RGPD : mise en conformité obligatoire le 25 mai 2018

Le nouveau Règlement Général européen sur la Protection des Données personnelles (RGPD) est paru au Journal Officiel de l’Union européenne et entrera en application le 25 mai 2018. Les entreprises doivent donc se mettre en conformité au plus tard le 24 mai 2018. Mais dans quelles mesures ce règlement va-t-il s’appliquer aux entreprises françaises ?

Le RGPD a la volonté de renforcer le droit des personnes physiques, qui pourront plus facilement maîtriser leurs données personnelles, et de responsabiliser les acteurs traitant ses données.

L’idée défendue par le RGPD n’est pas nouvelle. En effet, l’Union européenne avait déjà érigé cet objectif de protection de données personnelles à travers des textes de portée plus générale comme la directive européenne n°95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Mais cette fois, l’Union européenne se dote d’un texte qui va servir de référence pour tous les pays membres. En effet, le choix de doter l’Union européenne d’un règlement et non plus d’une directive en ce domaine, est important.
Le règle est obligatoire et directement applicable dans tout État membre.

Tout l’enjeu pour les entreprises est de définir concrètement quelles sont leurs obligations afin de pouvoir se mettre en conformité dans les délais.

La désignation d’un délégué à la protection des données

Un délégué (interne ou externe à l’entreprise) sera désigné et sera chargé de vérifier la bonne application du règlement européen sur la protection des données au sein de l’entreprise.
Successeur du CIL (Correspondant Informatique et Libertés), le délégué à la protection des données sera l’interlocuteur privilégié de la CNIL et devra faire remonter les manquements qu’il constate. Mais il aura également un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement.
Cette désignation sera obligatoire dans tous les organismes « dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle » mais également ceux « dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions » ainsi que les autorités publiques.

Il sera donc obligatoire de laisser à la disposition du délégué à la protection des données les moyens pour mener à bien sa mission notamment en vérifiant qu’il possède les qualités professionnelles et les connaissances juridiques et informatiques nécessaires. Mais également en mettant à sa disposition les moyens matériels et ressources dont il a besoin.
La mise en place d’un tel référant a pour vocation d’établir des rapports de confiance entre les entités en renforçant la sécurité juridique et informatique.

La mise en conformité des entreprises en 6 étapes

Selon la CNIL, pour se préparer au mieux à la mise en place de ce règlement européen, il convient de respecter 6 étapes qui permettront aux entreprises de ne pas faire d’impasse et d’être en conformité dès mai 2018.

La première étape réside dans la désignation d’un délégué à la protection des données. Son rôle est primordial, il faut donc le choisir avec soin.
Le recensement du traitement de données personnelles par l’élaboration d’un tableau de bord ou d’un registre et la priorisation des actions au regard des risques que font peser le traitement sur les droits et les libertés des personnes concernées, constituent la deuxième et la troisième étape.
Il faudra ensuite gérer les risques et les organiser (mise en place de procédures internes pour faire face aux failles de sécurité, aux demandes de rectifications des données ou au changement de prestataire).
Enfin, la CNIL recommande de conserver les justificatifs de la mise en conformité afin, si nécessaire, de pouvoir prouver la bonne foi de l’entreprise.

Par exemple, il est recommandé aux entreprises de conserver les emails prouvant que Monsieur Martin ou Madame Dupont se sont abonnés à votre newsletter.

Ce processus de mise en conformité étant complexe, il est recommandé aux entreprises de ne pas attendre le dernier moment et de se pencher sur cette question dès aujourd’hui afin d’éviter les sanctions en cas de non conformité.