Compliance & Règlement données à caractère personnel

Compliance & Règlement Données à caractère personnel

par Maria Lancri, Avocat à la Cour

Of Counsel - GGV Avocats à la Cour – Rechtsanwälte Paris

Le Règlement données personnelles (le « RGDP ») entrera en application le 25 mai 2018[1] pour remplacer la Directive 95/46/CE sur laquelle se fonde en grande partie la loi Informatique & Libertés dans sa version actuelle.

L’idée était de proposer un Règlement plutôt qu’une Directive afin de fournir un régime uniforme pour la protection des données à caractère personnel à travers le territoire de l’Union européenne et afin de moderniser la réglementation qui avait été établie à une époque où l’usage d’internet et du big data n’était encore que frémissant, pour ainsi renforcer la protection des personnes concernées dont les données à caractère personnel sont collectées.

Le RGDP, comme d’autres réglementations récentes, vient mettre à la charge des organismes collectant des données à caractère personnel l’obligation de démontrer leur conformité à tout moment et ce faisant, le Règlement présente un certain nombre de dispositions qui relèvent d’une démarche de Compliance permettant d’anticiper plutôt que d’intervenir en réaction lorsqu’une violation des règles se révèle.

A noter que le terme Compliance n’est pas employé dans le RGDP, c’est celui de responsabilité qui a été retenu en français, et d’accountability en anglais. Il s’agit de mettre en place des mesures techniques et organisationnelles afin de contrôler l’usage qui est fait des données à caractère personnel conformément aux finalités pour lesquelles l’autorisation avait été donnée par les personnes concernées et d’être en mesure de démontrer que ces contrôles ont bien été mis en place le cas échéant.

Le Règlement propose donc différents outils pour s’assurer de cette conformité :

• La nomination d’un DPO (Data Protection Officer) ou Délégué à la protection des données en français qui a un rôle majeur dans la mise en œuvre de la politique Compliance de l’entité. Toutefois, s’il doit contrôler la conformité avec le RGDP, le texte du Règlement et surtout les Guidelines récemment publiées par le G29[2] précisent que le responsable de traitement ou le sous-traitant demeurent responsables de la conformité avec la loi et doivent pouvoir le démontrer. Le DPO ne peut en effet accomplir ses missions que dans la mesure où les moyens nécessaires sont mis à sa disposition par le responsable de traitement ;
• La tenue d’un registre des traitements de données à caractère personnel, le système des déclarations étant supprimé, qui d’une part permet de constituer une base de données des traitements d’une entité, mais peut aussi être un véritable outil de centralisation et de suivi des démarches de conformité ;

• La mise en œuvre de traitements respectant les principes de protection de données dès l’origine et tout au long de leur utilisation : Privacy by Default, Privacy by Design et Privacy Impact Assessment) ;
• Le recours à des codes de conduite ou à des certifications ;
• La mise en place de procédures techniques, dont la procédure de gestion de crise…

Les entités soumises au Règlement, dont les entreprises, doivent donc mettre en place un véritable plans d’actions afin d’être en conformité avec les règles de traitement des données à caractère personnel prévues par ce texte, ce plan sera la phase nécessaire et initiale du programme de compliance de cette entité.

Le respect de ce texte est important non seulement parce que les sanctions ont été augmentées jusqu’à 4% du chiffre d’affaires pour certains manquements, mais aussi parce que la réputation d’une entreprise risque d’être fortement entachée en cas de « fuite » de données. On a déjà vu quelques exemples. Le plus marquant a conduit récemment Verizon à baisser drastiquement son offre de rachat des activités web de Yahoo.

Le RGDP publié en mai dernier entrera en application le 25 mai 2018. Il n’y a plus de temps à perdre.