Règlement général sur la protection des données (RGPD) : pour comprendre la nouvelle donne

Le règlement général sur la protection des données entre en vigueur ce 25 mai. Guillaume Bordier, associé de Capstan Avocats, assiste les entreprises dans la préparation de sa mise en œuvre depuis plusieurs mois. Il répond aux principales interrogations des entreprises.

 

Que change concrètement le RGPD dans la pratique de traitement des données personnelles des entreprises  ?

Guillaume Bordier : Nous changeons de logique, puisque l’on passe d’un système fondé sur des obligations déclaratives auprès de la CNIL, avec des dispenses ou des déclarations simplifiées dans un certain nombre de domaines (opérations de paie, gestion du personnel…), à un système dans lequel l’entreprise doit respecter un grand nombre de principes essentiels et être en mesure de démontrer à tout moment qu’elle les respecte.

 

Le RGPD prévoit des obligations précises, telles que la réalisation d’une cartographie et l’établissement d’un registre des traitements de données, l’information transparente et complète des personnes concernées (salariés, clients, fournisseurs…), la conclusion de contrats avec les sous-traitants définissant leurs obligations en matière de gestion  et de protection des données personnelles, ou encore la désignation d’un Délégué à la protection des données (également appelé « DPO »). Cela implique un plus grand formalisme et impose aux entreprises de se doter d’outils permettant d’assurer la conformité de leurs pratiques et de la documenter : clauses contractuelles, chartes, documents d’information, procédures, formation du personnel, …

 

En contrepartie de la disparition des obligations déclaratives, l’entreprise pourra à tout moment être contrôlée par la CNIL. Des salariés ou des organisations syndicales pourront également engager des actions individuelles et collectives pour faire sanctionner le non-respect du cadre légal.

 

 

Quelles sont les obligations de l’entreprise lorsqu’elle a recours à un sous-traitant pour collecter ou traiter des données à caractère personnel ?

Guillaume Bordier : Jusqu’à présent, seul le responsable de traitement était visé par la loi informatique et libertés. Avec le RGPD, les sous-traitants acquièrent une responsabilité équivalente à celle de leurs clients, en s’exposant aux mêmes sanctions.

 

Concrètement, tous les contrats de prestation de services doivent être revus pour s’assurer qu’ils contiennent les clauses par lesquelles le sous-traitant garantit le respect de la réglementation en matière de protection des données personnelles. L’entreprise doit également s’assurer que son prestataire a pris les « mesures techniques et organisationnelles » nécessaires pour garantir la sécurité et notamment la confidentialité des données auxquelles il aura accès. En d’autres termes, le respect du RGPD doit devenir l’un des critères de sélection des sous-traitants. Bien sûr, les exigences ne seront pas les mêmes envers tous les prestataires en fonction de la quantité et de la sensibilité des données traitées par le prestataire : cela peut aller d’une simple déclaration de principe jusqu’à la réalisation d’audits, en passant par des engagements sur la localisation des serveurs, le cryptage des données, etc. Dans le domaine RH, les entreprises ont souvent recours à des prestataires extérieurs (paie, formation, rémunération, conseil…), qui ont par définition accès à des données sensibles, comme le numéro de sécurité sociale, la rémunération, ou parfois les données bancaires des salariés. Les contrats avec ces prestataires doivent donc faire l’objet d’une attention particulière.

 

Les entreprises doivent-elles s’attendre à être lourdement sanctionnées en cas de manquement ?

Guillaume Bordier : Les sanctions sont particulièrement dissuasives puisqu’elles peuvent atteindre jusqu’à 4 % du chiffre d’affaires mondial hors taxes ou 20 millions d’euros pour les manquements les plus graves (le montant le plus élevé étant retenu). Fort heureusement, les autorités de contrôle auront un pouvoir d’appréciation en fonction de certains critères (gravité du manquement, degré de coopération, récidive…) et la possibilité de mettre en œuvre des mesures alternatives et graduelles, allant du rappel à l’ordre, à la mise en demeure, l’injonction assortie d’astreinte, en passant par l’interruption du traitement litigieux.

La CNIL a indiqué encore récemment qu’elle entendait accompagner les entreprises dans la mise en œuvre des nouvelles obligations ou des nouveaux droits résultant du RGPD, notamment en mettant à leur disposition des outils de préparation et de mise en conformité au RGPD et qu’elle ne sanctionnerait pas en principe les entreprises de bonne foi engagées dans une démarche de conformité et faisant preuve de coopération avec ses services. En revanche, elle entend se montrer intransigeante sur le respect des principes essentiels (loyauté du traitement, pertinence et limitation des données traitées, durées de conservation, sécurité des données…).