Le règlement général sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018 dans tous les pays membres de l’Union Européenne. Les organismes comme les entreprises doivent s’y conformer avant cette date fatidique, ce qui pose un certain nombre de problèmes.
Fin janvier, seuls deux Etats avaient terminé leur mise en conformité : l’Allemagne et l’Autriche. La France, quant à elle, est un des plus mauvais élève dans l’avancée du travail.
La Commission Européenne est donc inquiète sur ce point, les entreprises étant très en retard dans cette mise en conformité. Elle demande ainsi à ces dernières de redoubler d’effort et publie de plus en plus d’outils pour faciliter cette mise en conformité afin que celle-ci se fasse le plus rapidement possible.
En effet, les sanctions en cas de non-conformité ou de violation du règlement RGPD sont très lourdes, aussi bien pour les entreprises, personnes morales, que pour leurs dirigeants. Cependant, il s’avère que cette réforme est un vrai bouleversement pour les entreprises.
I – Les effets du RGPD sur les entreprises
Le RGPD est créé pour s’adapter aux évolutions. Il s’applique à tous les responsables de traitement (dans le cadre de cet article, l’entreprise qui traite des données personnelles) et tous les sous-traitants sur le territoire de l’UE ou si le traitement des données a pour but de cibler des résidents européens. Dans le cas de traitement transnational, c’est-à-dire un traitement des données dans plusieurs Etats, une coopération entre ces Etats est nécessaire.
Le RGPD exige la mise à disposition d’une information claire, intelligible, facilement accessible aux personnes concernées par le traitement de leurs données[1]. L’expression du consentement se fait par des utilisateurs informés de l’usage de leurs données et qui doivent donner leur accord pour ce type de traitement ou pouvoir s’y opposer : un système d’opt-in[2] est mis en place dans ce cas, afin que la personne concernée consente au traitement avant que celui-ci ne commence. C’est au responsable de traitement de prouver le consentement. De ce fait, ce responsable peut voir sa responsabilité engagée, nous en parlerons plus tard.
La personne concernée par le traitement de ses données dispose d’un nouveau droit, fondamental : le droit à la portabilité des données selon l’article 20 du Règlement[3]. Le client d’une entreprise pourra alors récupérer les données qu’il a fournies à l’entreprise et les transférer à un tiers, de plein droit et de son plein gré.
Il apparaît donc nécessaire, aux vues des divers bouleversements et autant que faire se peut, que les Etats membres de l’Union Européenne adaptent leurs législations nationales pour des questions pratiques. En effet, du point de vue de la hiérarchie des normes, le droit de l’UE primant sur le droit national, il serait bon de ne pas laisser notre droit français en contradiction avec ce nouveau règlement.
Enfin, un point important est à souligner pour toutes les entreprises. L’article 4 du RGPD dispose qu’une donnée à caractère personnel est « une information se rapportant à une personne physique identifiée ou identifiable »[4]. Mais quid des coordonnées professionnelles ? Est-ce que celles-ci sont, selon la lettre et l’interprétation du règlement, identiques aux données personnelles ? Dans une décision du 30 décembre 2015[5], le Conseil d’Etat a répondu par l’affirmative en énonçant que les coordonnées professionnelles des personnes physiques doivent être considérées comme étant des données à caractère personnel. De fait, celles-ci doivent donc être déclarées. De plus, comme le RGPD ne fait pas de distinction entre ces données et selon l’adage « Ubi lex non distinguit, nec nos distinguere debemus » (il est interdit de distinguer là où la loi ne distingue pas), il faut considérer que les données professionnelles doivent connaître le même sort que les données à caractère personnel.
II – Les sanctions en cas de non-respect du RGPD
Comme nous l’avons évoqué brièvement, la responsabilité du responsable de traitement peut être engagée. Cependant, l’entreprise elle-même, personne morale, peut également être tenue pour responsable. Dans ce cas et en présence d’une faute d’un dirigeant ou d’une personne de l’entreprise, celle-ci pourra être condamnée à une amende de 3 millions d’euros, pouvant aller jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaires Annuel mondial pour les infractions les plus graves.
La responsabilité pénale du dirigeant peut être engagée en cas de faute, telles que la faute personnelle du dirigeant, la faute d’un de ses préposés (un salarié de l’entreprise), la complicité ou encore le recel. Ces hypothèses classiques se trouvent à l’article 121-2 du Code Pénal.
Il existe aussi des fautes spéciales comme le traitement illicite de données personnelles de la part de l’entreprise, et dans ce cas, le dirigeant est responsable.
Si c’est le cas, la peine est lourde car celui-ci peut être condamné à une peine de 2 mois à 10 ans de prison selon l’article 131-4 du Code Pénal et à une amende de 3 750 euros. Des peines complémentaires peuvent accompagner la peine initiale selon l’article L. 226-18-1 du Code Pénal.
Enfin, le dirigeant peut voir sa responsabilité engagée s’il refuse de mettre en place des mesures de responsabilisation quant au traitement des données personnelles au sein de son entreprise selon les articles 226-16-1 à 226-24 du Code Pénal[6].
III – Les outils et orientations de mise en conformité pour les entreprises
Les entreprises françaises et européennes étant globalement en retard quant à la mise en conformité de ce règlement, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en place un certain nombre d’outils pour aider les entreprises.
Elle préconise notamment aux entreprises de mettre en place des mesures de responsabilisation pour la protection de la vie privée avec, si possible, la désignation d’un Délégué à la protection des données personnelles (DPO) ; un registre de traitements ; un système de notification des failles de sécurité ; des analyses d’impact ; une traçabilité renforcée des données. Ces mesures de responsabilisation sont essentielles, voire pour certaines obligatoires pour les entreprises.
La CNIL accompagne également les Petites et Moyennes Entreprises (PME) dans leur mise en conformité. En effet, ce règlement s’applique aux grandes entreprises comme aux petites et moyennes entreprises. La CNIL a notamment lancé un outil en ligne pour aider les citoyens et ces PME à se conformer au nouveau règlement. Cette aide se fait également avec le concours de la Commission Européenne qui publie, sur son site, des articles tentant de répondre aux questions les plus importantes posées par les entreprises[7].
La CNIL œuvre à créer toujours plus d’outils afin d’aider au maximum les entreprises et pour les informer au mieux de ses actions durant la période transitoire de mise en application[8].
Enfin, elle a récemment publié un Guide de sécurité des données personnelles. Ce guide doit aider les professionnels pour faire respecter le RGPD, il se décompose en 17 fiches thématiques selon les différentes étapes à suivre[9]. Enfin, la CNIL met à disposition un outil pour réaliser au mieux les études d’impact qui peuvent être faites au sein des entreprises. Celles-ci doivent donc télécharger le logiciel, sur le site de la CNIL ce qui facilite encore plus la tâche des responsables de traitement[10].
Même le groupe des CNIL européennes, le G29 tente de clarifier les nouvelles règles de ce Règlement en les illustrant d’exemples de manière à les rendre plus concrètes et faciliter la tâche des entreprises. Elle a donc adopté des lignes directrices concernant par exemple le Délégué à la Protection des Données Personnelles (DPO) ; le droit à la portabilité ou encore la question du consentement[11].
Dès le départ, la CNIL se doutait des divers problèmes que cette mise en conformité poserait. En conséquence, elle a donc publié un grand nombre d’articles pour aider à mieux comprendre le règlement et pour se préparer au RGPD. Cette préparation passe par 6 étapes[12] : désigner un pilote pour la gouvernance des données personnelles ; créer une cartographie pour le traitement des données personnelles ; identifier les actions les plus importantes et les plus urgentes à mener ; apprendre à gérer les éventuels risques ; organiser des politiques et processus internes pour assurer un niveau de protection élevé ; constituer une documentation adéquate au sein de l’entreprise pour informer sur la mise en conformité et les actions menées.
Cette mise en conformité des entreprises paraît donc être une des priorités pour la CNIL et la Commission Européenne qui ne cessent d’innover dans leur communication et les outils mis à disposition afin que, le 25 mai prochain, toutes les entreprises françaises soient opérationnelles. Même si celles-ci sont souvent réfractaires à ce Règlement, il est temps de se mettre au travail !
Emeline GUEDES
[1] Article 12 Règlement UE 2016/679 du 27 avril 2016 : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR
[2] Article 7 Règlement UE 2016/679 du 27 avril 2016 : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR
[3] Ibid. Article 20 : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR
[4] Article 4 Règlement UE 2016/679 du 27 avril 2016 : http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR
[5] CE 30 décembre 2015, n°385019 : https://www.legifrance.gouv.fr/affichJuriAdmin.do?oldAction=rechJuriAdmin&idTexte=CETATEXT000031861287
[6] https://www.legifrance.gouv.fr/affichCode.do;jsessionid=7A53674A1B89A41EE4D7E24487B3AEFA.tplgfr30s_3?idSectionTA=LEGISCTA000006165313&cidTexte=LEGITEXT000006070719&dateTexte=20180308
[7] https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/application-regulation_fr
[8] https://www.cnil.fr/fr/rgpd-comment-la-cnil-vous-accompagne-dans-cette-periode-transitoire
[9] https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles
[10] https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil
[11] https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
[12] https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes