Entrée en application du RGPD : quels impacts pratiques ?
![Conformité RGPD Sécurité informatique](/wp-content/uploads/2018/05/IT-cables-700x325.jpg)
10 juillet 2018
Le règlement général sur la protection des données (RGPD)1 est entré en application le 25 mai 2018. Les responsables de traitement doivent désormais mettre en oeuvre des mesures techniques et organisationnelles appropriées pour s’assurer, mais également être en mesure de démontrer, que leurs traitements sont conformes au règlement.
Le RGPD, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, marque un revirement dans la conception du rapport entre les responsables de traitement et les autorités de contrôle.
« Au contrôle a priori des traitements par l’autorité compétente via l’accomplissement de formalités préalables, est substitué un principe de responsabilité selon lequel le responsable du traitement devra justifier de sa conformité aux règles posées par le texte. »
L’un des objectifs principaux de la réforme est d’améliorer l’effectivité de la protection, en permettant une responsabilisation accrue des responsables de traitement.
La règlementation précédemment applicable subordonnait les traitements de données personnelles à l’accomplissement de certaines formalités auprès de l’autorité de contrôle (déclaration ou autorisation préalable de la CNIL2).
Cette approche a fait l’objet de critiques, l’obligation générale de notifier les traitements aux autorités de contrôle générant une charge administrative et financière, sans pour autant systématiquement contribuer à améliorer la protection des données à caractère personnel.
Le RGPD énonce le principe général de responsabilité (accountability)
Le RGPD opte ainsi pour une méthode différente : le responsable du traitement devra désormais mettre en oeuvre des mesures techniques et organisationnelles appropriées pour s’assurer que le traitement est effectué conformément au règlement.
L’accountability implique la mise en place d’une véritable gouvernance des données, qui doit se traduire par le déploiement de diverses mesures concrètes, incluant notamment le renforcement de la sécurité des systèmes d’information, l’adoption de mesures de pseudonymisation, la minimisation des données traitées, la désignation d’un délégué à la protection des données ainsi que la rédaction d’informations et de formulaires de consentement clairs à destination des personnes dont les données font l’objet d’un traitement.
En pratique, ces mesures impliquent de prendre en considération la protection des données dans les projets depuis leur origine, dès le stade de la R&D, et d’assurer la conformité des produits et services proposés aux dispositions du règlement (privacy by design). Ces mesures doivent également garantir que, par défaut, seules les données nécessaires au regard de la finalité spécifique du traitement sont collectées et utilisées (privacy by default).
Se pré-constituer la preuve de la conformité au RGPD
Il ne suffit pas aux entreprises de se conformer au RGPD. Elles doivent se préparer à en justifier auprès des personnes concernées ou de l’autorité de contrôle.
Les entreprises doivent démontrer connaître et maîtriser leurs traitements. A cette fin, il leur incombe d’identifier et de cartographier les flux de données, étape indispensable à l’établissement d’un registre des traitements imposé pour les entités de plus de 250 salariés. Elles doivent avoir sécurisé ces flux par la conclusion de contrats formels avec leurs sous-traitants et, en cas de transfert de données à destination d’Etats tiers à l’espace énonomique européen, avoir mis en oeuvre des mesures permettant de garantir un niveau adéquat de sécurité des traitements. De même, lorsque les données sont traitées sur la base du consentement, le responsable doit conserver la preuve de l’autorisation reçue. Les analyses d’impact des traitements à risque et les contrôles de proportionnalité des traitements basés sur l’intérêt légitime doivent également être documentés.
La conformité au RGPD suppose le déroulement d’un programme de conformité structuré, impliquant des changements de process et parfois même des évolutions des systèmes d’information.
Notes
1 Règlement (UE) 2016/679 du 27 avril 2016.
2 Commission nationale de l’informatique et des libertés.
Auteurs
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Maïté Ollivier, avocat, droit social
Entrée en application du RGPD : quels impacts pratiques ? – Article paru dans La Lettre des Fusions-Acquisitions et du Private Equity supplément du numéro 1467 du magazine Option Finance le 18 juin 2018
A lire également
Marques Darjeeling : marques collectives désignant une provenance géographique... 13 février 2018 | CMS FL
![](/wp-content/uploads/2018/02/darjeeling-payasage-420x215.jpg)
DRH : attention, le RGPD c’est maintenant !... 24 mai 2018 | CMS FL
![](/wp-content/uploads/2015/07/personal-data-420x215.jpg)
Contrat informatique : absence de déséquilibre significatif en présence de cl... 9 novembre 2016 | CMS FL
![](/wp-content/uploads/2016/11/IT-cables-420x215.jpg)
Ouverture des bases de données d’archives publiques : une collectivité ne pe... 2 juin 2017 | CMS FL
![](/wp-content/uploads/2017/02/open-data-420x215.jpg)
Retour sur le statu quo de la Cour de cassation sur la non-transmission d’un Â... 20 avril 2018 | CMS FL
![](/wp-content/uploads/2016/03/Palais-justice-420x215.jpg)
Prestation de services internationale et obligation de vigilance : le donneur dâ... 29 juin 2023 | Pascaline Neymond
![](/wp-content/uploads/2023/02/Droit-social-plus-8-420x215.jpg)
Que nous reste-t-il du G29 ? 13 septembre 2018 | CMS FL
![](/wp-content/uploads/2015/07/personal-data-420x215.jpg)
Projet de loi relatif à la liberté de création, à l’architecture et au... 4 novembre 2015 | CMS FL
![](/wp-content/uploads/2015/11/Plans-architecture-420x215.jpg)
Articles récents
- Dénonciation de faits de harcèlement moral : enquête ou pas enquête ?
- Contre-visite médicale : ses modalités de mise en œuvre précisées par décret
- Le détourage d’activités dans les opérations de M&A : enjeux juridiques, fiscaux et sociaux
- Rupture d’un commun accord du contrat de travail d’un salarié protégé via un PDV inclus dans un PSE : pas de contrôle du motif économique par l’inspection du travail
- Restructuration et harmonisation des régimes de protection sociale complémentaire
- Devoir de vigilance : de premières décisions de cour d’appel précisent les conditions de recevabilité de l’action
- Rupture conventionnelle : le vice de consentement de l’employeur peut entrainer sa nullité, qui produit les effets d’une démission
- Droit social des plateformes : ça bouge encore en France et dans l’Union européenne (MAJ)
- L’appréciation de l’étendue du secteur géographique pour déterminer l’existence ou non d’une modification du contrat de travail : la Cour de cassation retiendrait-elle de nouveaux critères ?
- Participation : pas de remise en cause possible du bénéfice net fiscal établi par une attestation du commissaire aux comptes