Interview du Cabinet HAAS Avocats | Le RGPD en 5 questions

Interview du cabinet HAAS avocats par PowerBoutique sur le RGPDL’entrée en application du RGPD (Règlement général sur la protection des données), le 25 mai prochain, va faire évoluer les pratiques et habitudes des professionnels du e-commerce.

Pour vous aider à y voir plus clair sur ce règlement et vous accompagner dans votre mise en conformité, nous publierons différents articles sur notre blog au cours des prochaines semaines.

Me Gérard HAAS

Me Rachel RUIMY

Aujourd’hui, nous vous proposons de découvrir le cadre légal du RGPD grâce à une interview de 2 avocats spécialistes de ce sujet : Me Gérard HAAS, Associé fondateur du Cabinet HAAS Avocats et auteur du livre “Le RGPD expliqué à mon Boss”, et Me Rachel RUIMY, Responsable d’activité E-commerce du Cabinet HAAS Avocats.

 

1) Concrètement, qui est concerné par le RGPD ?

Rares seront les entreprises qui ne seront pas touchées par le RGPD entrant en application le 25 mai 2018 : cybermarchands, start-up, TPE/PME, sociétés du CAC 40, banques, compagnies d’assurance, fournisseurs de services en mode SaaS, opérateurs de plateformes…, tous seront concernés.

En effet, dès que les données à caractère personnel1 de citoyens de l’Union européenne sont collectées, stockées et/ou utilisées, le RGPD s’applique, et ce que l’entreprise se situe sur le territoire de l’Union Européenne ou non.

Chaque citoyen européen aura donc la possibilité d’imposer à toute entreprise qui collecte ses données personnelles l’application du RGPD et pourra faire valoir ses droits et garanties.

L’enjeu est de taille puisqu’il s’agit ici d’imposer aux GAFAM (acronyme des géants américains du Web : Google, Apple, Facebook, Amazon et Microsoft) l’application des mêmes règles contraignantes que leurs concurrents européens.

Il convient également de préciser que le secteur privé n’est pas le seul concerné, les collectivités locales étant également impactées par le RGPD.
 

2) Quelles sont les nouvelles obligations pour les entreprises ?

Sous l’impulsion du RGPD, sont renforcés les devoirs et responsabilités de toute la chaîne d’acteurs, du responsable de traitement aux partenaires commerciaux en passant par les sous-traitants et les fournisseurs de services.
 
1. La responsabilisation des acteurs

Ces obligations s’appuient sur une logique générale de responsabilisation des acteurs et notamment sur les principes de “Privacy by Design” et “d’accountability” (responsabilisation). Concrètement, cela signifie que chaque entreprise doit se doter d’une politique globale de protection des données en s’assurant, dès le moment de la conception, que le nouveau service qu’elle s’apprête à lancer et par lequel elle va collecter des données est bien conforme à la nouvelle réglementation.
 
2. Le renforcement des droits des personnes

Un des buts principaux du RGPD est de renforcer le droit des personnes, ce qui passe par la réaffirmation de droits anciens (droit à l’information, droit d’accès, droit d’opposition, droit de rectification), mais aussi par la consécration de nouveaux droits.

La Loi Informatique et Libertés2 exigeait déjà le recueil d’un consentement explicite de la personne concernée reposant sur une information claire, intelligible et aisément accessible, et ce, préalablement au traitement.

La loi pour une République numérique du 7 octobre 20163 avait également instauré le droit à la mort numérique, par lequel toute personne a la possibilité de laisser ses directives générales ou particulières sur le sort de ses données après son décès.

Désormais, les responsables de traitement devront également respecter les nouveaux droits suivants :

  • Le droit à la portabilité des données, qui permet à une personne visée par un traitement de récupérer les données qu’elle a fournies sous une forme facilement réutilisable, et le cas échéant, de les transférer par la suite à un tiers. Ce droit était déjà prévu dans le cadre des relations BtoC par la loi pour une République numérique4.
  • Le droit à l’effacement (droit à l’oubli), qui comprend d’une part le droit au déréférencement des données personnelles indexées par un moteur de recherche ainsi que le droit à l’effacement des données après une durée déterminée à l’avance par l’entreprise. Certaines exceptions au droit à l’effacement existent5.
  • Le droit de s’opposer au profilage6, étant précisé que le RGPD prévoit l’obligation d’informer la personne concernée de l’existence d’une prise de décision automatisée y compris d’un profilage.
  • Le droit à la limitation du traitement, qui permet dans certaines hypothèses7 à la personne concernée d’obtenir du responsable du traitement la seule conservation des données, sans qu’aucun autre traitement ne puisse être effectué.

3. Un niveau adapté de sécurité des données

La grande nouveauté en matière de sécurité est l’obligation de notifier, dans les 72 heures, les failles de sécurité à l’autorité de contrôle (la CNIL) et à la personne concernée, sauf si cette violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.
 
4. La réalisation d’une étude d’impact sur la vie privée (PIA)

L’étude d’impact sur la vie privée est un outil permettant de vérifier et de démontrer la conformité d’un traitement de données à caractère personnel au RGPD.

Avec cette nouvelle réglementation européenne, cette étude sera obligatoire lorsque le traitement engendrera “un risque élevé” pour les droits et les libertés des personnes concernées, ce qui est par exemple le cas pour le traitement de données sensibles ou de données à caractère hautement personnel, ou en cas de prise automatisée de décisions avec effet juridique ou effet similaire significatif.
 
5. La tenue d’un registre d’activités de traitement

De nombreuses entreprises devront tenir leur registre des traitements indiquant les informations relatives aux données traitées, où elles ont été traitées, de quelle manière et les raisons de ce traitement8.
 
6. La désignation d’un Délégué à la Protection des Données (DPO)

Le Délégué à la Protection des Données (DPD) ou Data Protection Officer (DPO) a été consacré par le RGPD comme le gardien du respect des obligations mises à la charge du responsable de traitement.

Si l’actuel Correspondant Informatique et Libertés (CIL) était facultatif, le DPO devient obligatoire pour le secteur privé dans les cas suivants :

  • Lorsqu’il est imposé par une législation nationale ;
  • Pour les traitements à grande échelle ;
  • En cas de suivi régulier et systématique à grande échelle des personnes concernées.

En tout état de cause, même si cela n’est pas obligatoire, la désignation d’un DPO, qu’il soit désigné en interne (sous réserve de son indépendance et de ses compétences juridiques et techniques) ou que cette fonction soit externalisée, s’inscrit dans le cadre de la “Data Governance” (gouvernance des données) de l’entreprise et apparaît comme un vecteur de confiance pour les clients et partenaires du responsable de traitement.

 

3) Quels aspects les entreprises doivent-elles prioriser dans le cadre de leur mise en conformité ?

Premièrement, la clarification de l’acte de consentement

Le RGPD repose notamment sur l’information de l’utilisateur.

Ainsi, outre les informations classiques relatives aux finalités du traitement, à la durée de conservation des données, aux destinataires éventuels et aux transferts des données hors de l’Union européenne, la personne concernée devra être informée :

  • De son droit de retirer son consentement,
  • Des modalités d’exercice de ses différents droits,
  • Des finalités spécifiques et du fondement légal du traitement (exécution d’un contrat, obligation légale ou réglementaire, intérêt légitime du responsable),
  • Des coordonnées du responsable de traitement et du délégué à la protection des données (DPO),
  • De l’existence ou non d’une prise de décision automatisée fondée sur le traitement,
  • De la possibilité d’introduire une réclamation auprès de la CNIL.

 
Deuxièmement, la minimisation des données

La minimisation des données est un autre nouveau principe directeur du RGPD, au nom duquel les données doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.

À ce titre, il conviendra par exemple de limiter l’envoi des documents électroniques contenant des données aux seules personnes habilitées.
 
Ainsi, la mise en conformité de l’activité d’un responsable de traitement peut être mise en œuvre via les trois étapes suivantes :

  1. Le diagnostic de l’existant, qui consiste à effectuer un état des lieux et à planifier la mise en conformité ;
  2. L’établissement du registre d’activités de traitement, qui consiste à cartographier les traitements et à établir le registre conformément au RGPD ;
  3. La réalisation d’études d’impact.

 

4) À quelles sanctions s’attendre en cas de non-respect du règlement ?

Depuis la loi Informatique et Libertés, la CNIL a la possibilité de prononcer des sanctions administratives.

L’évolution majeure du RGPD en matière de sanctions est le plafond des amendes administratives :

- Jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, 2 % du chiffre d’affaires annuel mondial pour des manquements, notamment, au Privacy By DesignPrivacy By Default, en matière de PIA, etc. ;

- Jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4 % du chiffres d’affaires annuel mondial pour manquement, notamment, aux droits des personnes (droits d’accès, de rectification, d’opposition, de suppression, droit à l’oubli, etc.).

À noter que, dans chacun des cas, le montant le plus élevé sera celui pris en compte.
 
Des sanctions pénales sont également prévues par le RGPD. À ce titre, l’article 84 1° du Règlement énonce que les États peuvent déterminer le régime des sanctions applicables en cas de violation des obligations prévues, autres que les sanctions administratives.

En droit français, les sanctions pénales en cas de manquement aux règles en matière de protection des données sont déjà prévues et réprimées par les articles 226-16 à 226-24 du Code pénal. Elles peuvent être résumées dans le tableau suivant :

 
Par ailleurs, les décisions rendues à l’encontre des entreprises contrevenantes seront publiées sur le site de la CNIL. Ainsi, les entreprises sanctionnées pour manquement(s) à la réglementation informatique & libertés pourraient être décrédibilisées auprès de leurs clients.
 
Enfin, la violation des dispositions du RGPD pourra affecter le chiffre d’affaires et la compétitivité de l’entreprise sanctionnée. En effet, le client qui verrait ses données personnelles exploitées par un tiers non autorisé suite à une faille de sécurité dans le système informatique de l’entreprise serait tenté de se tourner vers ses concurrents, plus respectueux de ses données.

 

5) Pour finir, un délai supplémentaire sera-t-il accordé aux entreprises pour la mise en conformité ?

Non, le texte étant d’application immédiate, les mesures préconisées par le RGPD doivent être mises en place à compter du 25 mai prochain.

 
 
Toute notre équipe remercie Mes HAAS et RUIMY pour leurs réponses à nos questions !
 

E-commerçants, comme précisé en introduction, d’autres articles sur cette thématique seront publiés au cours des prochaines semaines pour vous accompagner dans la mise en conformité au regard du RGPD ! Et on vous prépare en ce moment même un billet sur les impacts du RGPD sur votre logiciel PowerBoutique, rendez-vous dans 2 jours sur notre blog ;)

N’hésitez pas en parallèle à consulter le site du Cabinet Haas Avocats pour obtenir plus d’informations au sujet du règlement européen sur la protection des données.

 
 

1 Pour rappel : Une donnée à caractère personnel est toute information relative à une personne physique, identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification, ou à tout autre élément.

2 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée

3 Loi n°2016-1321 du 7 octobre 2016 pour une République numérique, qui a introduit l’article 40-I dans la loi Informatique & Libertés

4 Loi n°2016-1321 du 7 octobre 2016 pour une République numérique, qui a introduit l’article 224-42-1 du Code de la consommation selon lequel « le consommateur dispose en toutes circonstances d’un droit de récupération de l’ensemble de ses données »

5 En cas de respect d’une obligation légale pour l’exécution d’une mission d’intérêt public, pour des motifs de santé publique, pour des motifs d’archivage à des fins scientifiques, statistiques et historiques si le droit à l’effacement y porte sérieusement atteinte, dans le cadre de la constatation, de l’exercice ou de la défense des droits en justice et dans le cadre de l’exercice de la liberté d’expression et d’information
À noter en parallèle que le droit à l’effacement ne doit pas se substituer à l’obligation de conservation des documents des entreprises (bons de commande, factures…)

6 Le profilage étant défini par le RGPD comme toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant son rendement au travail, sa situation économique, sa santé, ses préférences personnelles, ses intérêts, sa fiabilité, son comportement, sa localisation ou ses déplacements

7 1. l’exactitude des données est contestée par la personne concernée ; 2. Le traitement est illicite et la personne concernée s’oppose à leur effacement ; 3. Les données sont obsolètes mais encore nécessaires pour la constatation, l’exercice ou la défense de droits en justice ; 4. La personne concernée s’est opposée au traitement

8 Art 30 § 5 du RGPD

 
Crédits : HAAS AVOCATS / Jérôme Rommé © Fotolia

2 commentaires

  • Bonjour
    Pourrez vous nous donner des informations plus précises sur :
    L’établissement du registre d’activités de traitement, qui consiste à cartographier les traitements et à établir le registre conformément au RGPD ; s’agit il d’un fichier ? ce registre est il obligatoire pour TOUTES les entreprises ?
    La réalisation d’études d’impact. Auprès de nos clients ? de quoi s’agit il exactement ?

    • PowerBoutique

      Bonjour Madame Gauthier,

      Merci pour vos questions, je vais essayer d’y répondre le plus clairement possible.

      Le registre d’activités de traitement décrit les traitements que vous effectuez et sert à prouver votre conformité en cas de contrôle de la Cnil.
      Si la désignation d’un DPO (délégué à la protection des données) n’est pas nécessaire pour les petites entreprises, la tenue d’un registre est, elle, nécessaire si les traitements des données à caractère personnel sont “non occasionnels”.
      À noter : un modèle de registre sera inclus dans le cadre de notre offre en partenariat avec le Cabinet Haas. Et la Cnil en propose un sur son site.

      Pour ce qui est de la réalisation d’études d’impact, elle est obligatoire dans le cas de traitement de données dites sensibles ou de données à caractère hautement personnel. Les coordonnées (de type adresse, e-mail…) ne sont pas considérées comme tel.

      Anaëlle de l’équipe PowerBoutique

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *