Le Règlement Général sur la Protection des Données personnelles (RGPD) MEDEF – Direction Droit de l’Entreprise – Février 2018
Règlement général sur la protection des données personnelles (RGPD) QUOI ? adopté le 27 avril 2016 par le Parlement européen et le Conseil de l’UE directement applicable en France (sans loi de transposition) le 25 mai 2018 Il remplacera la directive de 1995 (n°95/46/CE) et prévaudra sur la loi française (y compris la loi de 1978 dite Loi Informatique et Libertés) Objectifs : harmoniser le droit européen et renforcer la maîtrise des individus sur leurs données dans un contexte de plus en plus numérique QUI ? Il concerne tous les organismes (grandes entreprises, PME, TPE, associations…). COMMENT ? Il renforce les obligations des entreprises, tout en les incitant à jouer un rôle actif dans le contrôle de la conformité de leurs traitements (= Accountability). Nouvelles sanctions / risques : amende jusqu’à 20 millions € ou 4% du chiffre d’affaire annuel mondial Risque image / réputationnel MEDEF – Direction Droit de l’Entreprise – Février 2018
MEDEF – Direction Droit de l’Entreprise – Février 2018 Quand le RGPD s’applique-t-il ? NON 1. Des données personnelles sont-elles traitées ? PHOTO Donnée personnelle : toute information permettant d’identifier directement ou indirectement une personne physique. IDENTIFIANT PROFESSIONNEL N° SECURITE SOCIALE NOM ADRESSE ELECTRONIQUE DONNEES DE LOCALISATION DONNEES DE CONNEXION Traitement : toute opération sur des données personnelles (collecte, stockage, conservation, utilisation…). DONNEES DE CONSOMMATION Le RGPD ne s’applique pas OUI RH 2. Quand appliquer le règlement ? Le RGPD s’applique Le traitement a lieu sur le territoire de l’UE, ou Le responsable du traitement ou le sous-traitant sont établis sur le territoire de l’UE, ou Les personnes concernées par le traitement sont des ressortissants européens. MEDEF – Direction Droit de l’Entreprise – Février 2018
Les principes de la protection des données personnelles (1/2) Licéité (Fondement du traitement) Loyauté et transparence du traitement Limitation des finalités du traitement Consentement de la personne Exécution d’un contrat Exécution d’une obligation légale Exécution d’une mission d’intérêt public Poursuite de l’intérêt légitime de l’entreprise Sauvegarde des intérêts vitaux de la personne concernée Informer les personnes concernées que leurs données sont collectées Les informer des finalités pour lesquelles les données sont utilisées Ne pas tromper les personnes sur la destination et la vraie finalité des données Les données doivent être collectées pour des finalités déterminées, explicites et légitimes Les données ne peuvent pas être utilisées d’une manière incompatible avec les finalités Exemples : contrôle d’accès ou vidéosurveillance 4 MEDEF – Direction Droit de l’Entreprise – Février 2018
Les principes de la protection des données personnelles (2/2) Minimisation des données Exactitude des données Limitation de la conservation des données Les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités du traitement Exemples : Coordonnées pour la livraison d’un bien acheté sur un site internet > Pas besoin du lieu de naissance ou du numéro de sécurité sociale Les données utilisées doivent être exactes et tenues à jour Les données inexactes doivent être effacées ou rectifiées rapidement Exemples : fichiers client pour la prospection ou pour les gestion clientèle Les données doivent être conservées pendant une durée limitée strictement nécessaire au traitement Les données ne peuvent être conservées longtemps qu’à des fins de recherche scientifique, historique ou statistique Attention aux durées légales minimales ou maximales 5 MEDEF – Direction Droit de l’Entreprise – Février 2018
MEDEF – Direction Droit de l’Entreprise – Février 2018 Ce qui va changer pour les entreprises Nouvelle approche pour la conformité : Accountability Les formalités de déclaration à la CNIL sont supprimées L’entreprise doit mettre en place : une politique interne en matière de protection des données personnelles, des mesures de traçabilité pour prouver la conformité des traitements, des mesures appropriées pour assurer, dès sa conception, la conformité d’un traitement (Privacy by design) et des paramètres par défaut protecteurs des données personnelles (Privacy by default). L’entreprise doit assurer un niveau de sécurité approprié pour les traitements et données L’entreprise doit effectuer des analyses d’impact avant la mise en place d’un traitement (si l’analyse révèle un risque élevé pour les données personnelles, l’entreprise devra consulter la CNIL). L’entreprise doit notifier les failles de sécurité (intentionnelles ou accidentelles) touchant aux données personnelles à la CNIL (dans un délai de 72h de la découverte de la faille) et avertir les personnes concernées dans certaines conditions. L’entreprise (y compris le sous-traitant) de plus de 250 salariés doit tenir à jour un registre de ses traitements (identité et coordonnées du responsable du traitement, coordonnées du DPO, finalités du traitement, données collectées, destinataires des données, durée de conservation…). L’entreprise doit vérifier que le traitement est légitime (qu’il repose sur une obligation légale, un contrat ou le consentement) et que les données collectées sont strictement nécessaires au traitement. Interne Sécurité Transparence 6 MEDEF – Direction Droit de l’Entreprise – Février 2018
MEDEF – Direction Droit de l’Entreprise – Février 2018 Désignation d’un Data Protection Officer (DPO) Les entreprises doivent obligatoirement désigner un DPO si leurs activités de base consistent : en un suivi régulier à grande échelle de données personnelles ; ou en un traitement à grande échelle de certaines données (origine raciale ou ethnique, opinions politiques, syndicales ou religieuses, données génétiques et biométriques, données de santé). Choix des sous-traitants L’entreprise doit choisir un sous-traitant (partenaire ou prestataire) qui assure des garanties de protection suffisantes dans le traitement des données personnelles. La relation entre l’entreprise et son sous-traitant doit être obligatoirement régie par un contrat. Le sous-traitant doit, sous peine d’engager sa responsabilité à l’égard du responsable de traitement : traiter les données personnelles selon les seules instructions du responsable de traitement permettre au responsable du traitement d’effectuer des contrôles de conformité prendre les mesures de sécurité appropriées ne pas lui-même sous-traiter sans le consentement préalable écrit du responsable du traitement avertir le responsable du traitement le plus tôt possible de toute violation de données. Un même DPO peut être désigné pour plusieurs entreprises. Il peut être salarié ou externe à l’entreprise (avocat, consultant…), mais il doit exercer ses fonctions en toute indépendance. Le DPO doit avoir : une expertise sur la règlementation et les pratiques en matière de données personnelles, une compréhension du secteur d’activité, des technologies et de la sécurité des données. Il a pour mission d’informer et de conseiller l’entreprise et de veiller à la conformité de la réglementation en matière de données personnelles, mais il n’est pas responsable. 7 MEDEF – Direction Droit de l’Entreprise – Février 2018
MEDEF – Direction Droit de l’Entreprise – Février 2018 Quels sont les droits des personnes concernées par un traitement ? La personne concernée a le droit de : Être informée de l’existence d’un traitement de données personnelles au moment de la collecte de leurs données par le responsable du traitement. Accéder à ses données : la personne a le droit d’obtenir la confirmation du traitement de ses données et de recevoir copie de toutes les informations la concernant. Faire rectifier ses données : la personne a le droit de demander la rectification de ses données. Demander la portabilité de ses données : la personne a le droit de récupérer les données personnelles la concernant qu’elle a elle-même fournies au responsable du traitement, dans un format ouvert et lisible, ou de demander qu’elles soient transmises directement ces données à une autre entreprise. S’opposer au traitement de ses données, y compris la prospection commerciale, à tout moment. Faire supprimer ses données (droit à l’oubli) : la personne a le droit d’obtenir la suppression de ses données personnelles. Le RGPD ne s’applique pas aux données des personnes décédées. L’entreprise doit permettre aux personnes d’exercer gratuitement l’ensemble de ces droits et elle doit répondre dans un délai d’un mois maximum. La personne peut introduire une réclamation directement auprès de l’entreprise, mais elle peut également déposer une plainte auprès de la CNIL ou des tribunaux (civils et pénaux). 8 MEDEF – Direction Droit de l’Entreprise – Février 2018
MEDEF – Direction Droit de l’Entreprise – Février 2018 Eléments encore manquants aujourd’hui : Révision de la loi Informatique et Libertés de 1978 Certaines lignes directrices du G29 (Groupe des 28 CNIL européennes) Actions du MEDEF : Outils d’accompagnement à destination des entreprises : Outil d’auto-évaluation (DIAG RGPD) => Disponible : http://rgpd.medef.com Développement d’un MOOC (Mon Campus Numérique) => Fin février / Début mars Elaboration d’un guide pratique => Premières fiches disponibles sur le site internet du MEDEF Sensibilisation : colloque sur le RGPD le jeudi 5 avril 2018 à 16h. 9 MEDEF – Direction Droit de l’Entreprise – Février 2018