispositif poursuit 3 objectifs principaux :
- Responsabiliser les acteurs qui traitent des données personnelles
- Consolider les droits des personnes, notamment des mineurs
- Renforcer la coopération entre les autorités de protections de données qui pourront adopter des dispositions et sanctions communes.
Le droit des personnes sera ainsi renforcé avec l’accroissement des notions de consentement et de transparence et de nouveaux droits.
Les informations relatives à la collecte et au traitement de données personnelles devront être clairement énoncées et facilement accessibles. Les utilisateurs doivent en principe donner leur accord pour le traitement de leurs données ou sinon ils doivent pouvoir s’y opposer. La matérialisation du consentement doit être tangible et non-ambiguë. Ce sera au responsable du traitement de données de prouver ce consentement en cas de litige.
Parmi les nouveaux droits offerts par ce règlement, on retrouve :
- Un renforcement des conditions pour les données concernant les mineurs de moins de 16 ans avec une notion de consentement renforcée qui exige le consentement explicite de l’autorité parentale. A l’âge adulte, l’enfant devra pouvoir accéder à l’ensemble de ses données, les modifier, retirer le consentement parental et tout faire effacer s’il le souhaite.
- De nouveaux droits comme la portabilité des données (une personne pourra récupérer ses données sous une forme réutilisable), le droit à la réparation des dommages moral ou matériel (si la violation du règlement engendre un dommage) et enfin le principe d’action collective (les recours collectifs seront désormais possibles comme pour les consommateurs).
Le règlement prévoit aussi un guichet unique avec un interlocuteur unique en matière de protections des données personnelles et notamment dans le cadre de traitement transnationaux. En cas de collecte et traitement concernant des citoyens de plusieurs états membres, les autorités de protection des données des différents Etats seront concernées et compétentes pour vérifier la conformité des traitements. Une réponse unique sera assurée par l’autorité chef de file en accord avec toutes les autorités concernées.
Le règlement repose sur une logique de conformité et responsabilise tous les acteurs.
Les responsables de traitement de données devront prévoir la protection des données dès la conception des produits et services concernés. Ils devront aussi limiter la quantité de données traitées dès le départ.
Responsables et sous-traitants devront à tout moment pouvoir prouver qu’ils traitent les données avec des mesures de protection appropriées. Le règlement signe ainsi la fin des obligations déclaratives si le traitement des données ne constitue pas un risque pour la vie privée des personnes concernées. Toutefois l’entreprise devra prévoir de nouveaux outils de conformité, parmi lesquels, un registre des traitements mis en œuvre, la notification des failles de sécurité, la preuve d’adhésion à un code de conduite ou encore des études d’impact sur la vie privée.
En effet, pour tout traitement à risque, le responsable de la collecte de données devra mener une étude d’impact complète avec les caractéristiques détaillées du traitement ainsi que les risques encourus et les solutions envisagées. En cas de risque élevé, l’entreprise est tenue de consulter l’autorité de protection des données de son pays avant mise en œuvre du traitement.
Dès lors qu’il y a collecte de données, un Délégué à la Protection des Données (DPO) devra être nommé obligatoirement :
- Si l’activité du responsable de collecte et traitement est dans le secteur public
- Si l’activité conduit à réaliser un suivi régulier et systématique des personnes à grande échelle
- Si l’activité impose le traitement à grande échelle de données dites sensibles ou relatives à des condamnation pénales et infractions.
Dans les autres cas, la nomination d’un délégué est possible mais pas obligatoire.
Chef d’orchestre de la conformité, il a pour mission :
- D’informer et conseiller,
- De contrôler le respect du règlement européen et national en matière de protection des données,
- D’encadrer les réalisations d’analyse d’impact,
- De coopérer avec l’autorité de contrôle en étant le point de contact privilégié.
Enfin, le règlement encadre aussi les transferts de données hors UE. Responsables et sous-traitants doivent faire preuve d’un niveau de protection suffisant et approprié pour ces données. Le texte prévoit aussi que ces données même hors UE restent soumises au droit de l’UE. Les entreprises concernées devront ainsi prévoir des règles et clauses contractuelles adéquates. A noter qu’une autorisation spécifique de l’autorité de protection des données n’est plus requise.
Quelles sanctions en cas de non-respect du règlement ?
L’ensemble des acteurs de la collecte et du traitement sont visés par le règlement et ses sanctions. Ainsi, le représentant légal de l’entreprise responsable du traitement des données est tenu pour responsable en cas de sanction. Point de contact de l’autorité de contrôle, c’est lui qui est consulté sur toutes les questions relatives aux traitements des données. Mais il n’est plus le seul responsable, le sous-traitant est aussi tenu de respecter les obligations en matières de sécurité et de confidentialité des données, notamment. Il a aussi une obligation de conseil auprès de la structure responsable du traitement.
Les sanctions seront envisagées au cas par cas par les autorités de protection de données. Ces sanctions, graduées et encadrées, seront avant tout administratives mais peuvent aussi aller jusqu’à l’amende.
Voici le panel des principales sanctions encourues :
- Avertissement
- Mise en demeure
- Limiter ou stopper un traitement de données
- Suspendre un flux de données
- Ordonner la rectification, la limitation ou l’effacement des données.
- Retirer la certification délivrée pour l’usage des nouveaux outils de conformité
- Les amendes peuvent s’élever jusqu’à 10 à 20 millions d’euros et pour les entreprises aller de 2% à 4% du chiffre d’affaire annuel mondial.
Quels défis pour les PME ?
Ce nouveau règlement impose donc à toutes les entreprises de mieux gérer et sécuriser les données personnelles collectées au sein de l’entreprise. Il ne vous reste que 6 mois pour vous préparer et faire face à 2 challenges majeurs :
- Un véritable changement de philosophie : il va falloir intégrer la protection de données dès la conception. C’est la fin d’un système purement déclaratif pour migrer vers un système qui intègre la protection des données en continu. Sécurisation des données, traçabilité, archivages, process de crise, études d’impact… Tout doit être anticipé et intégré au système de collecte et de traitement des données.
- Des délais très courts : si plusieurs entreprises ont déjà anticipé les changements, d’autres prennent juste conscience du sujet. En tant que PME, sans service dédié, les temps de mises en œuvre peuvent être plus longs, c’est pourquoi, il faut vous préoccuper de la question dès maintenant. Même si le règlement est moins contraignant, des ajustements sont toutefois nécessaires.
En plus du « simple » respect du règlement, il vous faut donc adopter dès à présent les bons réflexes car ces éléments seront vérifiés et exigés en cas de levée de fonds, d’audit ou revente et vous devrez en faire la preuve.
Et pour vous faciliter sa mise en œuvre, profitez des conseils en 6 étapes de la CNIL : https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Pour les entreprises suisses, nous vous invitons à consulter le document de référence suisse :
Et Storhy, dans tout ça ? Un nouveau partenariat avec DPO Consulting !
Adequasys, éditeur et intégrateur de Storhy, prend très à cœur le sujet du GDPR et annonce un nouveau partenariat avec le cabinet spécialé en GDPR, DPO Consulting. Ce partenaire audite actuellement la solution Storhy, et nous fournira tous les axes d’amélioration de la solution pour qu’elle assure la conformité au règlement d’ici mai 2018.