Les nouvelles règles de la protection des données personnelles

Les nouvelles règles de la protection des données personnelles entreront en vigueur le 25 mai 2018, par application du Règlement Européen sur la Protection des Données (RGPD).
Toutes les entreprises françaises sans exceptions sont concernées et ce à tous les niveaux par ces nouvelles obligations (données récoltées au niveau RH, des clients, des fournisseurs).
Vous êtes également tous concernés comme personne physique en votre qualité de client, patient, visiteur de site internet, etc.
Actuellement, la France connaît un système dit « déclaratif », consistant à déclarer à la CNIL les données personnelles collectées
Pour rappel, une donnée personnelle est : un nom, un prénom, un adresse, une adresse e-mail, un numéro de téléphone, etc. permettant d’identifier une personne physique.
D’autres données sont dites « sensibles » : numéro de sécurité sociale, données de santé, etc.
Désormais, chaque entreprise collectant des données personnelles devra être en mesure de prouver, sans déclaration préalable, qu’elle :

  • Détient un registre de traitements des données ;
  • Garantit le plus haut niveau de confidentialité et sécurité des données ;
  • Assure la protection de la vie privée des personnes physiques ;
  • A désigné un délégué à la protection des données (DPO) pas forcément obligatoire pour toutes les entreprises mais fortement conseillé : soit un salarié, soit une personne privée, soit un avocat ;
  • En cas de violation de la vie privée, les entreprises sont tenues de notifier sous 72h maximum à la CNIL ainsi que les personnes dont les données auraient été soumises à une violation.
  • Droit à la portabilité : toutes les données d’un individu doivent être exportables directement par l’individu ;
  • Droit à l’oubli : sur demande le consommateur peut réclamer la suppression de ses données ;
  • Consentement : tout traitement de ses données doit faire l’objet d’une autorisation explicite

S’agissant des sanctions et notamment des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 à 20 millions d’euros, ou de 2% à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

La CNIL pourra effectuer des contrôles sous fausse identité (contrairement à la répression des fraudes par exemple) pour constater des manquements.
En clair, un agent assermenté pourra se faire passer pour un prospect pour vérifier que l’entreprise est en conformité.
Ces nouvelles dispositions sont extrêmement contraignantes pour les TPE/PME, soit une majorité
Le projet de loi pour la France (adopté en avril prochain ou avant espérons-le) prévoit une attention particulière pour les plus petites entreprises sans beaucoup plus d’explications pour le moment.
De plus, le RGPD prévoit un régime particulier de responsabilité pour les « sous-traitants » à savoir les prestataires informatiques qui créent des produits et services permettant aux entreprises de collecter et de conserver les données personnelles. Tous les prestataires informatiques et éditeurs de logiciels seront a priori concernés;.

Bon courage pour intégrer  cette démarche

Jacques Brouillet
Cabinet ACD
Avocat au barreau de Paris
tel :07 88 03 21 63

468 ad