Par Jean-Marin LEROUX-QUETEL
Docteur en droit
Avocat associé
Mise à jour du 26 avril 2018
Le règlement CE no 2016/679, dit “Règlement Général sur la Protection des Données (ou RGPD) constitue le texte de référence en matière de protection des données à caractère personnel.
Il s’impose à tous les professionnels collectant ce type de données.
Sont des données à caractère personnel toutes les informations relative à une personne physique identifiée ou identifiable. Ce sont par exemple le nom, le prénom et la photographie du visage, mais aussi les date et lieu de naissance, l’adresse du domicile, l’adresse électronique, l’adresse IP, le pseudonyme ou le numéro de téléphone, autant d’éléments qui peuvent être reliés à la personne par le recoupement d’informations que facilite le traitement automatisé des données.
Ce recoupement d’informations permet de constituer d’importantes bases de données dont l’existence fait craindre une atteinte aux libertés individuelles soit directement par l’entreprise collectrice, soit par un cessionnaire des données collectées ou encore du fait d’un piratage par un tiers desdites données.
L’objet du RGPD est de mettre en place à l’échelle de l’Union Européenne des mécanismes de protection des données individuelles.
A compter du 25 mai 2017, la Commission Nationale de l’Informatique et des Libertés (CNIL) en contrôlera le respect. Les sanctions peuvent être très lourdes (jusqu’à 4% du chiffre d’affaires annuel).
Je résumerai le règlement en trois objectifs : transparence, proportionnalité et sécurité.
La transparence repose sur une première idée simple: tout individu auprès de qui des données personnelles sont susceptibles d’être collectées doit être informé de l’existence de cette collecte mais également de son étendue ainsi que l’usage auquel elle est destinée de manière à ce qu’il y consente le cas échéant de manière éclairée.
La proportionnalité découle d’une seconde idée aussi simple et de bon sens: les données collectées doivent être en adéquation avec le but légitime poursuivi par l’entité collectrice. Il s’agit d’éviter la constitution de bases de données contenant des informations nominatives sans rapport avec le but poursuivi.
La sécurité des données collectées est le dernier élément de protection: il s’agit de s’assurer que les informations ne peuvent être acquises illégalement par un tiers. Il s’agit donc de s’assurer que des moyens suffisants sont mis en oeuvre pour éviter le piratage. Plus les données sont sensibles, plus les moyens doivent être importants.
Ce que la loi nouvelle impose aux entités collectrices, c’est de mettre en place des procédures internes tendant au respect de ces trois objectifs, mise en place dont il doit être justifié en cas de contrôle de la CNIL, avec dans certaines hypothèses l’obligation de désigner un Délégué à la Protection des Données (ou DPO).
La désignation d’un DPO est obligatoire lorsque l’activité de l’entreprise oblige à un suivi à grande échelle, régulier et systématique des personnes (par exemple les activités de transports ou bancaires) ou à traiter à grande échelle des données dites sensibles (données médicales, orientations sexuelles, convictions religieuses, etc.).
Le rôle du DPO est exprimé dans son intitulé : assurer la protection des données dans l’entité collectrice.
Ce peut être un salarié de l’entreprise ou une personne extérieure. La désignation d’un DPO, lorsqu’elle est facultative, est recommandée : c’est un gage de sérieux vis-à-vis des clients et partenaires de l’entreprise.
La protection des données ne peut être envisagée de manière statique. Le processus décrit ci-dessus doit être régulièrement reconduit, en particulier dès lors que la collecte de données évolue. Nous recommandons d’y procéder au moins une fois par an et une fois par semestre dans les secteurs sensibles.
De manière permanente, l’entreprise doit rester attentive à toute atteinte ou tout risque d’atteinte aux données personnelles : toute tentative de vol, tout vol de données ou tout accès par une personne non autorisée doit conduire à une information de la CNIL dans les 72 heures suivant la découverte de l’incident. Il en est de même en cas de perte ou de suppression par erreur de données dans des fichiers. Lorsque la violation des données crée un risque élevé d’atteinte pour les personnes. Celles-ci doivent en être immédiatement informées. Doivent être portées à leur connaissance les conséquences possibles de la violation.