RGPD : tout savoir pour mettre son entreprise en conformité
À compter du 25 mai 2018, tout organisme exploitant des données personnelles de personnes résidant sur le territoire européen devra se conformer au Règlement général sur la protection des données personnelles. Voici un dossier pour vous accompagner dans votre démarche de mise en conformité.
Adopté par le Conseil de l'Europe et par le Parlement européen en avril 2016, le Règlement général sur la protection des données personnelles a été publié le 4 mai 2016 dans le Journal officiel de l'Union européenne.
La conformité, c'est maintenant !
D'application immédiate dans l'ensemble des États-membres, ce texte vise à harmoniser et mettre à jour les pratiques de protection des données personnelles dans l'Union européenne. Entré en vigueur le 24 mai 2016,le règlement prévoit toutefois un délai de 2 ans permettant aux entreprises de se mettre en conformité. Passé le 25 mai 2018, toutes les organisations traitant des données personnelles de personnes résidant sur le territoire européen, qu'elles soient publiques ou privées, devront se conformer à ce règlement. Et être en mesure d'en apporter la preuve !
S'agissant d'un règlement et non d'une directive, le texte ne nécessite pas de transposition en droit national. Cependant, certaines dispositions de droit propres à chaque État-membre, incompatibles ou redondantes avec le RGPD, doivent faire l'objet d'une adaptation ou d'une abrogation. En France, l'Assemblée nationale a ainsi adopté en février 2018 un projet de loi sur la protection des données personnelles, permettant l'adaptation des lois françaises au RGPD. Le Parlement a définitivement adopté le projet de loi relatif à la protection des données personnelles le 14 mai 2018. Deux jours après, au moins 60 sénateurs ont saisi le Conseil constitutionnel au sujet de cette loi.
Par ailleurs, le G29, groupe de travail réunissant les "Cnil" européennes, publie régulièrement des lignes directrices afin de clarifier certains points du nouveau règlement.
De nouvelles obligations, mais pas que...
Il n'en reste pas moins que les entreprises doivent d'ores et déjà se préparer à l'application des nouvelles règles qui encadrent la protection des données personnelles. Pour celles qui veillaient déjà à la sécurité des données personnelles dont elles disposent, le RGPD ne sera qu'une nouvelle étape à franchir. En effet, le règlement s'inscrit dans la continuité de la Loi informatique et libertés de 1978 et de la directive européenne95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. La majorité des obligations présentées par le RGPD devraient donc déjà être en application chez les responsables de traitement !
Parmi les nouveautés introduites par le règlement :
- L'accountability : désormais, tout organisme traitant des données personnelles doit pouvoir apporter la preuve, à tout moment, qu'il protège ces données de manière optimale. Ainsi, la plupart des déclarations de traitement adressées à la Cnil n'auront plus lieu d'être.
- Le principe de coresponsabilité entre sous-traitant et responsable du traitement.
- La démarche de privacy by design, qui impose de prévoir l'identification des données personnelles et de limiter leur accès dès la conception des outils de traitement.
- La démarche de security by default, qui implique, là aussi dès la conception des outils, d'intégrer la protection et la discrimination des données selon les traitements prévus.
- La désignation, dans certains cas, d'un DPO (data protection officer).
D'autres aspects, comme le recueil du consentement, la création d'un registre des traitements, le droit à l'effacement ou encore la limitation de la conservation des données, font l'objet de nouvelles dispositions. Ce dossier complet vous aidera à faire le point sur vos obligations et à mieux appréhender votre mise en conformité au RGPD.
