Le droit des données à caractère personnel a le vent en poupe !

Les faits d’actualité et polémiques se multiplient au fils des années. Par effet ricochet, les textes sur le droit des données personnelles foisonnent : accord entre l’Union Européenne et les Etats-Unis (le Privacy Shield), Règlement Général sur la Protection des Données personnelles (RGPD), en vigueur le 25 mai 2018, et droit national avec la loi pour la République Numérique, promulguée le 7 octobre 2016. A cette occasion, nous vous proposons de faire un point sur vos obligations en matière de traitement de données à caractère personnel.

 

  • Qu’est-ce qu’une donnée à caractère personnel ?

Il s’agit de « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. » Il s’agit par exemple des nom et prénom, photo ou vidéo permettant d’identifier la personne. Les données dites sensibles, dont la protection est renforcée, comme les données de santé par exemple.

 

  • Qu’est-ce qu’un traitement de données à caractère personnel ?

Il s’agit notamment de la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. Ainsi, le traitement est entendu de manière très large.

  • Ma société traite des données à caractère personnel: Quelles sont mes obligations ?

·       Recueillir le consentement des personnes concernées par le traitement

·       Agir dans la transparence en informant les personnes concernées sur le traitement mis en œuvre

·       Respecter les finalités du traitement, en ne faisant pas usage des données dans un autre but

·       Assurer la sécurité des données

·       Interdiction de les divulguer

·       Procéder à la déclaration de ses fichiers et traitements auprès de la CNIL (Commission nationale de l’Informatique et des Libertés).

 

  • Quelles obligations actuelles et futures ?

La législation actuelle prévoit plusieurs types de formalités à accomplir auprès de la CNIL de déclaration ou d’autorisation, selon le traitement et les données traités. Avec le règlement européen (RGPD), ces obligations de formalités sont allégées.

En contrepartie, le responsable de traitement des données personnelles et son sous-traitant doivent prendre les mesures utiles permettant de démontrer les diligences accomplies en matière de sécurité des données et le respect des droits des personnes concernées, notamment :

·     Démontrer à tout moment sa conformité avec les textes (« Accountability »).

·     Concevoir des fonctionnalités par défauts des produits, de sorte à collecter et traiter le moins de données possible (« Privacy by design »).

·     Tenir un registre des traitements mis en œuvre

·     Notifier les failles de sécurité à la CNIL

·     Adhérer à des codes de conduites et faire certifier son traitement

·     Désigner un délégué à la protection des droits

·     Effectuer une analyse d’impact sur la vie privée (pour la mise en place de traitement à risque).

Il est donc essentiel de mettre en place des mesures dès à présent.

La CNIL propose une méthodologie en 6 étapes  pour se conformer au règlement https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes

 

  • Des sanctions lourdes pour l’entreprise

Depuis la loi pour la République Numérique, le plafond maximal des sanctions de la CNIL passe de 150.000€ à 3 millions € en cas de non-respect des obligations à la Loi Informatiques et Libertés. Dès l’entrée en vigueur du RGPD en mai 2018, l’amende prononcée à l’encontre des entreprises défaillantes pourra être portée à 20 millions d’euros ou 4% du chiffre d’affaire de l’entreprise.

A noter que ces textes renforcent considérablement le droit des personnes et leurs accordent de nouveaux droits, tels que le droit à l’oubli.

NOTRE CONSEIL

Pensez à vérifier que votre entreprise est en conformité avec les textes et respecte ses obligations.

Le Cabinet OFFROY-FRANCES se tient à votre disposition pour vous accompagner.