Article: RGPD : un résumé en 4 lettres

 

Si le RGPD est aujourd’hui dans les esprits de beaucoup d’organismes, sa mise en place peut s’avérer plus complexe tant sa portée est large. Entre les analyses d’impact sur la vie privée, les notions de protection des données personnelles dès la conception d’un projet ou encore la tenue d’un registre de traitements, la « data gouvernance » nécessitera des efforts d’une ampleur proportionnelle à la hausse des sanctions prononçables par les autorités de contrôle. Casse_tete_rgpd
R comme REGISTRE

L’un des avantages majeurs accordés par les autorités de contrôle aux responsables de traitements consiste dans l’assouplissement des formalités à effectuer. A compter du 25 mai prochain, les responsables ne devront donc plus déclarer leurs traitements et procéder à des formalités administratives sur le site de la Commission, sauf dans le cadre d’un traitement nécessitant une autorisation particulière. Cet allègement administratif a une contrepartie : la tenue désormais obligatoire d’un registre de traitements, et ce même en l’absence d’un délégué à la protection des données (DPO). Les formalités ne disparaissent donc pas dans la pratique : elles passent d’un statut externe à un statut interne au sein de l’organisme, où l’ensemble des traitements et de leurs composantes seront recensées dans le registre. En effet, la charge de la preuve devient inversée : il appartiendra à l’organisme de prouver sa conformité et non plus à la CNIL de simplement déceler les non-conformités constatées lors de contrôles.

En outre, le registre a désormais deux niveaux de lecture : au registre de traitements « classique » tenu par le responsable, un registre doit également être mis en œuvre lorsque des traitements de données personnelles sont effectuées par un sous-traitant pour le compte de son client. Une vigilance particulière doit être apportée au respect de cette obligation puisque la CNIL, notamment dans le cadre des contrôles qu’elle effectue, demande de façon quasi-systématique le registre des traitements aux organismes ayant actuellement désigné un correspondant informatique et libertés. L’absence de registre pourrait certainement être très dommageable en termes de conformité. C’est dans cette optique qu’ACTECIL développa son outil APM, permettant de tenir les registres de traitements de façon ergonomique et rapide tout en englobant l’ensemble des exigences réglementaires.

 

G comme GOUVERNANCE

Il s’agit peut-être de l’un des points les plus présents dans les nouvelles dispositions réglementaires, à savoir la responsabilisation accrue de chaque organisme devant la protection des données personnelles. Cette gouvernance débute ainsi avant même la mise en production d’un projet, à savoir dès sa conception même. En effet, le RGPD impose le respect du « Privacy by Design / by Default », et chaque organisme devra être en mesure de démontrer que le projet a inclus, dès le stade sa conception, les problématiques de respect de la vie privée des personnes concernées. Après sa mise en production, le projet sera donc porteur d’impacts plus ou moins importants sur la vie privée des personnes. En fonction de la sensibilité du traitement, une analyse de ses impacts pourra donc être effectuée afin d’estimer un positionnement de risques identifiés en fonction de leur vraisemblance et de leur gravité.

Gouvernance est ici synonyme de procédures, et notamment de procédures internes permettant une sensibilisation et une responsabilité de chaque acteur en fonction du service occupé. A ce titre, la notion d’accountability renforce la nécessité d’un formalisme interne afin de garantir une sécurité et une confidentialité des données traitées suffisante. Enfin, le respect des droits des personnes, et notamment des personnes mineures, se voit renforcé avec, notamment, une réduction du délai légal de réponse passant de deux à un mois. Dès le dépassement de ce délai, toute personne concernée pourra donc légalement instruire une plainte auprès de la CNIL.

 

P comme PREUVE

Au regard des notions précitées, le RGPD apporte beaucoup de nouvelles obligations … et souvent toute la difficulté réside dans la preuve du respect des dispositions réglementaires. Les organismes devront donc mettre en place des process assurant un caractère probatoire aux différentes notions abordées par le RGPD. Respecter la notion de Privacy by Design peut par exemple consister dans l’horodatage d’un document utile à la conception du projet, ou encore consister dans la tenue d’un « clausier » recensant les différents sous-traitants de l’organisme afin de déterminer, en temps réel, si des clauses sur la protection des données sont présentes dans la relation contractuelle.

La preuve s’applique également à toutes les notions actuelles relatives à la protection des données, à savoir notamment la démonstration de l’information faite aux personnes, la prise d’un consentement libre et éclairé si des données sensibles sont traitées ou encore la preuve du respect de l’exercice de leurs droits le cas échéant.

D comme DPO

Véritable chef d’orchestre de la conformité de l’organisme, le délégué à la protection des données occupe une place centrale dans le respect des dispositions réglementaires. L’un des premiers changements majeurs apportés par le RGPD est le caractère désormais obligatoire de la désignation du DPO sous conditions. De plus, les missions de ce dernier se voient, par principe, étendus puisque le champ de la réglementation européenne augmente le champ des actions nécessaires à une conformité aux normes européennes. Néanmoins, le DPO conserve, à l’instar du CIL actuel, une absence d’engagement de sa responsabilité par principe. Une complicité active avec le responsable du traitement ou encore l’accomplissement de tâches en dehors du cadre de ses missions constituent donc les exceptions engageant sa responsabilité civile et pénale.

L’un des objectifs du RGPD est de positionner le DPO au centre du data mapping de l’organisme. A partir de ses compétences professionnelles, il est donc de nature à prendre l’ensemble des actions nécessaires au maintien à la conformité de l’organisme tout en sensibilisant l’ensemble des acteurs concernés. ACTECIL recommande hautement la désignation d’un DPO même si aucune obligation ne pèse sur vous afin de faire du RGPD, outre le simple respect de dispositions légales, une garantie de qualité et un avantage concurrentiel dans votre secteur d’activités.

Bertrand PLAU
Juriste Consultant RGPD

Pour en savoir plus, contactez nos experts RGPD.


accueil Blog Actu-CIL