Dossier RGPD
Dans un monde digital, à la croissance exponentielle du savoir, toujours plus incertain tant sur les plans politiques qu’économiques, comment ne pas voir la protection de la vie privée et de nos données personnelles comme LE facteur de différenciation ?
Jamais dans l’histoire, les entreprises et leurs managers n’ont subi une telle pression pour s’adapter, innover et… collecter et traiter des données personnelles.
Notre évolution digitale connaît une explosion sans précédent : des services en ligne (internet 1.0 – informations et commerce électronique) aux robots (internet 4.0) en passant par les réseaux sociaux (internet 2.0) et les objets connectés (internet 3.0).
C’est pour cela que le GDPR pourrait aussi se comparer à une Grande Dame qui Protège et Rassure… dans nos activités les plus intimes et essentielles : internet, cloud compting, big data, réseaux sociaux, Internet of Things,…
De manière plus personnelle, comme père de 5 enfants vivant toujours avec leur mère que j’aime, j’ai raffolé parcourir les garanties nouvelles que le Règlement amène aux enfants. A bien des égards et pour eux, le GDPR peut vraiment incarner la Grande Dame qui Protège et Rassure…
Le nouveau règlement renforce les droits existants, attribue de nouveaux droits et octroie aux individus (ou leurs parents) une maîtrise accrue de leurs données personnelles, en particulier pour les enfants.
Le cadre
« Le nouveau règlement, mené à bonne fin lors de la Présidence luxembourgeoise du Conseil de l’Union européenne, est une adaptation à un monde nouveau, un monde où l’innovation technologique permettra à la fois des avancées importantes tout en garantissant le respect de nos principes fondamentaux. Nous voulons nous préparer aux défis, mais aussi nous ouvrir aux opportunités d’une société de plus en plus numérique : une société dans laquelle nous aimons évoluer, et en laquelle nous continuons d’avoir confiance. La CNPD est un acteur indispensable pour assurer cette confiance », Premier ministre et ministre des Communications et des Médias du Grand-duché de Luxembourg, Xavier Bettel lors de la Conférence sur le nouveau règlement général sur la protection des données du 11 octobre 2016 (https://cnpd.public.lu/fr/actualites/national/2016/10/conference-CNPD-SMC-1110/index.html)
La protection des données est plus que jamais un « droit fondamental » (considérant n°1 du RGPD) qui inspire et imprègne selon moi toute la matière en se résumant comme suit : « toute personne a droit à la protection des données à caractère personnel la concernant ».
La protection dès la conception est définitivement le changement de mentalité qui nous sera le plus utile à l’ère digitale version Xy. Toute personne impliquée dans cette protection des données et de la vie privée, responsable du traitement, sous-traitant, délégué à la protection des données (DPD), intègre à présent les nouvelles règles du RGPD dès la conception de toute application, produit ou service (et non plus seulement au stade de la production, l’exploitation ou du service après-vente).
La protection des données à caractère personnel des individus est un droit fondamental. Ce droit n’est toutefois pas plus absolu que totalitaire.
La jurisprudence de la CouEDH (La Cour européenne des droits de l’homme) est particulièrement fournie en termes de pondération du droit à la protection des données avec le droit à la liberté d’expression (l’article 10 de la CEDH).
Dans l’affaire Von Hannover c. Allemagne (n° 2)29, la CouEDH n’a pas constaté de violation du droit au respect de la vie privée au titre de l’article 8 de la CEDH lorsque la princesse Caroline de Monaco s’est vue refuser une injonction contre la publication d’une photographie la représentant avec son mari pendant des vacances au ski. La photographie était accompagnée d’un article faisant état, entre autres, de la dégradation de l’état de santé du prince Rainier.
La CouEDH a conclu que les juridictions nationales avaient procédé à une mise en balance circonstanciée du droit des sociétés d’édition à la liberté d’expression avec le droit des requérants au respect de leur vie privée. La qualification donnée à la maladie du prince Rainier d’« événement de l’histoire contemporaine » par les juridictions nationales ne pouvait passer pour déraisonnable et la CouEDH a considéré que la photographie, considérée à la lumière des articles l’accompagnant, avait apporté, au moins dans une certaine mesure, une contribution à un débat d’intérêt général. La CouEDH a exclu la violation de l’article 8 de la CEDH.
Le RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ou « Règlement Général sur la Protection des Données » ou General Data Protection Regulation – GDPR – ci-après le Règlement), abrogeant la directive 95/46/CE – https://en.wikipedia.org/wiki/Data_Protection_Directive & https://fr.wikipedia.org/wiki/Directive_95/46/CE_sur_la_protection_des_donn%C3%A9es_personnelles).
Il a été publié au Journal officiel de l’Union Européenne le 4 mail 2016 (JOUE, L. 119 du 4_5_2016, pp. 1-88): http://eur-lex.europa.eu/eli/reg/2016/679/oj et comprend 99 articles commentés dans 173 considérants.
Pour la première fois, et l’exercice est formateur et fascinant pour les juristes habitués à des lois nationales, l’Union européenne rend applicable une réglementation unique applicable de manière identique sur l’ensemble de son territoire (et même au-delà : 3 des 4 pays de l’EEE et toutes entreprises étrangères qui vendent des biens et des services dans l’Union ou surveillent ses résidents).
En effet, et contrairement à une directive, le Règlement est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. Le même texte s’applique donc dans toute l’Union.
Le règlement est applicable à partir du 25 mai 2018 de sorte que les traitements de données personnelles déjà mis en œuvre à cette date (la situation actuelle de votre entreprise le cas échéant) devront d’ici là être mis en conformité avec les dispositions du Règlement.
Quand le Règlement européen est-t-il applicable ?
Le règlement est applicable à partir du 25 mai 2018 (article 99.2 du règlement) dans tous les pays de l’Union Européenne.
Les applications, fichiers et autres traitements de données déjà mis en œuvre à cette date doivent, d’ici là, être mis en conformité avec les dispositions du règlement.
La conformité de votre entreprise impose souvent plus que de « cocher » des cases sans adoption de nouveaux outils, méthodes et politiques de gestion et de reporting. Le coût de ne PAS être conforme est extrêmement élevé.
Quels changements pour les entreprises ?
Les obligations de déclaration auprès des autorités de contrôle sont supprimées à compter du 25 mai 2018. Elles sont remplacées par des exigences de conformité, de responsabilité et sont accompagnées de (très) lourdes sanctions dissuasives.
Le Règlement accroit les droits des personnes concernées, multiplie les obligations de communication aux autorités de contrôles et aux personnes concernées en cas de violation des données et les assorti de sanctions plus sévères.
Évaluer le nombre, type et compétences de ressources humaines, matérielles, financières et d’information est le point départ de toute démarche de conformité au RGPD.
Si la destination de la certitude parfaite de notre conformité au Règlement ne pourra éventuellement être atteinte que par le biais de la Certification, ce moment arrivera un jour et les entreprises les mieux préparées seront donc les premières.
La finalité du voyage lointain est-elle sa destination ou serait-ce avant tout, l’espoir ?
Aliénations – Jean-Michel Calvez
Dans l’intervalle, nous pensons que l’extraordinaire passage que nous propose le GRPD, à bien des égards initiatique voire chamanique, nous invite à changer de regards et d’attitudes par rapport aux « data subjects » ou « personnes concernées », nos clients ou prospects, partenaires, destinataires ou fournisseurs.
Former des équipes, internes et accompagnées en règle de consultants externes ou « ad interim », de formations, expériences et visions multiples et diverses, constitue une aventure humaine que personne n’avait imaginée.
Des concepts comme la licéité, loyauté, transparence, exactitude, intégrité et la limitation des finalités existaient déjà par exemple. Mais le RGPD complète et modifie, en règle pour renforcer les droits des personnes concernées et donc imposer de nouvelles, ou plus lourdes, obligations aux organisations traitant des données.
Le RGPD apporte de nouvelles obligations et renforce les droits des particuliers de sorte que vous allez devoir accomplir des tâches pour la première fois et en réaliser d’autres différemment.
Quid des sanctions?
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.
Les autorités de protection peuvent notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.
Les rapports des autorités de contrôle relatifs aux violations des données personnelles ont un but de définition et de communication de la politique générale. Le Règlement vise à pousser les entreprises et les organismes publics à renforcer leur capacité à détecter et dissuader les infractions. Ce qui est avant tout dans l’esprit des régulateurs n’est pas de punir les organisations, mais de les rendre mieux équipées pour faire face aux vulnérabilités de violations de sécurité des données.
Les amendes sont réparties en deux catégories en fonction de la nature des manquements :
- maximum 10 Mo d’euros ou 2 % du chiffre d’affaires mondial de l’exercice précédent
- maximum 20 Mo d’euros ou 4 % du chiffre d’affaires mondial de l’exercice précédent.
C’est à chaque fois le montant le plus élevé (nominal ou en pourcentage du CA) qui est retenu.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Les amendes administratives imposées en vertu du Règlement doivent, dans chaque cas, être effectives, proportionnées et dissuasives (ce qui semble être possible avec les seuils maxima proposés).
Une société qui a procédé à un nombre record de 146 millions d’appels illégaux a été condamnée à 350 000 £ par le Commissariat à l’information du Royaume Uni (ICO).
Les gens ont été harcelés et menacés par des appels enregistrés – automatisés – lancés par Car Money Money basé et Your Money Rights Ltd.
Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.
Le règlement sur la protection des données renforce les possibilités de recours juridictionnel contre une autorité de contrôle, y compris via des actions collectives (Test-achat par exemple).
Le RGPD, une opportunité ?
Le Règlement invite à développer une relation unique que seules les plus grandes entreprises, ou les meilleures ou agiles et évolutives, ont pu construire et qui résulte d’une vision commune partagée par tous les membres de votre entreprise : Nous mettons tout en œuvre pour protéger vos données, les traiter de manière loyale et transparente et vous informer en permanence.
Un traitement loyal des données collectées auprès des particuliers signifie aussi que les responsables du traitement sont prêts à aller au-delà des obligations légales minimales de service envers la personne concernée, si les intérêts légitimes de celle-ci le requièrent.
En termes de marketing direct, cela implique de veiller à ce que les personnes dont vous utilisez les données sont conscientes qu’elles peuvent recevoir des offres marketing de votre part. Vous devez également les informer si vous prévoyez de partager vos bases de données à d’autres organisations et comment vous allez contacter ces personnes : par courrier, téléphone, courrier électronique,…
« La pierre angulaire du nouveau règlement européen est (en effet) la notion de confiance : confiance dans le responsable de traitement à traiter les informations personnelles de façon responsable et confiance que les règles seront efficacement appliquées. Il incombe à la CNPD ensemble avec les autres autorités de contrôle européennes de générer cette confiance. », présidente de la CNPD, Tine A. Larsen, lors de la Conférence sur le nouveau règlement général sur la protection des données du 11 octobre 2016 – https://cnpd.public.lu/fr/actualites/national/2016/10/conference-CNPD-SMC-1110/index.html – https://cnpd.public.lu/pictures/photos/actualites/GDPR/Conf11-10-2016-photo-04.jpeg
Les opportunités sont pour nous plus nombreuses et importantes que les contraintes ou les obligations nouvelles ou intensifiées.
Le RGPD responsabilise les entreprises et les invite à intégrer la protection des données dès la conception de leurs produits ou services.
Les acteurs privés et publics doivent adopter une conduite préventive et responsable à l’égard des données à caractère personnel qu’ils collectent. Avec l’abolition des déclarations préalables, ils doivent opter pour une nouvelle approche moins bureaucratique, mais plus exigeante de «protection des données dès la conception» («privacy by design»).
Les entreprises qui considèrent le RGPD comme un fardeau resteront à quai voire couleront tandis que celles qui le considèrent comme une chance apportant un souffle nouveau navigueront toutes voiles dehors (http://www.cityam.com/268997/business-which-treat-gdpr-burden-get-left-behind).
La plupart des entreprises manquent actuellement de règles, pratiques et procédures pour garantir les droits et libertés des consommateurs digitaux.
Pour garantir un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demandes de rectification ou d’accès aux données, modifications des données collectées, changement de responsable du traitement ou recours à la sous-traitance)
Elles sont trop souvent indolentes et manquent de vision à moyen et long terme quant au traitement et à la conservation de ces données. Leurs équipes ne communiquent que peu sur le sujet et cette préoccupation n’est pas partagée par tous (mais au contraire limitée au services juridiques et informatiques).
Le RGPD repose tout entier sur la CONFIANCE qu’il fait naître ou grandir entre une entreprise et ses clients.
Le CONSENTEMENT requis des consommateurs est à présent plus difficile à obtenir légalement et plus facile à retirer par les personnes concernées.
En outre, les responsables du traitement doivent immédiatement partager toutes les données qu’ils possèdent à la première demande et doivent les tenir à jour en permanence, les rectifier, limiter ou supprimer si telle est la volonté de la personne concernée.
Une entreprise peut-elle utiliser une liste de contacts pour plusieurs marques (produits ou services) ?
Si vous êtes une entreprise comportant plusieurs marques, vous ne pouvez pas supposer qu’un client qui consent au marketing d’une marque consent au marketing de toutes vos marques.
Le consentement doit être éclairé, et les clients peuvent ne pas être informés des liens existant entre ces marques. Il est épineux de compter sur le « soft opt-in », car il ne s’applique qu’à des produits et services similaires.
Si vous souhaitez utiliser une même liste de contacts pour toutes vos marques, vous devez les énumérer clairement lorsque vous obtenez le consentement de la personne concernée.
Si une personne renonce à toute communication relative à une marque, vous devez supposer que cette exclusion s’applique à toutes vos marques, sauf si la personne en décide autrement.
La personne concernée doit toujours disposer d’informations suffisantes avant de prendre sa décision.
Un indice de mes demandes:
Lorsque le consentement est requis hors ligne, les particuliers peuvent le faire de multiples manières. Le consentement peut être donné oralement, par écrit ou peut être impliqué par une action particulière qui, bien qu’il ne s’agisse pas d’une déclaration explicite de consentement, révèle les demandes formées par la personne concernée.
Quel comportement d’une personne concernée dévoile suffisamment ses souhaits quant au traitement de ses données personnelle ? La réponse dépend dans une large mesure du contexte dans lequel l’action posée par cette personne prend place.
Une Évaluation d’Impact sur la Protection des Données (« Data Protection Impact Assessment » en anglais) permet de révéler encore bien plus des richesses digitales et personnelles d’une entreprise et structurer ses plans d’actions pour les développer encore.
S’adjoindre un Délégué à la Protection des Données (DPD), avant d’atteindre les conditions de l’obligation légale et donc d’accountability ou reponsabilité en français, en interne, comme consultant extérieur ou manager ad interim, dote l’entreprise d’un « champion olympique de voile » pouvant naviguer dans la stricte étendue de la conformité au RGPD mais également en faire un véritable outil de compétitivité.
Les délégués à la protection servent de « ronds-points », personnes de contact et chargées de la communication entre les multiples acteurs gravitant autour du Règlement : les autorités de contrôle, les personnes concernées (en ce compris les employés du responsable de traitement ou du sous-traitant) et les différents départements ou services au sein d’une entreprise commercial ou d’un organisme à but social.
Désignez un délégué à la protection des données (DPD) ou une personne qui est responsable du respect des règles de protection des données. Cette personne exerce une mission d’information, de conseil et de contrôle en interne. Dans l’attente du 25 mai 2018, vous pouvez d’ores et déjà désigner un « chargé de la protection des données », qui vous donnera un temps d’avance et vous permettra d’organiser et préparer les diverses actions à mener.
Comme un phare dans la nuit glaciale des tsunami que nos économies modernes toujours plus digitales traversent, le RGPD brille et nous guide vers une nouvelle clarté et transparence.
Les individus disposeront de plus d’informations sur la façon dont leurs données sont traitées et ces informations devront être formulées de manière claire et compréhensible.
Votre entreprise ne peut « cacher » les informations requérant un consentement de la personne concernées dans ses conditions générales.
La question de savoir si les informations données sont suffisantes peut uniquement être appréciée au cas par cas et dépend du contexte dans lequel le consentement est donné.
Procédons à une analogie… médicale
Dans la vie quotidienne, relever une manche de nos chemises ne signifie fondamentalement rien; dans le cabinet d’un médecin et dans le contexte de la relation médecin-patient, à la lumière des informations précédemment communiquées entre deux parties à ce contrat, relever une manche peut impliquer le consentement du patient à prendre sa tension artérielle ou subir des prélèvements sanguins.
Une gamme de facteurs commençant par l’environnement dans lequel l’action est prise et se poursuivant par la fourniture d’informations ont permis au médecin d’inférer le consentement du patient.
En pratique, qui doit faire quoi? A partir de quelle taille d’entreprise?
Il est clair que la conformité au droit existant ou non, la mise en conformité au nouveau règlement pèsera en termes de ressources humaines, financières, d’organisation et d’informations sur les PME et les indépendants. En particulier, pour les TPME. En particulier car pour le Règlement, la taille de l’organisation est irrelevante. A quelques exceptions près (comme l’obligation de désigner un Délégué à la Protection des Données, de réaliser une analyse d’impact ou de tenir un registre des données), toutes ses obligations s’imposent de manière identique à toute entreprise quelle que soit sa taille.
Ce n’est pas la taille de l’organisation qui est pertinente autant que le risque que posent chaque entreprise particulière et les types de traitement des données qu’elle opère. Ceux qui traitent des données particulièrement sensibles, ou traitent des données personnelles de manière potentiellement intrusive, par exemple.
Exception : le registre des activités de traitement
Le RGPD impose également de maintenir une documentation interne des activités de traitement qui ont lieu.
Faites donc bien l’inventaire minutieux des données à caractère personnel que vous conservez, notez quelle est leur provenance et les personnes avec lesquelles vous les avez partagées.
Enregistrez tous vos traitements et envisagez d’organiser un audit d’information qui s’appliquera éventuellement à toute l’entreprise ou uniquement à certains départements.
Lorsque votre entreprise conserve par exemple des données à caractère personnel inexactes et les a partagées avec d’autres organisations, vous devrez informer ces dernières de l’inexactitude afin qu’elles puissent apporter les corrections dans leur propre registre.
Cette obligation de documentation contribue en outre au respect de l’exigence de responsabilité contenue dans le RGPD. Selon ce principe, une entreprise ou une organisation doit prouver qu’elle agit conformément aux principes de protection des données.
L’obligation de documentation interne comporte une exception pour les entreprises comptants moins de 250 employés. Cette exception a une portée très limitée de sorte que les autorités de contrôle (comme la Commission vie privée en Belgique : https://www.privacycommission.be/sites/privacycommission/files/documents/recommandation_06_2017_0.pdf ) recommandent généralement à TOUS les responsables de traitement et sous-traitants de tenir un tel Registre.
Les autorités de contrôle des pays membres, comme par exemple la Commission vie privée en Belgique, vont mettre à disposition des responsables de traitements un modèle de Registre.
De nouveaux outils de conformité :
- la tenue d’un registre des traitements mis en œuvre
- la notification de failles de sécurité (aux autorités et personnes concernées)
- la certification des traitements
- l’adhésion à des codes de conduites
- le DPO (délégué à la protection des données)
- les études d’impact sur la vie privée (EIVP)
Le nouvel article 32 du Règlement pose particulièrement haut la barre du niveau de sécurité du traitement des données : « Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, pour les droits et libertés des personnes physiques, le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque (…) » et fourni ensuite une liste de mesures qu’il considère appropriées (dont la pseudonymisation et le chiffrement).
Vos clients rejoignent une célébrité belge en devenant également ‘aware’, cette fois de leurs droits fondamentaux et libertés. Ils ont (enfin) confiance en la sécurité que votre organisation leur apporte pour la protection de leur identité digitale.
Les responsables du traitement doivent documenter de façon légale et transparente, à l’attention des personnes concernées et du grand public, le fait qu’ils vont traiter des données. Aucun traitement ne doit être réalisé en secret et ne devrait avoir des effets négatifs imprévisibles. Les responsables du traitement devraient s’assurer que les consommateurs, clients ou citoyens soient informés de l’utilisation de leurs données. En outre, dans la mesure du possible, les responsables du traitement doivent agir de façon à se conformer rapidement aux souhaits des personnes concernées, en particulier quand leur consentement constitue la base légale du traitement des données.
La première étape de tout changement est toujours de prendre conscience de son importance voire de sa nécessité. Pour le RGPD, ses innovations et révolutions, il faut également prendre conscience des conséquences de son entrée en vigueur pour l’entreprise, ses personnes clés et décideurs, ses départements,…
Il est essentiel que les personnes clés et les décideurs de votre organisation soient au courant du règlement général sur la protection des données (RGPD). Ils doivent pouvoir évaluer les conséquences que le nouveau cadre légal aura sur leur organisation et identifier les domaines qui pourraient être problématiques.
Veillez ainsi à ce que les personnes clés et les décideurs de votre entreprise ou organisation soient informé(e)s de la nouvelle réglementation si ce n’est toujours pas le cas. Ils doivent en évaluer les conséquences et désigner les pratiques et missions de l’entreprise à éclairer à la lumière du RGPD.
Si votre entreprise ou organisation dispose d’un registre des risques, il peut constituer un excellent point de départ. La mise en œuvre du RGPD peut avoir une influence considérable sur les moyens disponibles, surtout en ce qui concerne les entreprises ou structures de plus grande taille ou plus complexes.
La désignation d’un délégué à la protection des données est obligatoire en 2018 si :
- Vous êtes un organisme public ;
- Vous êtes une entreprise dont l’activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Même si votre organisme n’est pas formellement dans l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au règlement européen. Le délégué constitue un atout majeur pour comprendre et respecter les obligations du règlement, dialoguer avec les autorités de protection des données et réduire les risques de contentieux.
Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Pour l’articulation entre le CIL (Correspondant Informatique et Libertés) et le DPD (Délégué à la Protection des Données), lire : https://www.cnil.fr/fr/le-cil-et-le-futur-delegue-la-protection-des-donnees.
« Chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme, le délégué à la protection des données est principalement chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que leurs employés ;
- de contrôler le respect du règlement et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’études d’impact sur la protection des données et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Vous pouvez tout aussi bien engager un Délégué à la Protection des Données (Data Protection Officer en langue anglaise) que le nommer comme consultant extérieur et donc indépendant (« notion de DPO as a service »).
Appliquant une méthode originale qu’il a développé, la méthode des 6 checks ou 6 c’s (https://youtu.be/IA6gPmlriyo?t=2 & https://www.law-right.com/fr/notre-cabinet/6-checks-pour-optimiser-votre-dossier/), l’auteur fait référence aux commentaires des autorités de contrôle (« Data Protection Authorities ») pour la protection de la vie privée des principaux pays francophones concernés :
- France : la Commission Nationale de l’Informatique et des Libertés (CNIL) : https://www.cnil.fr/fr et son rapport : Règlement européen sur la protection des données : ce qui change pour les professionnels (https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels)
- Belgique : de Commissie voor de bescherming van de persoonlijke levenssfeer ou CBPL / la Commission de la protection de la vie privée ou CPVP : https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0 et bientôt l’Autorité de protection des données cf PROJET DE LOI du 23 août 2017 portant création de l’Autorité de protection des données : https://www.droit-technologie.org/wp-content/uploads/2017/09/projet-loi-chambre-APD.pdf & https://www.droit-technologie.org/wp-content/uploads/2017/09/projet-loi-chambre-APD.pdf
- Confédération Suisse : le Préposé fédéral à la protection des données et à la transparence (PFPDT) : https://www.edoeb.admin.ch/index.html?lang=fr
- Grand-duché de Luxembourg : la Commission nationale pour la protection des données : https://cnpd.public.lu/
- Québec : Commission d’accès à l’information du Québec : Commission d’accès à l’information du Québec |
- German Data Protection Conference (Datenschutzkonferenz, abbr. DSK): https://www.lda.bayern.de/en/privacy_eu.h@&é”’tml
Il partage ainsi l’essentiel des recommandations, conseils et outils (annexes) diffusés par ces 5 autorités de contrôle et dans une moindre mesure de la République Fédérale d’Allemagne, puisque les normes allemandes de protection des données comptent parmi les plus strictes au monde https://www.open-cloud-insights.com/fr/principes-de-respect-de-la-vie-privee-en-allemagne/.
Pour la Belgique : https://www.privacycommission.be/fr/reglement-general-sur-la-protection-des-donnees-0
Et leur plan en 13 étapes pour nous conformer : https://www.privacycommission.be/sites/privacycommission/files/documents/STAPPENPLAN%20FR%20-%20V2.pdf
La France aussi TB (puisque n’oublies pas qu’EXACTEMENT MEME REGLEMENT DANS 31 PAYS : 28 EU + 3 EEE : Norvège, Islande et Liechtenstein) qui a même fait une représentation graphique de tous ses articles et thèmes : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/dataviz#
https://www.cnil.fr/fr/les-outils-de-la-conformite
Et leurs 6 étapes :
https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
ETAPE 1
DÉSIGNER UN PILOTE
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.
ETAPE 2
CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.
ETAPE 3
PRIORISER LES ACTIONS À MENER
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
ETAPE 4
GÉRER LES RISQUES
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (PIA).
ETAPE 5
ORGANISER LES PROCESSUS INTERNES
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
ETAPE 6
DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.