Votre cabinet d'avocats franco-allemand à Mulhouse, Alsace

Le règlement EU 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus connu sous l’appellation Règlement Général sur la Protection des Données Personnelles ou RGPD, est entré en vigueur le 25 mai 2018.

La finalité du Règlement est de garantir à ces personnes une protection forte et générale lorsque leurs données personnelles sont traitées. A cet égard, des sanctions importantes sont prévues en cas de non-respect du RGPD, étant précisé que les personnes concernées ont un droit de réclamation auprès de la CNIL.

Il est important de savoir que le nombre des réclamations a littéralement explosé depuis l’entrée en vigueur du RGPD et que la mise en conformité devient donc urgente pour les entreprises et autres organismes.

Notre cabinet d'avocats dispose des compétences nécessaires pour planifier et accompagner la mise en conformité de votre organisme, que vous soyez une entreprise commerciale, une association ou une personne publique. Nous pouvons également assurer, pour vous, des formations aux principes du RGPD au sein de votre structure.

A la base, une mise en conformité supposera toujours

• de définir la ou les personnes en charge de la mise en conformité (et notamment un délégué à la protection des données personnelles si nécessaire) ;
• d’établir une cartographie de vos traitements de données personnelles ;
• d’établir un plan d’action en définissant les priorités;
• de procéder à un analyse de risques si des traitements à risques élevés sont identifiés (analyse d’impact) ;
• d’établir et de tenir à jour les documents nécessaires à la preuve de votre conformité.

Sauf à disposer de ressources importantes et qualifiées en interne, il sera difficile de parvenir à une mise en conformité sans faire appel à un conseil extérieur.

La notion couvre donc des données telles que le nom, le prénom, la nationalité, l’âge, le sexe, la religion, la date et le lieu de naissance, les coordonnées privées ou professionnelles, un relevé de temps de travail, un compte rendu d’entretien d’évaluation, des photos, des enregistrements audio, un numéro de sécurité sociale, les coordonnées bancaires, un curriculum vitae, les diplômes, des données de géolocalisation et une adresse IP ou d’autres témoins de connexion.
Le Règlement soumet certaines données, qualifiées de données sensibles, à un régime de protection renforcé.
Il s’agit effectivement des données à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, aux données génétiques, aux données biométriques, aux données de santé et aux données relatives à la vie ou à l’orientation sexuelle.

Il faut et il suffit que l’identification soit possible par des moyens raisonnables, à partir de l‘ensemble des données dont dispose ou auxquels peut avoir recours le Responsable du Traitement.

La notion de traitement au sens du Règlement est une notion très large.

Le traitement peut être automatisé ou non, ce qui inclut les données traitées sur support papier. Le traitement n’a donc pas à être complexe. Il faut et il suffit que la donnée soit, par exemple, simplement reçue, utilisée, enregistrée, transmise, classée, répertoriée, modifiée et/ou transformée.

Les données personnelles de personnes physiques traitées par les personnes morales dans le cadre ou à l’occasion de leur activité sont couvertes par les règles du Règlement.

La taille de l’entreprise, de la société, de l’organisme ou de la personne morale qui effectue le traitement est indifférente.

A titre d’exemple, la constitution d’un Registre des Traitements s’impose, quelle que soit la taille de l’entreprise ou de l’organisme concerné, à la seule condition que le traitement ne soit pas strictement occasionnel.

Les obligations issues du RGPD doivent être respectées, avec quelques adaptations, si le Responsable du Traitement est soumis au secret professionnel.

Il apparaît, bien au contraire, que les personnes soumises au secret professionnel devront veiller, tout particulièrement, au respect des obligations issues du RGPD puisqu’elles sont doublement garantes de la confidentialité des données confiées et souvent amenées à traiter des données sensibles.

Le Règlement s’applique, par principe, à toute personne qui assure le traitement de données personnelles, qu’elle soit de nature publique ou privée.

L’obligation de désigner un Délégué à la Protection des Données Personnelles s’impose, en particulier, à toute autorité ou organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle, c’est à dire agissant en vue de juger une affaire.

Lorsque le Responsable du Traitement collecte des données personnelles auprès d’une personne donnée, il faut qu’il informe cette personne, au moment où les données sont obtenues, sur

• l’identité et les coordonnées du responsable du traitement et, s’il existe, du délégué à la protection des données personnelles ;
• les finalités et la base juridique du traitement ;
• les données personnelles ou catégories de données personnelles concernées ;
• les destinataires ou catégorie de destinataires des données personnelles collectées ;
• la durée de conservation des données ;
• les droits de la personne concernée (accès, rectification, effacement, limitation, opposition, portabilité, réclamation) ;
• le droit de retirer son consentement, si le consentement est nécessaire au traitement ;
• le transfert éventuel des données vers un pays tiers ;
• l’existence éventuelle d’une prise de décision automatisée ;
• le caractère obligatoire ou non de la fourniture de l’information et les conséquences éventuelles de l’absence du refus de les fournir.

Cette information doit être concise, compréhensible et facilement accessible.

Sauf exceptions prévues par le RGPD et dans les conditions définies par ce Règlement, l’information doit également être fournie si les données personnelles ne sont pas collectées auprès de la personne concernée.

Le RGPD n’établit pas, par ailleurs, de distinction selon que les données personnelles ont été collectées à la demande du Responsable du Traitement ou sur la base d’une initiative propre de la personne concernée.

En tout état de cause, pour le traitement soit licite, il faut qu’il repose sur l’un des fondements prévus par le Règlement.

Il devra, par exemple et si le traitement porte sur des données personnelles qui ne sont pas données sensibles, répondre à une obligation légale, être nécessaire à l’exécution d’un contrat, être nécessaire à la sauvegarde d’intérêts vitaux, correspondre à l’exécution d’une mission de service public ou à un intérêt légitime identifié et proportionné.

A défaut de reposer sur l’un des fondements expressément visé par le Règlement, le traitement supposera le consentement de la personne concernée.

Le responsable du traitement doit, par ailleurs, veiller à ne collecter et à ne conserver que ce qui est indispensable au regard des finalités du traitement (principe de minimisation des données).

Il doit définir des durées de conservation et détruire ou effacer toutes les données dès qu’elles ne lui seront plus nécessaires au regard de la finalité du traitement (principe de limitation de la conservation).

Il doit assurer l’exactitude et la mise à jour des données collectées et prendre toute mesure utile à la préservation de leur intégrité et leur confidentialité.

Il doit aménager des procédures adéquates permettant à la personne concernée d’exercer ses droits d’accès, de rectification, d’effacement, de limitation ou d’opposition, de retirer son consentement ou de faire valoir la portabilité.

Les données personnelles doivent être protégées contre toute destruction, altération, modification, consultation ou appropriation indue.
Le Règlement impose clairement au Responsable de Traitement de mettre en oeuvre et de documenter la mise en place de mesures et de procédures de sécurité adéquates (cryptage, politique pertinente de gestion des mots de passe et codes d’accès, mise en place de sauvegardes suffisantes, mise en place et mise à jour des anti-virus et autres outils de protection…).

En cas de violation des données personnelles, une notification à la CNIL et aux personnes concernées est imposée ce qui peut avoir des conséquences catastrophiques en termes d’image et de réputation.

Il peut arriver que le traitement soit effectué par plusieurs personnes conjointement ou que le Responsable du traitement fasse appel à un sous-traitant qui assurera un traitement pour son compte.

Le Règlement prévoit, pour le cas d’un traitement conjoint, que les parties sont tenues de définir précisément leurs obligations respectives au regard du Règlement.

Le contrat conclu entre co-traitants ne fait néanmoins pas obstacle à ce que la personne concernée fasse valoir ses droits à l’encontre de chacun des responsables de traitement.

Le RGPD prévoit, dans le cas du sous-traitant, que le Responsable du Traitement doit signer, avec son sous-traitant, un contrat définissant la nature, la durée et la finalité du traitement, les données traitées, les personnes concernées ainsi que les obligations respectives.

De manière générale, le Responsable du Traitement doit s’assurer que le sous-traitant présente une organisation et des procédures lui permettant de satisfaire aux exigences du Règlement. Le Règlement impose ainsi d’identifier les personnes susceptibles de jouer un rôle de responsable conjoint ou de sous-traitant au regard du traitement des données personnelles, de les interroger sur leur conformité au Règlement et d’adapter les conditions contractuelles existantes.

La responsabilité vis-à-vis de la personne concernée incombe toujours aussi au Responsable de Traitement. Il lui appartient donc de vérifier que ses co-traitants et sous-traitants agissent conformément au Règlement.

Le RGPD prévoit clairement que la personne qui s’estime lésée peut former une réclamation auprès de la CNIL. La sanction d’une violation du RGPD pourra ainsi intervenir à l’initiative de toute personne concernée.

Si une certaine indulgence peut être attendue pour des entreprises ou organismes qui pourront justifier avoir engagé une démarche de mise en conformité, sans avoir atteint tous les objectifs, les sanctions seront, selon toute probabilité, sévères pour les entreprises ou organismes qui n’auront entrepris aucune démarche.
Au surplus, la CNIL est d’ores et déjà sévère en cas de violation des données personnelles liées à une inadéquation des dispositions et processus de sécurité.
En tout état de cause, il est clair que la sévérité des organismes de contrôle augmentera avec le temps.

Il est certain que la mise en conformité exige un investissement.Une analyse précise de l’activité de l’organisme ou de l’entreprise est indispensable.

Si l’investissement à réaliser variera fortement en fonction de l’activité exercée, des données collectées, des finalités et des modalités des traitements recensés, il n’en reste pas moins qu’un travail non négligeable sera, en tout état de cause, requis. L’accompagnement par un professionnel compétent sera souvent indispensable, à certains stades ou tout au long du processus. Il n’en reste pas moins que l’investissement ainsi réalisé contribuera

• à améliorer l’image et la réputation de l’entreprise ou de l’organisme concerné auprès du public, des clients, des prospects et/ou des collaborateurs en manifestant un profond respect des données personnelles confiées ;
• à optimiser la gestion des données personnelles en interne en minimisant leur volume, en favorisant leur tri, leur actualisation et leur classement ;
• à améliorer la sécurité des données, et par conséquent du fonctionnement de la société ou de l’organisme dans son ensemble, par un actualisation des mesures de sécurité mises en place, par la définition de plans de sauvegarde et une meilleure formation des collaborateurs ;
• à sécuriser l’activité de l’entreprise, de la société, de l’organisme ou de la personne concerné en la protégeant de réclamations et autres recours lourds de conséquences.

Le Délégué à la Protection des Données Personnelles (DPO) est associé à toutes les questions relatives à la protection des données personnelles, informe et conseille le Responsable de Traitement et ses collaborateurs, contrôle le respect du Règlement et coopère avec l’autorité de contrôle.

Il doit disposer des compétences, de l’indépendance et des ressources nécessaires à l’exercice de ses missions. Ses coordonnées doivent figurer dans l’information à donner à la personne concernée par le traitement de données personnelles. Dans le doute, il est préférable d’en désigner un que de ne pas en désigner.

En tout état de cause, il convient de documenter les éléments qui ont conduit à ne pas procéder à une désignation.

Le Règlement impose la désignation d’un Délégué à la Protection des Données Personnelles lorsque

• le traitement est effectué par une autorité publique ou un organisme public ;
• les activités de base du responsable du traitement consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
• les activités de base du responsable du traitement exige un traitement à grande échelle de données sensibles.

La notion de traitement à grande échelle demeure incertaine.

Il est indispensable de procéder à une information complète et adéquate des personnes concernées par la collecte de données personnelles. Le cas échéant, il conviendra de recueillir leur accord, pour les traitements qui ne peuvent pas se fonder sur une autre base juridique. Il est indispensable, à cet égard, de penser à mettre en conformité un site internet éventuel.

Un manquement à l’obligation d’information, respectivement le défaut de collecte du consentement, est très facile à constater.

Le Registre du Traitement s’impose dans tous les cas où le traitement n’est pas occasionnel, c'est-à-dire dans tous les cas où il n’est pas strictement ponctuel.
Un Registre de Traitement doit fournir la cartographie des traitements de données au sein de l'entreprise.
La détermination des destinataires du traitement, la définition des finalités du traitement, la détermination de la base juridique du traitement et/ou de la durée de conservation ainsi la description des mesures de sécurité prises sont délicates.
S’agissant d’un document public, il doit être rédigé avec soin.

L’analyse d’impact s’impose si le traitement engendre un risque élevé pour les droits et libertés des personnes au regard de la nature, de la portée, du contexte et des finalités du traitement.

A titre d’exemples, le Règlement cite :

• l’évaluation systématique et approfondie des aspects personnels fondée sur un traitement automatisé, tel le profilage, et sur la base desquelles des décisions ayant des effets juridiques ou d’autres effets significatifs sont prises ;
• un traitement à grande échelle de données sensibles ;
• la surveillance systématique à grande échelle d’une zone accessible au public.

Une telle analyse contient une évaluation de la nécessité et de la proportionnalité du traitement au regard de ses finalités, une évaluation des risques qu’il comporte pour les droits et libertés des personnes concernées ainsi qu’une description des mesures prises pour y faire face.
Elle doit, en principe, être réalisée avant le traitement.

Il est essentiel de s’assurer de la conformité au RGPD des sous-traitants auxquels le responsable du Traitement peut faire appel.
Un contrat conforme aux exigences du RGPD devra être rédigé et signé.
La situation est similaire en cas de co-traitance.
Une définition précise des obligations respectives et la vérification de la conformité au RGPD de l’activité du co-traitant devra être menée.