Le 23 mai dernier, la Cnil a publié une actualité pour rappeler que le Règlement général sur la protection des données personnelles (RGPD) entrera en vigueur dans tous les États membres de l'Union européenne le 25 mai 2018.

Une nécessaire prise de conscience urgente

Il importe pour les entreprises de s'y préparer parce que la responsabilité de celles-ci va se trouver alourdie en ce sens que ce sont elles qui devront être juges de l'opportunité d'appliquer les nouvelles règles.

C'est ce que la Cnil explique comme toujours avec beaucoup de clarté didactique :

"Alors que les obligations des organismes au regard de la loi Informatique et Libertés s’appuient en grande partie sur les formalités préalables (déclaration, autorisation), le règlement européen sur la protection des données repose sur une logique de responsabilisation et de transparence. Cette logique d’accountability doit se traduire par un changement de culture interne qui nécessite de mobiliser toutes les compétences (DSI, prestataires, services juridiques, directions métier). Les grands principes de la loi Informatique et Libertés demeurent et sont même renforcés (information, consentement)."

Une nouvelle responsabilité sans filet

Ce qui est en effet flagrant lorsqu'on se plonge dans le règlement à venir, c'est que les entreprises doivent absolument acquérir cette culture des données personnelles et des modalités de leur protection. Il leur appartiendra d'évaluer d'elles-mêmes les types de traitement qui sont licites, l'impact que ceux-ci génère sur la manipulation et la sécurité de ces données.
Pour faire simple, là où auparavant on avait l'obligation de déclarer ou de demander un avis à la Cnil, on va désormais travailler "sans filet", en pleine responsabilité des chefs d'entreprises qui vont devoir évaluer d'eux-mêmes les risques juridiques encourus.

Connaissant le monde des entreprises et sa superbe ignorance du droit en général et de la loi Informatique, fichiers et libertés actuelle en particulier, il est permis de penser qu'il va y avoir des réveils brutaux et cruels.

Les nouvelles obligations

L'article de la Cnil rappelle les grandes lignes des nouvelles obligations des acteurs économiques (entreprises et collectivités) :

"Cette notion de responsabilité (accountability) se traduit notamment par :

  • La prise en compte de la protection des données dès la conception d’un service ou d’un produit et par défaut ;
  • La mise en place d’une organisation, de mesures et d’outils internes garantissant une protection optimale des personnes dont les données sont traitées.

En pratique, les organismes devront :

  • Désigner un pilote pour assurer la gouvernance des données personnelles de leur structure (le délégué à la protection des données sera obligatoire dans certains cas) ;
  • Réaliser l’inventaire des traitements de données personnelles mis en œuvre ;
  • Évaluer leurs pratiques et mettre en place des procédures (notification des violations de données, gestion des demandes des personnes concernées, des réclamations, etc.) ;
  • Identifier les risques associés aux opérations de traitement et prendre les mesures nécessaires à leur prévention ;
  • Maintenir une documentation assurant la traçabilité des mesures.

D’un point de vue opérationnel, la conformité au règlement européen repose sur différents outils :

  • Le registre des activités de traitements et la documentation interne ;
  • L’analyse d'impact relative à la protection des données (DPIA ou PIA) pour les traitements à risque ;
  • La notification de violations de données personnelles.

La mise en œuvre de ces outils implique, au préalable, la désignation d’un pilote interne : le délégué à la protection des données, véritable « chef d’orchestre » de la protection des données personnelles au sein de l’organisme."

Le 25 mai, il sera déjà trop tard

Il importe de rappeler qu'au 25 mai 2018, tous les organismes publics et privés devront être en conformité complète avec le nouveau règlement.

La Cnil rappelle enfin les outils juridiques déjà disponibles pour aider les organismes à se préparer, certains proposés par le G29, d'autres sur le site de la Cnil, et annonce les outils et actions à venir pour compléter l'aide aux organismes.

En savoir plus

Lire l'article du 23 mai sur le site de la Cnil et explorer absolument les outils disponibles : rien que l'énoncé des ces outils permet de toucher du doigt la complexité de la mise en œuvre du règlement :
https://www.cnil.fr/fr/reglement-europeen-encore-un-pour-se-preparer