À partir du 25 mai 2018, les collectivités, entreprises et autres institutions administratives devront appliquer le règlement général relatif à la protection des données personnelles ou RGPD. Il s’agit du Règlement européen 2016/679/UE qui concerne la protection des personnes physiques vis-à-vis du traitement de leurs données personnelles ainsi que de la libre circulation de cette dernière. Les entreprises devront donc mettre en conformité leur traitement de données sous peine de subir des sanctions pécuniaires.
L’entrée en vigueur du RGPD
Le règlement sur la confidentialité des données qui est le RGPD deviendra applicable à partir du 25 mai 2018 sur tout le territoire de l’Union Européenne. Son principe réside dans le fait que les entreprises devront adopter une démarche responsable pour le traitement des données personnelles afin de respecter les obligations en matière de respect des droits de personnes, de transparence et de sécurité de traitement.
Elles devront ainsi mettre en conformité leur système de règlement des données personnelles et être à même de démontrer à une autorité de contrôle (la CNIL) qu’elles garantissent la confidentialité des données traitées. Pour cela, les sociétés commenceront par répertorier les données à caractère personnel utilisées, mais également formaliser un registre pour les activités de traitement. La plupart devront d’ailleurs se procurer d’un logiciel de traitement RGPD afin d’être sûrs de respecter les obligations du nouveau règlement général de la protection des données.
Le privacy by design et les amendes encourues
Dès lors que le règlement général de la protection des données sera applicable, la CNIL (autorité de contrôle nationale de la conformité du traitement des données) pourra prononcer des sanctions administratives aux entreprises en cas de non-respect des normes en vigueur :
- Non-respect des engagements imposés par le RGPD et les mesures concernant les codes de conduite et la certification : amende allant jusqu’à 10 millions € ou jusqu’à 2 % du chiffre d’affaires mondial de l’année précédente
- Non-respect des principes de base du règlement, des droits des personnes, des mesures nécessaires pour un transfert à l’étranger et des obligations relatives aux traitements particuliers : amende allant jusqu’à 20 millions € ou jusqu’à 4 % du chiffre d’affaires mondial de l’année précédente
Par ailleurs, le règlement introduit également le privacy by design, un principe qui oblige les entreprises à mettre en place des dispositions techniques et organisationnelles adaptées aux enjeux et droits des personnes dont elles traitent les données. Cela implique des mesures efficaces à partir de la détermination des logiciels de traitement et pendant le traitement des données en lui-même.
Une mise en place des outils de conformité indispensable
Afin de répondre à ces nouvelles attentes en matière de confidentialité des données, les entreprises devront donc commencer à se préparer à mettre en œuvre les mesures nécessaires pour être conformes au règlement :
- Rédaction d’une politique de confidentialité, de clauses (données à caractère personnel), de dispositif de sécurité
- Élaboration de mention informatique et libertés appropriées à la collecte effectuée
- Mise en place procédure interne et document-type pour veiller à la conformité des documents au droit applicable en matière de demande d’exercice du droit des personnes, de notification s’il y a violation des données et de gestion des réclamations.
Il faudra également que les entreprises mettent en place des outils indispensables pour répondre aux besoins de l’entreprise, en matière de conformité, le cas échéant :
- Création registre des activités de traitement des données
- Organisation juridique du transfert des données à l’étranger
- Mise en place d’un logiciel RGPD pour surveiller et traiter les données
- Mise en place d’un DPO ou Date protection officer qui reprend les attributions de l’actuel CIL
- Réalisation étude d’impact et limitation au strict minimum de la collecte des données
- Certification des traitements de données, etc.