RGPD : Décryptage de 10 préjugés
L’heure est venue de mettre fin à un certain nombre d’idées reçues : « On est une petite entreprise nous ne sommes pas concernés », « Pas d’inquiétude ! Pendant la première année la CNIL ne sanctionnera pas », et la liste est encore longue.
Le Règlement général sur la protection des données (RGPD) est entré en vigueur le 25 mai 2018. Les entreprises sont saturées de communication sur le sujet. Information, désinformation, il est grand temps de faire le tri afin d’y voir plus clair et de comprendre les raisons de récentes prises de position particulièrement fortes de la Commission Nationale Informatique et Libertés[1]. L’heure est ainsi venue de mettre fin à un certain nombre d’idées reçues : « On est une petite entreprise nous ne sommes pas concernés », « Pas d’inquiétude ! Pendant la première année la CNIL ne sanctionnera pas », « Les données publiques ne sont pas des données personnelles » et la liste est encore longue. La mise en conformité au RGPD implique de déployer une méthodologie particulière[2] tenant compte des spécificités de chaque entité (association, PME, multinationale, établissement public, conseil général, EPAD, etc.). Pour cela, une acculturation des Directions Générales[3], des Directions informatiques des Responsables des Ressources humaines ou encore du marketing et de la communication sera un élément clé de réussite. Cette acculturation passera nécessairement par une première phase destinée à tordre le cou aux nombreuses fausses informations qui se répandent depuis de nombreux mois.
Voici quelques exemples :
« On a 2 ans pour se mettre en conformité »
Le Règlement général pour la protection des données a été adopté par le Parlement européen et le Conseil le 27 avril 2016 et est entré en application le 25 mai 2018, soit en effet une période de 2 ans laissée aux acteurs publics comme privés pour entreprendre leurs démarches de conformité avant la date d’entrée en vigueur.
Chaque entreprise, chaque entité publique ou semi publique est présumée être conforme au RGPD depuis le 25 mai 2018 étant précisé que bon nombre d’obligations prévues par ce texte européen sont opposables en France depuis de nombreuses années en vertu de la loi n°78-17 du 6 janvier 1978 modifiée.
« La CNIL va faire preuve d’indulgence pendant la première année »
Si la Présidente de la CNIL, Madame Isabelle Falque-Pierrotin, annonçait que le 25 mai ne serait pas « une date couperet annonciatrice d’une pluie de sanctions »[4], les sanctions prévues par le RGPD sont belles et bien entrées en application et susceptibles d’être prononcées à l’issue d’un contrôle de l’autorité de Régulation que ce contrôle soit inopiné ou résulte d’un dépôt de plainte auprès de la CNIL.
Et, à bien lire les annonces de la CNIL, sanctions il y aura dès lors que :
Les principes préexistants de la loi informatique ne sont pas respectés (droits des personnes, information, consentement, mesures de sécurité, durée de conservation etc.)
L’entité contrôlée n’a pas initié de démarche de mise en conformité au RGPD s’agissant des nouvelles obligations prévues par le texte (établissement du registre, réalisation d’études d’impact, consolidation du Référentiel Sécurité[5], gestion contractuelle des sous-traitants etc.)
En tout état de cause, rappelons que la « mise en conformité au RGPD » n’est pas uniquement l’occasion de se protéger contre des sanctions mais surtout l’occasion de mettre en place une réelle gouvernance de la donnée tout en renforçant la confiance des clients, prospects et partenaires.
« Le RGPD ne s’applique pas aux données BtoB »
Le RGPD a vocation à s’appliquer dès lors qu’une entité réalise des traitements sur des données à caractère personnel.
Or les relations en BtoB ne sont pas exemptes de données à caractère personnel. Si les coordonnées d’une personne morale n’entrent pas dans le périmètre du RGPD, les coordonnées du représentant légal, du chef de projet, du commercial ou du Directeur Financier avec qui vous êtes en relation constituent bien des données à caractère personnel.
Il en va de même pour les adresses courriels professionnelles. Une adresse contact@entreprise.fr sera considérée comme générique et ne constituera pas une donnée à caractère personnel. Tel ne sera pas le cas de nom.prénom@entreprise.fr qui permet d’identifier une personne déterminée et qui suppose donc l’application du RGPD comme de l’article 34-5 du Code des postes et télécommunication.
« Le DPO c’est pour les grandes entreprises »
L’article 37 du RGPD dispose que la désignation d’un délégué à la protection des données - ou DPO pour Data Protection Officer – s’applique dès lors que le responsable du traitement opère un traitement régulier, systématique et à grande échelle des personnes concernées par le traitement[6]. Au regard des lignes directrices du G29 (groupe des CNIL européennes) la notion de suivi régulier et systématique fait référence à un évènement continu ou se produisant à intervalles réguliers au cours d’une période donnée. La nomination du DPO ne dépend donc pas de la taille de la structure mais de la régularité et de l’envergure des traitements. Autant dire que toute entreprise opérant un suivi régulier de ses clients par la tenue d’un CRM par exemple sera potentiellement concernée par la désignation d’un DPO, quelle que soit sa dimension. Par ailleurs, la désignation d’un DPO interne ou externe demeure toujours fortement recommandée afin de superviser la conformité de l’entreprise. Enfin soulignons que le DPO sera obligatoire pour tout le secteur public.
« Les données publiques ne sont pas des données personnelles »
Une donnée à caractère personnel est une information se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, un élément physique ou physiologique, etc.
La publicité de l’information n’entre donc pas en considération lorsqu’il s’agit d’apprécier le caractère personnel d’une donnée.
« N’importe qui peut devenir DPO »
Le DPO doit être désigné sur la base de ses qualités professionnelles et en particulier de ses connaissances spécialisées du droit et des pratiques en matière de données[7]. Par ailleurs, le DPO doit être en mesure d’exercer ses fonctions en toute indépendance, sans recevoir aucune instruction. A cet égard, le DPO peut être un membre du personnel du responsable de traitement ou du sous-traitant ou exercer ses missions sur la base d’un contrat de service, ce qui signifie que le DPO peut être une personne externe et, dans ce cas, sa fonction peut être exercée sur la base d’un contrat de service.
« Si je ne suis pas dans l’UE je ne suis pas concerné par le RGPD »
Le RGPD s’applique aux traitements de données à caractère personnel que le traitement ait lieu ou non sur le territoire de l’Union Européenne dès lors que le traitement s’applique à des données relatives à des personnes se trouvant sur le territoire de l’Union européenne.
Sont donc concernées :
Les entreprises installées sur le territoire de l’Union Européenne traitant des données à caractère personnel se rapportant à des ressortissants européens
Les entreprises traitant des données à caractère personnel sur le territoire de l’Union Européenne que les données traitées se rapportent ou non à des ressortissants européens
Les entreprises installées en dehors du territoire de l’Union traitant des données à caractère personnel se rapportant à des ressortissants européens
« Il va falloir recueillir le consentement des salariés pour traiter leurs données »
L’article 6 du RGPD dispose que pour être licite un traitement de données à caractère personnel peut reposer :
Sur le consentement explicite de la personne concernée
Sur l’exécution d’un contrat
Sur une obligation légale à laquelle le responsable de traitement est soumis
Sur la sauvegarde des intérêts vitaux de la personne concernée
Sur une mission d’intérêt public
Ou encore sur un intérêt légitime poursuivi par le responsable de traitement.
Par conséquent, le traitement des données à caractère personnel des salariés ne nécessite pas nécessairement le recueil du consentement du salarié s’il se justifie au regard de l’exécution du contrat de travail ou de l’intérêt légitime de l’employeur.
« Avec le RGPD plus besoin de déclarer les traitements auprès de la CNIL »
S’il est vrai que le RGPD met fin au système de déclaration préalable des traitements auprès de la CNIL pour responsabiliser les responsables de traitement par la tenue d’un registre des traitements susceptible de faire l’objet de contrôles a posteriori, certaines obligations déclaratives demeurent néanmoins.
Certains traitements continuent de faire l’objet d’une déclaration préalable ou d’une demande d’avis auprès de la CNIL et notamment les traitements de données personnelles du secteur de la santé présentant une finalité d’intérêt public ou les traitements concernant les activités régaliennes de l’Etat [8].
« Le registre des activités de traitement ne concerne pas les traitements usuels »
Le registre des activités de traitement vous permet de recenser vos traitements de données et de disposer d’une vue d’ensemble de ces traitements.
Ce registre doit contenir l’ensemble des traitements mis en œuvre par l’entité concernée, du traitement le plus commun tel que la gestion de la paie ou le recrutement, aux traitements les plus sensibles. Pour chaque traitement usuel ou sensible, il conviendra de détailler les parties prenantes, les catégories de données traitées, les durées de conservation des données, les sous-traitants ou destinataires ayant accès aux données, les hypothèses de transferts de données en dehors de l’Union Européenne ou encore les mesures techniques et organisationnelles adoptées pour protéger ces données.
Depuis plus de vingt ans, le Cabinet HAAS Avocats, triplement labélisé CNIL accompagne ses clients du secteur public comme du secteur privé dans la mise en conformité de leur activité au RGPD.
Pour plus d’informations concernant notre prestation d’accompagnement, cliquez ici.
[1] Cf. https://www.cnil.fr/fr/pratiques-abusives-mise-en-conformite-RGPD-CNIL-DGCCRF
[2] Cf. https://www.haas-avocats.com/data/mise-en-conformite-rgpd-quelle-methodologie/
[3] Cf. https://www.haas-avocats.com/data/gdpr-comment-sensibiliser-direction/
[4] Cf. https://business.lesechos.fr/directions-numeriques/digital/big-data/0301653076185-isabelle-falque-pierrotin-presidente-de-la-cnil-rgpd-le-25-mai-ne-sera-pas-une-date-couperet-pour-les-sanctions-320930.php
[5] Cf. https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/
[6] Cf. https://www.haas-avocats.com/data/pourquoi-designer-dpo/
[7] Article 37 du RGPD
[8] https://www.cnil.fr/fr/declarer-un-fichier