Protection des données personnelles : les entreprises appelées à se préparer au respect de nouvelles règles

Adopté le 14 avril 2016, le règlement européen sur la protection des données (RGDP) entrera en application le 25 mai 2018. Ce texte, dont l’objectif est de définir un cadre juridique européen plus adapté à l’univers numérique, va entraîner une évolution substantielle de la réglementation nationale jusque-là applicable.

D’abord, il vient conforter les droits des individus en renforçant les obligations de recueil de consentement avant toute collecte de données. Il reviendra ainsi à l’entreprise, en cas de litige, d’apporter la preuve du consentement et de démontrer qu’il a été obtenu de manière loyale, c’est-à-dire sans aucune ambiguïté. Pour ce qui concerne les mineurs, par principe, le consentement ne pourra être recueilli qu’auprès de leurs responsables légaux.

Les obligations d’information sur l’utilisation des données qui pèsent sur les gestionnaires de fichiers seront également renforcées. Enfin, pour permettre à toute personne de récupérer ses données pour, le cas échéant, les communiquer à un autre prestataire, le règlement crée un droit de portabilité.

Une nouvelle culture pour les entreprises

Ce texte inaugure un changement d’approche en passant d’un principe de déclaration préalable et de demande d’autorisation à une logique de responsabilisation des entreprises et de leurs éventuels sous-traitants (hébergeur cloud, par exemple). C’est ainsi aux entreprises que reviendra, par défaut, l’obligation de mettre en œuvre les moyens et les processus nécessaires pour garantir une protection optimale des données personnelles stockées. En outre, afin de permettre l’exercice du droit à l’information des personnes et de faciliter les contrôles de la Cnil, les entreprises administrant des fichiers de données personnelles seront dans l’obligation de tenir un registre. Elles devront également, dans l’hypothèse où elles envisageraient de mettre en œuvre des traitements dits à risque (recueil de données ethniques, politiques, d’orientation sexuelle…), mener, de manière préalable, une étude d’impact sur la vie privée. Enfin, les entreprises devront notifier à la Cnil et aux personnes « fichées » les failles de sécurité rencontrées lors de la gestion du fichier. Dans certains cas, elles devront se doter d’un délégué à la protection des données qui sera chargé de la bonne application de la réglementation au sein de l’entreprise (rôle actuellement joué par le correspondant informatique et libertés, le Cil).

L’aide de la Cnil

Le règlement ne renforce pas que les obligations qui pèsent sur les gestionnaires de fichiers. Il prévoit également un durcissement des sanctions. Ainsi, en cas de manquement grave, une amende correspondant à 4 % du chiffre d’affaires réalisé par l’entreprise incriminée pourra être appliquée. Intégrer sans retard dans son fonctionnement ces nouvelles contraintes pour éviter de se mettre en faute, une fois le texte applicable, en mai 2018, est donc fortement conseillé à toutes les entreprises, et notamment aux e-commerçants en première ligne sur ce dossier. La Cnil annonce d’ailleurs, sur son site et dans son rapport annuel 2016, mettre en place un véritable dispositif destiné à accompagner les entreprises dans leur démarche de mise en conformité. Ce dispositif doit comprendre des supports d’information sur la nouvelle réglementation, des méthodes pour préparer sa mise en conformité, des outils dédiés, notamment à l’élaboration des études d’impact sur la vie privée et enfin, une permanence juridique destinée aux Cil.