Les apports du RGPD

• Suppression des formalités
• Désignation d'un Délégué à la protection des données (DPO)
• Analyse d'impact relative à la protection des données
• Tenue d'un registre des activités de traitement
• Notification en cas de violation de données personnelles  
• Droits des personnes  
• En résumé, les apports du RGPD

Suppression des formalités

Les formalités qui devaient être accomplies auprès de la CNIL avant la mise en œuvre d’un traitement de données personnelles sont supprimées depuis le 25 mai 2018, date d’entrée en application du RGPD.

En contrepartie, les responsables de traitements et les sous-traitants doivent être à tout moment en mesure de démontrer qu’ils respectent les principes de protection des données.

Désignation d'un Délégué à la protection des données (DPO)

Le RGPD liste trois cas de désignation obligatoire par le responsable de traitement d’un Délégué à la protection des données (DPO en anglais) chargé de veiller au respect des principes de protection et de conseiller le responsable de traitement :

• les organismes publics ou autorités publiques (auxquels le G29 - devenu le 25 mai 2018 le Comité Européen de protection des Données – assimile également les organismes privés investis d’une mission de service public)
• les organisations qui gèrent de façon principale des traitements comportant un suivi régulier et systématique de personnes à grande échelle, 
• les organisations qui gèrent de façon principale des traitements comportant des données particulières – comme les données de santé - à grande échelle. 

En dehors de ces cas, la désignation d’un DPO sera évidemment possible si le responsable de traitement le juge nécessaire au regard des traitements de données personnelles qu’il met en œuvre. Le DPO doit exercer ses missions de façon indépendante et ne peut être le responsable de traitement. 

Que signifie « à grande échelle » ?

Il n’existe pas de seuil précis qui rend obligatoire la désignation d’un DPO, que ce soit pour la quantité de données traitées ou le nombre d’individus concernés. Des lignes directrices ont néanmoins été publiées pour apporter quelques précisions. Par exemple, constitue un traitement à grande échelle le traitement des données de patients par un hôpital dans le cadre du déroulement normal de ses activités. A l’inverse, ne constitue pas un traitement à grande échelle un traitement par un médecin exerçant à titre individuel des données de ses patients. De même, pour les pharmacies d’officine, la CNIL est venue préciser que les « pharmacies de taille importante » pouvaient être considérées comme exerçant leur activité à grande échelle. Voir question-réponse de la CNIL  sur ce sujet.

Que signifient "des données particulières" au sens du RGPD ? 

Article 9 :

• l'origine raciale ou ethnique,
• les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale,
• les  données génétiques, 
• les données biométriques aux fins d'identifier une personne physique de manière unique,
• les données concernant la santé ou celles concernant la vie sexuelle ou l'orientation sexuelle.

Article 10 :

• Données relatives aux condamnations pénales, aux infractions et aux mesures de sûreté

Analyse d’impact relative à la protection des données

Lorsqu'un traitement de données personnelles est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, une analyse d’impact sur la protection des données doit être menée.

Quels sont les traitements concernés ?

Cela concerne particulièrement dans le RGPD les traitements suivants :

• les traitements visant à évaluer de façon systématique et approfondie des aspects personnels propres à des personnes physiques, tel que le profilage ;
• les traitements à grande échelle de catégories particulières de données personnelles, tels que les dossiers médicaux conservés dans un hôpital ;
• les traitements qui visent la surveillance systématique à grande échelle d'une zone accessible au public, telle que l’utilisation d’un système de caméras pour surveiller les comportements routiers. 

En revanche, le traitement de données de patients par un médecin ou un autre professionnel de santé exerçant à titre individuel, de même que l’utilisation par un magazine d’une liste de diffusion pour communiquer son quotidien à ses abonnés ne devraient pas faire l’objet d’une analyse d’impact.

En quoi consiste une analyse d’impact ?

La CNIL a élaboré un logiciel d’analyse d’impact, téléchargeable sur son site , afin de faciliter la conduite et la formalisation de ces analyses telles que prévues par le RGPD. 

Tenue d’un registre des activités de traitement 

A qui s’impose cette obligation ?

Chaque responsable de traitement doit tenir un registre des traitements de données à caractère personnel mis en œuvre sous sa responsabilité. Toutefois, les entreprises de moins de 250 salariés bénéficient d’une dérogation en ce qui concerne la tenue de registre. Elles doivent inscrire au registre les seuls traitements de données suivants :

• les traitements non occasionnels (exemple : gestion de la paie, gestion des clients/prospects et des fournisseurs, etc.)
• les traitements susceptibles de comporter un risque pour les droits et libertés des personnes (exemple : systèmes de géolocalisation, de vidéosurveillance, etc.)
• les traitements qui portent sur des données sensibles (exemple : données de santé, infractions, etc.)

En pratique, cette dérogation est donc limitée à des cas très particuliers de traitements et les autorités recommandent, même pour ceux qui n’y seraient pas obligés, de tenir à jour ce registre qui contribue ainsi à établir une cartographie de l’ensemble de ses traitements et de documenter les respects des diverses obligations imposées par le RGPD.

Que doit comporter ce registre ?

Le registre doit comporter pour chaque traitement les informations suivantes : 

• Noms et coordonnées du responsable du traitement, de son représentant et du DPO
• Catégories de destinataires auxquels les données seront communiquées
• Finalités du traitement
• Transferts de données à caractère personnel mis en œuvre
• Catégories de personnes concernées
• Délais prévus pour l’effacement des différentes catégories de données
• Catégories de données à caractère personnel
• Mesures de sécurité techniques et organisationnelles

Le registre doit être mis à jour régulièrement au gré des évolutions fonctionnelles et techniques destraitements de données.

La CNIL a mis en ligne sur son site  un modèle de registre. 

Notification en cas de violation de données personnelles

Qu’est-ce qu’une violation de données ?

Il s’agit d’une faille de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisé à de telles données.

Que faire en cas de violation de données ?

Tout responsable de traitement qui constate une violation de données personnelles, doit la notifier à la CNIL dans les meilleurs délais et au plus tard dans les 72 heures après en avoir pris connaissance, si cette violation est susceptible de présenter un risque pour les droits et libertés des personnes. Cette notification s’effectue en ligne sur le site de la CNIL.

Exemple de risques pour les personnes : la perte de contrôle sur leurs données personnelles, la limitation de leurs droits, un vol ou une usurpation d'identité, une perte financière, une atteinte à la réputation, une perte de confidentialité de données à caractère personnel protégées par le secret professionnel.

Si ces risques sont élevés pour les personnes, elles doivent également en être informées.

Attention  : 

• toute violation de données personnelles n’a pas à être notifiée 
• mettre en place une procédure interne permettant de qualifier la nature de la violation

Plus de renseignements sur le site de la CNIL  

Droits des personnes

Des droits renforcés et renouvelés 

 Une information renforcée : plus d‘informations à porter à la connaissance de la personne. Des exemples de mentions d’informations sont disponibles sur le site de la CNIL.

• Quand il est exigé, un consentement renforcé : le responsable de traitement doit être en mesure d’apporter la preuve du consentement à tout moment et il peut être retiré à tout moment. 
• Des droits d’accès et de rectification rappelés : le responsable de traitement dispose d’un mois maximum pour répondre aux demandes 
• Le droit à l’effacement (droit à l’oubli) est consacré sauf dans certains cas : liberté d’expression et d’information ou obligation légale de conserver les données par exemple.

De nouveaux droits

• Un droit à la limitation du traitement, si les données sont excessives ou illicites : c’est le droit pour une personne de demander à un organisme de geler temporairement l’utilisation de certaines de ses données. Plus d’informations sur le site de la CNIL .
• Un droit à la portabilité, pour les données collectées avec le consentement de la personne ou pour l’exécution d’un contrat : le responsable de traitement doit, sous format électronique, restituer à la personne concernée ou transférer vers un autre responsable de traitement les données de la personne. Plus d’informations sur le site de la CNIL .

En résumé, les apports du RGPD

1. Mettre en œuvre toutes les obligations, outils et procédures internes décrites dans cet article et les documenter.
2. Mettre en œuvre toutes les mesures nécessaires à la protection des données personnelles à l’occasion de chaque nouveau traitement et dès le départ.
3. Etre à tout moment en mesure de démontrer la conformité aux principes de protection des données personnelles.

A défaut, les nouvelles sanctions administratives de la CNIL :

La CNIL a néanmoins indiqué que "le 25 mai ne sera pas une date couperet pour les sanctions" et que, dans les premiers mois, elle contrôlera d'abord la mise en mouvement des entreprises plutôt que leur complète conformité au RGPD.