Le Règlement Général pour la Protection des Données (RGPD) entre en vigueur le 25 mai prochain et a pour vocation de remplacer et d’harmoniser la législation sur la protection des données personnelles dans toute l’Union européenne. Les entreprises ont eu deux ans pour s’y préparer et il serait risqué d’espérer un délai de grâce de la part des autorités de contrôle d’autant que les sanctions peuvent aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.
En renforçant certains droits des individus, et en leur donnant une meilleure visibilité et un plus large contrôle sur leurs données, le RGPD innove également dans sa dynamique de responsabilisation des entreprises qui doivent par elles mêmes s’assurer de leur conformité aux règles de protection des données qui leur sont désormais applicables. Autre dimension, elles doivent, et ce tant qu’elles détiennent des données personnelles pouvant directement ou indirectement permettre d’identifier un individu, pouvoir apporter la preuve d’avoir mis en œuvre les moyens qui leur permettent d’en assurer la protection.
Une des nouveautés du RGDP est d’exiger la tenue d’un registre recensant l’ensemble des données collectées, leur finalité, les catégories de données traitées et la durée de leur conservation. La responsabilisation des entreprises passe également par l’application du principe de minimisation, c’est-à-dire limiter la collecte aux données strictement nécessaires à l’objet du traitement, l’obligation de recueillir lorsque c’est nécessaire le consentement pour chaque type d’usage, ou encore de concevoir ses outils, ses services ou ses logiciels de façon à intégrer dès leur conception la notion de protection de la vie privée.
La plupart des formalités, que ce soient les déclarations ou les demandes d’autorisation auprès de la CNIL, disparaissent au profit d’une logique de conformité continue. En contrepartie de la réduction des contrôles a priori, le pouvoir de sanction des autorités de régulation a été très considérablement étendu par rapport à ce qui existait auparavant.
De lourdes sanctions dissuasives
Dès l’entrée en vigueur du règlement, les entreprises encourent des amendes administratives qui ont été prévues pour être dissuasives et qui peuvent monter jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’exercice précédent, le montant retenu étant le plus élevé des deux. C’est ce qui est prévu pour des manquements aux principes de base de la gestion de données, comme l’absence de consentement de traitement des données ou de base légale pour le faire, le non respect des droits individuels, la violation des règles sur le transfert des données, notamment. Un autre palier est prévu, à hauteur de 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour des infractions plus spécifiques (absence de registre de traitement des données personnelles, absence de notification dans les délais d’une faille de sécurité entraînant la perte de données, etc.)
Evidemment, il s’agit de sanctions maximales et le règlement précise bien que les autorités de contrôle – la CNIL en France – doivent tenir compte des circonstances pour établir des sanctions proportionnées (nature et gravité de la violation, nombre de personnes affectées, caractère intentionnel ou non de l’infraction, actions mises en œuvre pour prévenir ou limiter les dommages, coopération avec les autorités de contrôle, absence de précédente condamnation, respect des règles de conduite ou de différentes certifications, etc.). Il n’en demeure pas moins que l’Union européenne réaffirme ainsi son attachement à la protection des données et donne aux autorités de contrôle la possibilité de sanctionner lourdement tout manquement.
Comment se préparer ?
Toute entreprise qui détient des données personnelles doit se poser la question de sa conformité au règlement. Evidemment l’enjeu n’est pas le même pour une PME de 10 personnes qui n’a guère que ses fichiers du personnel et clients à considérer que pour une entreprise comme ADP qui traite plus de trois millions de fiches de paie en France tous les mois.
La première chose à faire est d’analyser les exigences du RGPD et de déterminer dans quelle mesure elles peuvent avoir un impact sur l’entreprise. L’étape suivante, qui est cruciale, consistera à faire un point de l’ensemble des processus existants pour le traitement des données et d’en cartographier les flux internes ou confiés à des sous-traitants. Il faudra ensuite développer un plan d’action et ce d’autant plus si des lacunes ont été identifiées, en veillant à y impliquer toutes les parties concernées : les équipes juridiques et/ou de conformité, les ressources humaines, les services informatiques, le marketing, les commerciaux, les équipes en charge du web, etc.
Une partie essentielle de la conformité avec le RGPD passe par l’enregistrement des actions de traitement des données personnelles dans le registre prévu à cet effet. Un test des procédures envisagées sera sans doute utile aux entreprises pour s’assurer de leur capacité à respecter ces règles et pouvoir, notamment, répondre à des demandes telles que l’application du « droit à l’oubli »- c’est à dire l’effacement des données -, qui pourrait être exercé par des clients ou des collaborateurs.
Ceci n’exclut bien entendu pas la mise en place d’un programme de gouvernance des données car l’objectif principal du règlement est de responsabiliser les entreprises. Elles devront, à ce titre, pouvoir démontrer leur conformité à tout moment, ce que les régulateurs de chaque pays pourront contrôler via des enquêtes ou des audits qui jugeront des efforts consentis par l’entreprise.
Autre nouveauté, les entreprises qui traient des volumes importants de données doivent nommer un Délégué à la Protection des Données (DPO), qui sera l’interlocuteur de l’autorité de contrôle. Cette fonction n’est pas obligatoire pour toutes les entreprises mais néanmoins nécessaire pour toutes celles qui gèrent des quantités importantes de données personnelles ou des données sensibles. A noter que ce rôle, qui est souvent à mi-chemin entre la direction juridique et la DSI, ne doit pas obligatoirement être confié à un salarié de l’entreprise et on peut imaginer un cabinet d’avocats spécialisés ou encore un consultant extérieur pour cette fonction, à condition de lui donner accès à l’ensemble des informations et les moyens d’effectuer complètement sa mission, qui vise à mieux sécuriser les données détenues ou traitées par l’entreprise.
Que faire en cas d’atteinte aux données ?
Le RGPD formalise, pour toutes les entreprises, des obligations de transparence et d’information. En cas de violation de données à caractère personnel, le responsable du traitement doit le notifier dans les meilleurs délais, et au plus tard dans les 72 heures, à l’autorité de contrôle sous peine d’une sanction pouvant se monter à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
Si c’est un sous-traitant qui y est confronté, il a l’obligation d’en informer son client dans les meilleurs délais et dans ce cas les 72 heures courent à partir du moment où ce dernier en a connaissance. Il est important dans ce contexte, et sachant que la responsabilité d’un non respect du règlement peut être partagée, de vérifier en amont l’aptitude de son fournisseur à se conformer au RGPD, tout comme de s’assurer de sa solidité financière, les sanctions potentielles étant tout sauf symboliques.
Dans le cas d’une violation de données personnelles, à la suite par exemple d’une intrusion informatique, les autorités de contrôle, avant d’appliquer toute sanction, examineront les précautions qui ont été prises pour assurer la sécurité des données concernées. Le RGPD recommande notamment aux entreprises de les crypter, de les « pseudonymiser » ou encore de mettre en place des outils de détection des failles de sécurité. Il est difficile de préjuger de la position que prendront les autorités de contrôle telles que la CNIL, mais il semble très difficile de pouvoir éviter les sanctions si une entreprise décidait de négliger les exigences de sécurité des données.
C’est pourquoi toutes les organisations doivent impérativement se mettre en conformité et s’assurer que leurs sous-traitants le sont aussi.