Le RGPD bouleverse aussi la France
Contrairement à ce que l’on pourrait croire, le RGPD constitue aussi un bouleversement en France, modifiant la philosophie de notre système de protection des données personnelles et entraînant des modifications organisationnelles dans les entreprises et administrations.
Face à l’enjeu actuel que représentent les données personnelles, or noir du XXIe siècle, le règlement général sur la protection des données (Règlement UE n° 2016/679 du 27/04/2016, applicable au 25 mai 2018), encadre les modalités relatives au traitement des données personnelles pour harmoniser les réglementations des différents États membres de l’UE.
En France, fin de la déclaration préalable
En France, le régime de la déclaration préalable est remplacé par un système répressif.
Jusqu’au 25 mai 2018, les traitements automatisés de données nominatives doivent faire l’objet d’une déclaration à la CNIL, qui ne peut refuser de délivrer le récépissé du dépôt de déclaration si le dossier comporte l’engagement que le traitement satisfait aux exigences légales. Il y a une démarche du demandeur auprès de la CNIL, informée de l’existence des traitements et plus à même d’engager des poursuites ultérieures.
Au 25 mai, le régime répressif s’applique (le plus favorable aux libertés publiques malgré sa dénomination) et donne en amont une plus grande liberté aux acteurs pour créer des traitements de données nominatives sans aucune démarche, à charge de pouvoir justifier que les prescriptions du règlement sont respectées et d’y répondre en cas d’infractions. La CNIL ne sera plus informée mais pourra intervenir a posteriori pour sanctionner les responsables de traitement ne respectant pas le RGPD.
Changements d’organisation dans les entreprises et administrations
Le nouveau régime entraîne des réflexions et des ajustements organisationnels chez les acteurs concernés, qui doivent toujours pouvoir justifier avoir pris les mesures nécessaires pour respecter les principes de protection des données nominatives, dès la conception et par défaut : consentement des personnes, sécurité et intégrité des données, droit à l’effacement et à la portabilité, obtention préalable des garanties nécessaires au recours à des sous-traitants, etc.
Les responsables de traitement doivent ainsi prendre des mesures effectives de mise en œuvre des principes de protection pour démontrer, sur demande, que les mesures appropriées ont été prises, notamment :
• audits, internes et externes, des traitements existants et réalisation d’analyse d’impact sur la vie privée pour les traitements à risque
• procédures internes pour créer de nouvelles opérations de traitement incluant des processus de contrôle interne, d’évaluation et de traçabilité
• cartographie des procédures internes pour veiller au recensement des opérations de traitement des données
• processus de gestion de demandes d’accès, rectification et effacement au profit des personnes physiques concernées
• tenue d’un registre des traitements et d’une documentation interne
• procédure de supervision et vérification pour s’assurer que les mesures de protection sont effectives et notifier toute violation à l’autorité de contrôle
• formation du personnel à la sensibilisation et au traitement des données à caractère personnel.
Le système impose une organisation transversale : l’information doit circuler avec fluidité et être contrôlée pour éviter que chacun développe dans son coin des traitements de données nominatives non appréhendés par le Délégué à la protection des données.
La CNIL intervenant a posteriori, il est enfin important de disposer, en interne ou externe, de personnes qualifiées, aux plans juridique et technique, pour dialoguer avec elle.
Ces mesures permettront aussi, aux plans économique et éthique, de susciter la confiance des citoyens et consommateurs, actif essentiel à l’heure des réseaux sociaux.