Octobre 2018


RGPD, ce qui change concrètement pour les entreprises

Ces dernières semaines, vous avez tous reçu quantité d’emails mentionnant ce sigle barbare : RGPD. Infernal ! Que faut-il savoir et surtout retenir sur cette question ? Le règlement général sur la protection des données (RGPD) du 27 avril 2016 est entré vendredi dernier. Guillaume Bordier, associé de Capstan Avocats, répond aux trois questions les plus fréquentes que se posent les entreprises.
Que change concrètement le RGPD dans la pratique de traitement des données personnelles des entreprises ?
Nous changeons de logique, puisque l'on passe d'un système fondé sur des obligations déclaratives auprès de la CNIL, avec des dispenses ou des déclarations simplifiées dans un certain nombre de domaines (opérations de paie, gestion du personnel...), à un système dans lequel l'entreprise doit respecter un grand nombre de principes essentiels et être en mesure de démontrer à tout moment qu'elle les respecte.
Le RGPD prévoit des obligations précises, telles que la réalisation d'une cartographie et l'établissement d'un registre des traitements de données, l'information transparente et complète des personnes concernées (salariés, clients, fournisseurs…), la conclusion de contrats avec les sous-traitants définissant leurs obligations en matière de gestion et de protection des données personnelles, ou encore la désignation d'un Délégué à la protection des données (également appelé « DPO »). Cela implique un plus grand formalisme et impose aux entreprises de se doter d'outils permettant d'assurer la conformité de leurs pratiques et de la documenter : clauses contractuelles, chartes, documents d'information, procédures, formation du personnel...
En contrepartie de la disparition des obligations déclaratives, l'entreprise pourra à tout moment être contrôlée par la CNIL. Des salariés ou des organisations syndicales pourront également engager des actions individuelles et collectives pour faire sanctionner le non-respect du cadre légal.

Quelles sont les obligations de l'entreprise lorsqu'elle a recours à un sous-traitant pour collecter ou traiter des données à caractère personnel ?
Jusqu'à présent, seul le responsable de traitement était visé par la loi informatique et libertés. Avec le RGPD, les sous-traitants acquièrent une responsabilité équivalente à celle de leurs clients, en s'exposant aux mêmes sanctions.Concrètement, tous les contrats de prestation de services doivent être revus pour s'assurer qu'ils contiennent les clauses par lesquelles le sous-traitant garantit le respect de la réglementation en matière de protection des données personnelles. L'entreprise doit également s'assurer que son prestataire a pris les « mesures techniques et organisationnelles » nécessaires pour garantir la sécurité et notamment la confidentialité des données auxquelles il aura accès. En d'autres termes, le respect du RGPD doit devenir l'un des critères de sélection des sous-traitants. Bien sûr, les exigences ne seront pas les mêmes envers tous les prestataires en fonction de la quantité et de la sensibilité des données traitées par le prestataire : cela peut aller d'une simple déclaration de principe jusqu'à la réalisation d'audits, en passant par des engagements sur la localisation des serveurs, le cryptage des données, etc. Dans le domaine RH, les entreprises ont souvent recours à des prestataires extérieurs (paie, formation, rémunération, conseil...), qui ont par définition accès à des données sensibles, comme le numéro de sécurité sociale, la rémunération, ou parfois les données bancaires des salariés. Les contrats avec ces prestataires doivent donc faire l'objet d'une attention particulière.

Les entreprises doivent-elles s'attendre à être lourdement sanctionnées en cas de manquement ?
Les sanctions sont particulièrement dissuasives puisqu'elles peuvent atteindre jusqu'à 4 % du chiffre d'affaires mondial hors taxes ou 20 millions d'euros pour les manquements les plus graves (le montant le plus élevé étant retenu). Fort heureusement, les autorités de contrôle auront un pouvoir d'appréciation en fonction de certains critères (gravité du manquement, degré de coopération, récidive...) et la possibilité de mettre en œuvre des mesures alternatives et graduelles, allant du rappel à l'ordre, à la mise en demeure, l'injonction assortie d'astreinte, en passant par l'interruption du traitement litigieux. La CNIL a indiqué encore récemment qu'elle entendait accompagner les entreprises dans la mise en œuvre des nouvelles obligations ou des nouveaux droits résultant du RGPD, notamment en mettant à leur disposition des outils de préparation et de mise en conformité au RGPD et qu'elle ne sanctionnerait pas en principe les entreprises de bonne foi engagées dans une démarche de conformité et faisant preuve de coopération avec ses services. En revanche, elle entend se montrer intransigeante sur le respect des principes essentiels (loyauté du traitement, pertinence et limitation des données traitées, durées de conservation, sécurité des données…).
Propos recueillis par la rédaction
Le 28-05-2018
Imprimer Twitter Facebook LinkedIn
Laisser un commentaire
E-mail :
Confirmation :
Pseudo :
Commentaires :
Code de sécurité :
Powered by Walabiz