• Audit PI ou IP Due diligence
  • La Propriété Intellectuelle : un outil dans la lutte contre le cancer du sein
  • SOUDAN DU SUD – REOUVERTURE DES RESERVATIONS DE MARQUES
  • Musique et inventions : Ces objets qui ont permis de populariser la musique
  • LA MEDIATION EN PROPRIETE INTELLECTUELLE -  Avantages & Intérêts
  • Startups, financer vos brevets à moindre coût, c’est possible !
  • Intelligence Artificielle : Peut-on librement ré-entraîner un modèle d’IA distribué sous licence Open-source ?
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7

La protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, 

fait l'objet du RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 27 avril 2016, abrogeant la directive 95/46/CE.

Le RGPD (GDPR en anglais), dont vous trouverez le texte complet ici, a pour principal objet le renforcement du niveau de protection des données à caractère personnel, via l’accentuation de la responsabilité des entreprises collectrices/utilisatrices de ces données.

Ce règlement s’applique dans toute l’Union européenne depuis le 25 mai 2018. Aussi, les traitements déjà mis en œuvre doivent, depuis lors, être en conformité avec les dispositions du RGPD.

Certaines des dispositions du règlement sont en réalité déjà effectives en droit positif français depuis l’adoption de la Loi n°2016-1321 pour la République Numérique du 7 octobre 2016 (texte complet de la loi n°2016-1321 pour la République Numérique ici), laquelle a réformé la Loi Informatique et Liberté du 6 janvier 1978.

Quel que soit leur secteur d’activité, les entreprises doivent avoir à l’esprit la responsabilisation posée par le règlement RGPD et la mise en conformité autonome, en amont et tout au long de la durée de vie des traitements, et ainsi revoir leur processus interne à cet égard.

1. Effets sur le plan organisationnel et institutionnel du RGPD

  • Les entreprises sont en contact avec un « guichet unique», à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal » (l’autorité « chef de file »). En France, il s’agit de la CNIL .
  • Les autorités de protection nationales ont été regroupées au sein d’un Contrôleur européen de la protection des données (CEPD) lequel veille à l’application uniforme du droit et a ainsi vocation à remplacer l’actuel G291: les entreprises bénéficient ainsi d’un interlocuteur unique pour l’Union européenne lorsqu’elles mettent en œuvre des traitements transnationaux.

2. Consentement renforcé et transparence exigée

Le consentement de l’internaute dont les données sont collectées dans diverses bases de données (dont la protection est abordée ici), est au centre du règlement : les utilisateurs doivent être informés de l’usage de leurs données et doivent donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La matérialisation de ce consentement doit être claire.

La charge de la preuve du consentement incombe au Responsable de traitement.

3. La mise en place du RGPD entraîne de nouveaux droits pour les personnes physiques

Le droit à la portabilité des données : toute personne peut récupérer les données qu’elle a fournies, sous une forme réutilisable et les transférer ensuite à un tiers. Les personnes doivent ainsi pouvoir retrouver la maîtrise de leurs données.

Droit d’action des associations : les associations ont désormais la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.

Un droit à réparation des dommages : Toute personne ayant subi un dommage du fait de la violation du règlement, peut demander au Responsable du traitement ou au Sous-traitant une réparation du préjudice subi.

4. La conformité RGPD se traduit aussi par un allègement des formalités administratives et une responsabilisation des acteurs

Afin d’assurer une protection optimale des données personnelles qu’ils traitent, les Responsables de traitements et les Sous-traitants doivent mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (« accountability »).

Conséquences :

  • Suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
  • S’agissant des traitements soumis actuellement à autorisation, le régime d’autorisation peut être maintenu par le droit national (par exemple en matière de santé) ou être remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.

Aussi, apparition de nouveaux outils de conformité RGPD :

  • la tenue d’un registre des traitements mis en œuvre
  • la notification de failles de sécurité (aux autorités et personnes concernées)
  • la certification de traitements
  • l’adhésion à des codes de conduite
  • le Délégué à la Protection des Données (DPO) 
  • les Études d’Impact sur la Vie Privée (EIVP)

4.1 Les « Études d’Impact sur la Vie Privée » (EIVP ou PIA)

Pour tous les traitements à risquele Responsable de traitement doit conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées

  • Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques) et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques», c’est-à-dire notamment de profilage.

4.2 Changements concernant les transferts de données hors UE

Les Responsables de traitement et les Sous-traitants peuvent transférer des données hors UE à la condition d’encadrer ces transferts avec des outils assurant un niveau de protection suffisant et approprié des personnes.

En outre, les données transférées hors Union sont soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.

Ainsi, et hormis les transferts fondés sur une décision d’adéquation de la Commission Européenne, les Responsables de traitement et les Sous-traitants peuvent mettre en place :

  • des règles d’entreprises contraignantes (BCR) ;
  • des clauses contractuelles types approuvées par la Commission Européenne ;
  • des clauses contractuelles  adoptées par une autorité et  approuvées par la Commission européenne.

De nouveaux outils sont aussi prévus par le RGPD :

  • pour les Sous-traitants : la possibilité de mettre en place des règles d’entreprises contraignantes;
  • pour les autorités publiques : le recours à des accords contraignants;
  • pour les Responsables de traitement et les Sous-traitants : l’adhésion à des codes de conduite ou à un mécanisme de certification. Ces deux outils doivent contenir des engagements contraignants.

Enfin, une autorisation spécifique de la CNIL n’est plus requise.

5. Dans l'immédiat, la conformité avec le RGPD implique parfois la désignation obligatoire d'un délégué "DPO"

Les responsables de traitement et les Sous-traitants doivent obligatoirement désigner un délégué DPO :

  • s’ils appartiennent au secteur public,
  • si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
  • si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions

En dehors de ces cas, la désignation d’un délégué à la protection des données DPO est également possible (mutualisé ou externe).

Le délégué DPO est chargé : 

  • d’informer et de conseiller le Responsable de traitement ou le Sous-traitant, ainsi que ses employés ;
  • de contrôler le respect du règlement europée et du droit national en matière de protection des données ;
  • de conseiller l’organisme sur la réalisation d’une analyse d'impact (EIVP) et d’en vérifier l’exécution ;

de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.

6. Le règlement RGPD introduit un principe dit "de minimisation" a la charge des Responsables de traitement

Les Responsables de traitement (organismes qui déterminent les finalités et les modalités de traitement de données personnelles) doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut.

Ils doivent surtout veiller à limiter la quantité de données traitée dès le départ (principe de « minimisation »)

7. Obligations RGPD spécifiques aux sous-traitants

Ces obligations concernent tous les organismes qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation. Sont notamment concernés :

  • les prestataires de services informatiques (hébergement, maintenance, …),
  • les intégrateurs de logiciels,
  • les sociétés de sécurité informatique,
  • les entreprises de service du numérique ou anciennement sociétés de services et d'ingénierie en informatique (SSII) qui ont accès aux données,
  • les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients.

Ces sous-traitants :

  • doivent prendre en compte la protection des données dès la conception du service ou du produit et par défautet mettre en place des mesures permettant de garantir une protection optimale des données,
  • sont tenus de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability,
  • ont notamment une obligation de conseil auprès du Responsable de traitement pour la conformité à certaines obligations du règlement (EIVP, failles, sécurité, destruction des données, contribution aux audits),
  • doivent tenir un registre des activités de traitement effectuées pour le compte de leurs clients et désigner un DPO dans les mêmes conditions qu’un responsable de traitement.

8. Des sanctions renforcées en cas de non conformité au règlement RGPD

Les amendes administratives sont plus sévères : elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% à 4% du  chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

A cet égard, les Responsables de traitement et les Sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.

 

La ligne de conduite des entreprises doit donc être la suivante : s’assurer qu’elles disposent des outils et de la documentation qui leur permettront d’intégrer la nouvelle logique de leur responsabilisation et de respecter les nouveaux droits des utilisateurs dont les données sont collectées et traitées.

Leurs devoirs sont donc :

  • de vérifier que leurs activités de traitement sont soumises aux dispositions du règlement,
  • d'auditer leur processus actuel de protection des données,
  • d’encadrer par écrit leurs relations avec leurs partenaires commerciaux et/ou les entreprises du groupe,
  • de désigner si nécessaire un Délégué à la protection des données,
  • et de mettre en place - si besoin - un registre de traitements des données.

Une vidéo réalisée par notre cabinet présente en détails ces divers points.

Notre équipe peut naturellement vous aider sur tout ce qui touche aux lois régissant le web, les CGV, etc. Cette page décrit plus précisément notre intervention pour mettre votre société en conformité avec le RGPD.

Gwendal Barbaut et Anne Rossoux

Avocats à la Cour IPSIDE AVOCAT

Contactez nous
pour en savoir plus

Un numéro unique
0806 07 9292
Vous avez une question
Tous les bureaux