Le 25 mai 2018, le règlement européen n°2016/679 du 27 avril 2016, ou règlement général sur la protection des données (le « RGPD »), s’appliquera de plein droit dans les 28 pays de l’Union européenne (l’ « UE »). Le RGPD aura alors été reproduit dans les lois norvégienne, islandaise et liechtensteinoise de sorte que des règles similaires s’appliqueront dans ces trois autres pays de l’Espace économique européen (l’ « EEE »).

Les entreprises qui ne s’y conformeront pas s’exposeront à des amendes administratives pouvant s'élever jusqu'à 20 000 000 d’euros et 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, voire à des sanctions pénales, et leur responsabilité civile pourra être engagée en cas de préjudice résultant d’une non-conformité.

Champ d’application pour les entreprises non européennes

Les entreprises non européennes auxquelles le RGPD (ou la loi norvégienne, islandaise ou liechtensteinoise correspondante) s’appliquera seront :

  • celles ayant un établissement (filiale ou succursale) dans un pays de l’UE (ou de l’EEE), pour ce qui concerne tous les traitements de données à caractère personnel de cet établissement (en qualité de responsable du traitement ou de sous-traitant, telles que ces expressions sont définies dans le RGPD) ; et
  • celles qui, bien que n’ayant pas d’établissement dans l’UE (ou l’EEE), traiteront (en qualité de responsable du traitement ou de sous-traitant) des données à caractère personnel de personnes physiques qui se trouvent dans l'UE (ou l’EEE) dans le cadre de l’offre de biens ou de services à ces personnes ou du suivi de leur comportement, pour ce qui concerne ces traitements uniquement.

Il est indiqué au préambule du RGPD que, alors que la simple accessibilité d’un site internet ne suffira pas pour établir l’intention d’offrir des biens et services à des personnes situées dans l’UE, « des facteurs tels que l'utilisation d'une langue ou d'une monnaie d'usage courant dans un ou plusieurs États membres, avec la possibilité de commander des biens et des services dans cette autre langue ou la mention de clients ou d'utilisateurs qui se trouvent dans l'Union, peuvent indiquer clairement que le responsable du traitement envisage d'offrir des biens ou des services à des personnes concernées dans l'Union. »

Enfin, puisqu’aux termes de l’article 28 du RGPD, les entreprises européennes (et les entreprises non européennes auxquelles le RGPD s’applique) ne peuvent faire appel qu’à « des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences » du RGPD et avec lesquels elles doivent signer un contrat contenant des engagements en ce sens, les entreprises non européennes qui brident de telles marchés mettront spontanément en place de telles mesures afin de ne pas être exclues de ces marchés.

Principes fondamentaux

Se conformer au RGPD signifie avant tout, pour un responsable de traitement, veiller à ce que les traitements de données à caractère personnel concernés obéissent aux principes suivants, le cas échéant en fonction des référentiels adoptés par l’autorité du pays concerné :

  • licéité, loyauté, transparence ;
  • limitation des finalités ;
  • minimisation des données ;
  • exactitude ;
  • limitation de la conservation ;
  • intégrité et confidentialité ;
  • responsabilité (« accountability » dans la version anglaise).

Le principe de licéité exige que le traitement ait une base légale qui peut être (notamment) l’exécution d’un contrat avec la personne concernée, le respect d’une obligation légale, les intérêts légitimes du responsable du traitement ou encore – mais plus rarement car il peut être retiré à tout moment – le consentement de la personne concernée. Les fondements juridiques sont plus limités pour les traitements de données dites « sensibles » ou relatives aux condamnations pénales et aux infractions.

Le principe de responsabilité marque une nouveauté par rapport aux règles antérieures, qui prévoyaient un contrôle a priori par les autorités, au moyen de déclarations et de demandes d’autorisation. En vertu du principe de responsabilité, les responsables de traitement devront dorénavant adopter des « mesures techniques et organisationnelles pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlement » et ce, dès la conception du traitement (notion de « privacy by design and by default » en anglais).

Registre, analyses d’impact, DPD et représentant

En application du principe de responsabilité, le RGPD impose aux entreprises de tenir un registre listant tous les traitements qu’elles effectuent en qualité de responsable de traitement et, le cas échéant, un second registre listant tous les traitements qu’elles effectuent en qualité de sous-traitant. De nombreuses informations doivent être renseignées sur chaque traitement : finalités, catégories des destinataires, durée de conservation des données, etc. Les registres sont destinés à être contrôlés par les autorités de contrôle.

Toujours en application du principe de responsabilité, lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer préalablement une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. Selon le résultat de cette analyse, une consultation préalable de l’autorité de contrôle peut être requise. La portée de cette obligation a été précisée dans des lignes directrices et des positions de la part d’autorités de contrôle dans certains pays.

Certaines entreprises devront nommer un délégué à la protection des données. C’est le cas des responsables de traitement ou des sous-traitant dont les activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ou encore un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.

Toutes entreprises n’ayant pas d’établissement dans l’Union européenne mais qui sont assujetties au RGPD devront y nommer un représentant.

A ces fins, il est recommandé de réaliser un audit de l’entreprise. Un tel audit est habituellement réalisé à l’aide de questionnaires (souvent pré-remplis) envoyés aux différents départements de l’entreprise.

Politiques

Compte tenu de l’obligation de mettre en place des « mesures techniques et organisationnelles », corollaire du principe de responsabilité, il est recommandé d’adopter les politiques internes suivantes :

  • une politique de protection des données à caractère personnel ;
  • une politique sur la durée de conservation des données ;
  • une politique pour répondre efficacement, dans le délai d’un mois prescrit, aux demandes d'accès, de rectification, d'effacement, de limitation de traitement, de portabilité des données et d’opposition, voire de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé, étant précisé que plusieurs de ces droits sont nouveaux (articles 15 à 22 du RGPD) ;
  • une politique pour gérer les notifications des violations aux autorités de contrôle et aux personnes concernées, selon les nouvelles dispositions du RGPD à cet égard ;
  • une politique sur la tenue d’analyses d’impact ;
  • le cas échéant (obligatoires dans les sociétés d’au moins 50 salariés en France), une procédure de recueil de signalements par des lanceurs d’alerte.

Des mesures de sécurité adéquates devront également être mises en place si ce n’est déjà fait mais l’article 32 du RGPD ne contient pas d’éléments substantiellement nouveaux.

Contrats, notices et formulaires de consentement

Les dispositions du RGPD relatives aux transferts de données vers des pays extérieurs à l’EEE n’ayant pas obtenu une décision d’adéquation de la Commission européenne sont semblables à celles existantes. Une entreprise assujettie au RGPD, même non européenne, devra en conséquence faire signer par la plupart de ses partenaires américains (plus précisément ceux qui ne sont pas accrédités « Privacy Shield ») des accords contenant les clauses-types « responsable /responsable » ou « responsable / sous-traitant » approuvées par la Commission européenne.

Le RGPD impose dorénavant aux responsables de traitement conjoints (qui déterminent conjointement les finalités et les moyens du traitement) de définir contractuellement le rôle de chacun notamment en ce qui concerne l'exercice des droits des personnes concernées et de mettre les « grandes lignes de l’accord » à la disposition des personnes concernées.

Comme indiqué plus haut, le RGPD impose dorénavant aux responsables de traitement et aux sous-traitants de conclure un contrat qui définisse :

  • l'objet et la durée du traitement ;
  • la nature et la finalité du traitement ;
  • le type de données à caractère personnel ;
  • les catégories de personnes concernées ;
  • les obligations et les droits du responsable du traitement.

A ce titre, le contrat devra interdire au sous-traitant d’avoir recours à un autre sous-traitant sans, soit une autorisation préalable spécifique, soit une autorisation préalable générale, auquel cas le responsable peut émettre des objections. Il devra également faire supporter au sous-traitant certaines obligations, dont celle d’aider le responsable du traitement, par des mesures techniques et organisationnelles appropriées, dans toute la mesure du possible, à s'acquitter de son obligation de donner suite aux demandes dont les personnes concernées le saisissent en vue d'exercer leurs droits, de même que l’aider à garantir le respect des obligations prévues aux articles 32 à 36 du RGPD (sécurité, notification de violations, analyses d’impact). Il importe donc de prévoir un avenant aux contrats existants entre responsable de traitement et sous-traitant y intégrant une annexe avec effet au 25 mai 2018.

Le RGPD impose aux responsables de traitement de communiquer aux personnes concernées plusieurs informations, dont plusieurs sont nouvelles, telles la durée de conservation des données, la base juridique du traitement, les nouveaux droits… Il y aura donc lieu de revoir en conséquence les notices et clauses « données personnelles » des conditions générales.

Dans la mesure où un traitement est fondé sur le consentement de la personne concernée, le formulaire de recueil de consentement pourra devoir être revu compte tenu des nouvelles prescriptions du RGPD.