RGPD et Protection des données

Le RGPD désigne le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

Ces règles contribuent au respect des droits fondamentaux des individus (vie privée et familiale, liberté de pensée, de conscience et de religion, liberté d’expression et d’information etc…).

RGPD et protection des données

Les entreprises et collectivités territoriales mettent constamment en œuvre des traitements de données à caractère personnel. Ils sont en effet indispensables à leur fonctionnement encré dans la société d’information.

Les données sont qualifiées de personnelles dès lors qu’elles permettent d’identifier individuellement, de façon directe ou indirecte, des personnes physiques. Le traitement de ces données est donc susceptible d’affecter les droits et libertés des individus, raison pour laquelle ces données font donc l’objet d’une protection particulière.  

Entré en vigueur le 25 mai 2018, le RGPD s’applique à toute organisation, publique et privée, établie sur le territoire de l’Union européenne ou dont les activités ciblent des résidents de l’Union, qui traite des données à caractère personnel.

Comment recenser les traitements de données ?

L’article 30 du RGPD impose aux organismes d’identifier l’ensemble des activités de traitement de données à caractère personnel qu’ils mettent en œuvre, aussi bien en leur qualité de responsable de traitement que de sous-traitant.

Si le recensement de ces informations n’est soumis à aucun formalisme particulier, il devra néanmoins comprendre a minima les informations suivantes :

  • Le nom et les coordonnées du Responsable du traitement et, le cas échéant, du sous-traitent, du représentant du Responsable du traitement et du Délégué à la protection des données ;
  • Les finalités du traitement (catégories de personnes concernées et catégories de données à caractère personnel) ;
  • Les catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées (y compris les destinataires dans des pays tiers ou des organisations internationales) ;
  • Le cas échéant, les transferts de données à caractère personnel vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale ;
  • Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données et une description générale des mesures de sécurité techniques et organisationnelles mises en place.

Ce recensement participe à la documentation relative à la conformité de l’organisme aux règles consacrées par le RGPD et constitue par ailleurs un excellent outil de pilotage puisqu’il peut servir de support pour élaborer les plans d’action pour la mise en conformité aux règles RGPD.

En effet, le registre des traitements de données permet à l’organisme d’étudier plus facilement la conformité de ses traitements avec les règles consacrées par le RGPD et ainsi d’établir les mesures à mettre en œuvre le cas échéant. Ce registre permet notamment aux organismes concernés de vérifier que les données collectées sont bien pertinentes et nécessaires à la finalité de leur traitement. L’organisme pourra alors sur cette base procéder à la suppression d’une partie des données si celles-ci ne sont pas pertinentes et établir une politique de traitement des données plus appropriée.

L’organisation de ses processus internes

La mise en place de politiques relatives à la protection des données participe à la documentation de la conformité de l’organisme, au même titre que le registre des traitements.

Ces processus internes ont pour finalité de garantir la protection des données traitées par l’organisme adapté au risque d’atteinte aux droits des individus, et permettent une adaptation à l’évolution de ce risque.

Ils doivent ainsi prendre en considération l’ensemble des évènements qui peuvent survenir au cours des traitements mis en œuvre par l’organisme, compte tenu de l’état des connaissances, des coûts de mise en œuvre, du contexte et de la finalité de ces traitements.

Peuvent participer à ce corpus documentaire des processus internes les documents suivants :

  • Politique de gestion des risques ;
  • Politique de gestion de crise ;
  • Politique de gestion des accès et des habilitations ;
  • Politique de gestion des traces ;
  • Politique de gestion des fournisseurs ;
  • Politique de sauvegarde ;
  • Politique de gestion des incidents ;
  • Plants de continuité et de reprise des activités ;
  • Politique de sécurité physique et environnementale ;
  • Politique de gestion des actifs ;
  • Programme de contrôle ;
  • Programme de supervision ;
  • Politique d’archivage et de destruction ;
  • Politique d’utilisation du SI ;
  • Politique terminaux mobiles et télétravail ;
  • Fiches des postes (RSSI, DSI et DPO) ;
  • Politique de cloisonnement des réseaux ;
  • Politique de cryptographie ;
  • Cadre d’interopérabilité etc…

En tout état de cause, les politiques internes doivent obligatoirement prendre en compte la protection des données personnelles dès la conception des traitements (minimisation de la collecte des données au regard de la finalité du traitement, durée de conservation des données proportionnée au regard de la finalité du traitement, information des personnes concernées, recueil du consentement des personnes concernées le cas échéant, sécurité et confidentialité des données, rôle et responsabilité des acteurs impliqués dans le traitement…).

Comment contractualiser ses traitements de données ?

Les traitements de données impliquant plusieurs acteurs doivent obligatoirement être contractualisés dans les conditions prévues par le RGPD.

Les conditions de contractualisation des traitements sont dépendantes du rôle des différents acteurs opérant sur le traitement concerné.

Ainsi, si un organisme traite les données exclusivement pour le compte et sur instruction d’un autre organisme qui a déterminé les finalités et une partie substantielle des moyens de ce traitement, il sera par principe qualifié de sous-traitant du responsable de traitement.

L’organisme sous-traitant devra alors obligatoirement présenter des garanties suffisantes afin que le traitement réponde aux exigences du RGPD et garantisse ainsi la protection des droits des personnes dont les données sont traitées.

Ce traitement sera obligatoirement régi par un contrat liant le sous-traitant au responsable du traitement, définissant l’objet et la durée du traitement, sa nature et sa finalité, le type de données et les catégories de personnes concernées, ainsi que les droits et obligations des parties.

Par principe, ce contrat de sous-traitance doit a minima prévoir les obligations suivantes à la charge du sous-traitant :

  • Traiter des données uniquement sur instruction du responsable du traitement ;
  • Veiller à ce que son personnel s’engage à respecter la confidentialité des données ;
  • Prendre toutes les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité des données adapté au risque ;
  • Ne pas recruter un autre sous-traitant sans l’autorisation du responsable du traitement, et se porter garant devant le responsable du traitement de l’exécution par l’autre sous-traitant de ses obligations, le cas échéant ;
  • Aider le responsable du traitement à donner suite aux demandes dont les personnes concernées le saisissent en vue d’exercer leurs droits sur les données les concernant ;
  • Aider le responsable du traitement à garantir ses obligations en matière de sécurité des données (notification à la CNIL d’une violation de données, communication à la personne concernée d’une violation de données, analyse d’impact relative à la protection des données et de consultation préalable de la CNIL lorsque l’analyse d’impact indique que le traitement présenterait un risque élevé) ;
  • Selon le choix du responsable du traitement, supprimer toutes les données ou les renvoyer au responsable du traitement au terme de la prestation, et détruire les copies existantes ;
  • Mettre à la disposition du responsable du traitement toutes les informations nécessaires pour démontrer le respect de ses obligations, et permettre la réalisation d’audits.

Si plusieurs acteurs déterminent conjointement tout ou partie des finalités et des moyens du traitement, ils seront alors par principe qualifiés de responsables conjoints du traitement.

En pareil cas, les responsables conjoints devront définir formellement et en toute transparence leurs obligations respectives. Les grandes lignes de cet accord doivent être mises à la disposition des personnes concernées (par exemple sur le site internet des organismes concernés).

Enfin, lorsque plusieurs acteurs déterminent seuls les finalités et les moyens du traitement, ils seront par principe qualifiés de responsables distincts du traitement.

Toutefois, si ce traitement nécessite la transmission de données d’un responsable de traitement distinct à un autre responsable de traitement distinct, cette transmission doit également être encadrée, notamment afin de garantir sa licéité (information des personnes concernées, recueil de leur consentement le cas échéant…).

Une attention particulière doit être portée à l’encadrement des transferts de données en dehors de l’Union européenne, nécessitant une analyse systématique de leur licéité, et en tant que de besoin le recours à des clauses contractuelles types, des règles d’entreprises contraignantes ou des certifications, mais aussi le cas échéant à des mesures de sécurité techniques et organisationnelles complémentaires.

Désigner un délégué à la protection des données

Le délégué à la protection des données (ou Data Protection Officer, DPO, DPD) a succédé au Correspondant Informatique et Libertés lors de l’entrée en vigueur du RGPD.

Le délégué à la protection des données est au cœur du cadre de conformité consacré par le RGPD et facilite la conformité des organismes au dit RGPD.

Il est l’une des pierres angulaires du régime de responsabilité du responsable du traitement et du sous-traitant, et constitue un avantage concurrentiel en favorisant le respect du RGPD et en agissant comme intermédiaire entre les acteurs concernés (autorités de contrôle, personnes concernées, sous-traitants…) et point de contact privilégié pour les personnes concernées.

Sa désignation est obligatoire lorsque :

  • Le traitement est effectué par une autorité publique ou un organisme public ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, portée et/ou finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
  • Les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.

En tout état de cause, la désignation d’un DPO est recommandée pour tous les organismes afin de disposer d’un accompagnement permanent en matière de protection des données, et ainsi faciliter le maintien en conformité de l’organisme au RGPD dans le temps (mise à jour du registre des traitements, contractualisation des traitements, conseils relatifs à la protection des données par défaut et dès la conception, gestion des violations…)

En effet, le délégué est obligatoirement désigné sur la base de ses qualités professionnelles et en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données.

Sa capacité à exercer ses missions de manière indépendante et confidentielle, tout en faisant directement rapport au niveau le plus élevé de sa direction est indispensable.

Pour cette raison, le DPO peut être un membre du personnel de l’organisme l’ayant désigné ou exercer ses missions sur la base d’un contrat de service (avocat ou consultant) afin de garantir son indépendance.

Nos services

Le Cabinet Bouchara vous accompagne notamment dans la mise en conformité de votre organisme et de vos processus de traitement des données à caractère personnel au RGPD et aux autres législations applicables en matière de protection des données.

Conseil et assistance

Le Cabinet Bouchara vous accompagne notamment pour :

  • La conduite d’audit de la conformité des organismes, sites Internet et applications au RGPD et aux lois des Etats membres de l’Union européenne relatives à la protection des données;
  • La documentation de vos traitements (registre des activités de traitement, registre des violations, analyse d’impactrelative à la vie privée, consultation préalable…) ;
  • L’obtention de certifications et l’adhésion à des codes de conduite;
  • L’étude de la faisabilité juridique de la mise en œuvre d’un nouveau traitement de donnéesà caractère personnel ;
  • L’analyse juridique de la conformité de vos traitements de données, y compris des transferts de données hors de l’Espace Economique Européen ;

Négociation et rédaction

Le Cabinet Bouchara vous accompagne dans les négociations et la rédaction des :

  • Accords de traitements de données (Data Protection Agreement / DPA) ;
  • Règles d’entreprises contraignantes (Binding Corporate Rules / BCR) ;
  • Politiques de protection des données (politique de confidentialité, charte informatique…) ;
  • La rédaction de vos règles d’entreprises contraignantes (BCR) et codes de conduites.

Représentation

Le Cabinet Bouchara représente vos intérêts en demande et en défense dans le cadre de contentieux relatifs aux données personnelles et notamment dans les procédures suivantes :

  • Les recours contre les lignes directrices, recommandations et sanctions des autorités de contrôle des Etats membre de l’Union européenne ;
  • Les procédures contre les responsables de traitement et sous-traitants pour le compte de personnes concernées dont les droits et libertés n’ont pas été respectés ;
  • Les actions en responsabilité liées au non-respect de contrats de sous-traitance ou de responsabilité conjointe.

Nous sommes également Délégué à la Protection des Données externe de nombreux responsables de traitements et sous-traitants.

Formation et sensibilisation

Nous proposons des formations et des ateliers de sensibilisations de vos collaborateurs aux questions relatives à la protection des données personnelles.

Equipe  données personnelles et droit du numérique

Equipe  données personnelles et droit du numérique