Mise en conformité RGPD

Les principes directeurs

Le ton est donné dès l’article 5 du règlement. Cet article intitulé « Principes relatifs au traitement des données à caractère personnel » regroupe les principes directeurs applicables au traitement des données personnelles.
Ainsi, il est explicitement exposé que :

• Le traitement des données personnelles doit être licite, loyal et transparent. En d’autres termes, les personnes doivent être expressément informées de la raison pour laquelle leurs données sont traitées.
• Le traitement doit avoir une finalité déterminée, explicite et légitime. Il appartient donc au responsable de traitement de préciser la finalité recherchée lors de la mise en place du traitement. Ainsi donc, il n’est pas possible de se servir des données collectées aux fins de participation à un jeu concours en vue de l’envoi de publicité.

• La collecte doit être minimisée. Les données collectées doivent donc être strictement limitées à ce qui est nécessaire. À titre d’exemple, il n’est donc pas autorisé de collecter le numéro de sécurité sociale aux fins de livraison des commandes.
• Les données collectées doivent être exactes. Par conséquent, les données doivent être tenues à jour ce qui oblige, le cas échéant, à les rectifier et à les effacer.
• Les données doivent être collectées pour une durée strictement limitée dans le temps. Il n’est donc pas possible de conserver ad vitam eternam les données de vos clients.
• Les données doivent être traitées de façon sécurisée. Garant de l’intégrité et de la confidentialité des données qui lui sont confiées, le responsable de traitement – comprenez par-là, la personne qui décide de traiter les données – doit les traiter de façon à garantir leur sécurité.

Renforcement des droits des personnes

Le RGPD consacre pas moins de 13 articles aux droits des personnes, preuve s’il en est, de leur importance.

Ainsi, toute personne dont vous traitez les données personnelles – qu’il s’agisse de vos clients, de vos prospects, de vos fournisseurs et même, de vos salariés – est en droit de vous contacter afin de savoir dans quelle mesure ses données sont traitées (droit d’accès), d’obtenir leur correction (droit à la rectification) ou tout simplement, notamment pour les traitements fondés sur le consentement, leur effacement (droit à l’effacement).

Dans quelques cas – 4 très précisément –prévus par le RGPD, la personne dont les données sont traitées bénéficie également d’un droit à la limitation du traitement de ses données à caractère personnel. En pratique, cela signifie que le responsable de traitement ne pourra plus traiter les données mais qu’il devra toutefois les conserver.

Ce droit ne doit pas être confondu avec la faculté accordée à la personne dont les données sont traitées de s’opposer à tout moment à un traitement fondé soit sur une mission d’intérêt public soit sur l’intérêt légitime du responsable de traitement ou dont la finalité est la prospection commerciale (droit d’opposition). Dans ce cas précis, le traitement de la donnée ne sera plus autorisé sans toutefois que leur effacement soit exigé.

Par ailleurs, pour tout traitement fondé sur le consentement ou sur l’exécution d’un contrat ou de mesures précontractuelles et lorsque le traitement est effectué à l’aide de procédés automatisés, la personne dont les données sont traitées bénéficie d’un droit à la portabilité du traitement. Elle est ainsi fondée à demander à accéder à ses données afin que celles-ci soient transmises – parfois même directement par le responsable de traitement – à un tiers.

L’éventail des droits des personnes s’est donc considérablement élargi avec l’arrivée du RGPD.

Une mise en conformité impérative

L’entrée en vigueur du RGPD a de plus contraint les entités traitant des données personnelles à se responsabiliser dans leurs pratiques en les contraignant notamment à s’interroger sur leurs pratiques et à documenter leur propre conformité au règlement.

Exit donc les déclarations préalables auprès de la CNIL, chaque entreprise doit dorénavant s’assurer de la conformité du traitement mis en place et être en mesure de justifier la légalité du traitement en cas de contrôle des agents de la CNIL.

Ainsi, il appartient aux responsables de traitement de tenir un registre au sein duquel sera compilé et décrit l’intégralité des traitements mis en place.

Compte tenu de l’importance du traitement des données personnelles, le RGPD impose également qu’un contrat écrit soit conclu avec chacune des personnes qui traite pour le compte du responsable de traitement des données personnelles dont l’identité devra en outre figurer dans un registre spécifique dit « registre des sous-traitants ».

Pour veiller quotidiennement au respect des bonnes pratiques en matière de traitement des données à caractère personnel, le RGPD prévoit également que soit désigné un Délégué à la Protection des Données (dit « DPO » acronyme de sa désignation anglaise « Data Protection Officer »).

Cette désignation est notamment obligatoire pour les organismes et autorités publics, pour les entités réalisant un suivi régulier et systématique des personnes à grande échelle ainsi que pour celles traitant à grande échelle des données sensibles ou relatives à des condamnations pénales.

Tenue des registres, contractualisation, réponse aux demandes d’exercice de leurs droits par les personnes concernées, obligation de sécurité et autre analyse d’impact…telles sont les obligations qui pèsent dorénavant sur chaque entité traitant de la donnée personnelle.

Les avocats de Linkea peuvent vous accompagner à appréhender les nombreuses exigences du RGPD.