[Tribune] Protection des données personnelles : ce qui va changer pour les PME
Un nouveau règlement européen sur la protection des données personnelles (GDPR) va impacter les entreprises en 2018. Quels sont les changements concrets à prévoir ? Comment s'adapter ? Quels risques ? L'éclairage de Benjamin May et Clémentine Richard, avocats au sein du cabinet Aramis.
Je m'abonneActuellement, l'usage des données personnelles est régi par une loi du 6 janvier 1978 modifiée suite à la transposition d'une directive européenne de 1995. Le nouveau Règlement général sur la protection des données personnelles (abrégé en GDPR, de l'anglais General data protection regulation) adapte, au niveau européen, les règles de protection des données à l'évolution des technologies - la règlementation actuelle ayant été adoptée avant la généralisation d'internet - et des usages de ces données.
L'objectif est d'établir une règlementation unique applicable dans l'ensemble des États membres de l'Union européenne garantissant un niveau élevé de protection des données personnelles des citoyens européens.
Ce texte sera directement applicable dans les États membres à partir du 25 mai 2018. Si le texte a manifestement été écrit pour réglementer les activités des GAFA et autres géants du net, l'ensemble des entreprises, indépendamment de leur taille, sont concernées dès lors qu'elles traitent des données personnelles.
Quels changements concrets pour les PME ?
Le GDPR supprime les " déclarations CNIL ", que les entreprises [maniant des fichiers de données personnelles, ndlr] étaient tenues d'effectuer, et les remplace par l'obligation pour les entreprises d'être en mesure de prouver qu'elles respectent le GDPR. Ces nouvelles règles sont exposées au fil des 99 articles du Règlement.
Concrètement, lorsqu'elles collecteront des données personnelles, les entreprises devront expliquer de manière claire et transparente les finalités des traitements opérés sur ces données et devront recueillir le consentement exprès des personnes à la mise en oeuvre de ces traitements (" opt-in "). Elles devront, par exemple, demander de manière explicite leur accord au moyen d'une case à cocher spécifique à cette question.
Les entreprises seront également tenues de respecter les principes de privacy by design et de privacy by default qui impliquent de prendre en compte les impératifs de protection des données personnelles dès la conception de tout produit ou service. Elles devront être mesure de rapporter à tout moment la preuve qu'elles ont, notamment, limité la quantité de données collectées à ce qui est strictement nécessaire pour l'objectif poursuivi et mis en place des mesures de sécurité appropriées encadrant l'accès et l'utilisation des données.
Pour démontrer qu'elles respectent ce principe, les entreprises devront notamment s'assurer que les questions de protection des données ont été abordées lors des réunions marketing et dès les premières phases des projets. Les minutes de réunions pourront être conservées afin de servir de preuve du respect de ces principes.
Par ailleurs, bien que l'obligation de tenue d'un registre formel des traitements soit limitée aux seules entreprises de plus de 250 salariés, le respect du Règlement imposera à l'ensemble des entreprises qui traitent des données personnelles, a minima, de maintenir à jour une liste des traitements effectués dans le cadre de leur activité.
Ces nouvelles règles obligent les entreprises à être proactives : il ne sera plus possible de régulariser les formalités a posteriori.
A lire aussi :
- 5 pistes pour se préparer à la réforme du régime européen de protection des données personnelles
- Big Data : gros potentiel pour petites structures
- [Tribune] Surveillance des salariés : ce qu'il ne faut pas faire
Comment mettre en oeuvre cette règlementation en interne ?
Afin d'être en conformité avec le Règlement, les entreprises devront mettre en place une organisation et des procédures internes permettant de veiller à ce que les principes de protection des données soient pris en compte par tous, à tous les niveaux de l'entreprise et à toutes les étapes de développement des activités. Un tel projet devra souvent être suivi au niveau de la direction générale pour les PME.
De plus, certaines entreprises dont l'activité repose, notamment, sur le suivi des personnes auront l'obligation de désigner une personne chargée de s'assurer du respect des dispositions du Règlement dans l'entreprise, le Data Protection Officer (DPO). Cette obligation pèsera tout particulièrement sur les activités de publicité ciblée, de collecte d'informations relatives à l'activité physique des personnes ou encore à leur géolocalisation.
Quelles étapes pour se mettre en conformité ?
Les entreprises disposent d'un an pour se mettre en conformité. Elles doivent établir dès à présent une cartographie détaillée des traitements mis en oeuvre, de la manière dont les données sont collectées, de la localisation des données, des éventuels destinataires de ces données ainsi que des mesures déjà mises en oeuvre pour assurer la protection de ces données.
Sur la base de cette cartographie, l'impact des différentes dispositions du Règlement sur chaque traitement mis en oeuvre devra être analysé afin d'adopter des mesures de mise en conformité adéquates.
Le coût de la mise en conformité dépend de nouveau de l'activité des entreprises et de son niveau de conformité à la réglementation actuelle. En fonction de ces paramètres, les coûts pour l'entreprise pourront varier des seules dépenses de formation pour certains membres de leur personnel à l'embauche de personnes spécialement qualifiées.
Quels sont les risques encourus par les entreprises qui ne s'adapteraient pas ?
Le Règlement renforce de manière significative les pouvoirs de sanction de la CNIL. Les amendes pourront s'élever à 4% du chiffre d'affaires mondial consolidé ou 10 000 000 d'euros, le chiffre le plus élevé étant retenu pour les manquements considérés comme étant les plus graves. La sanction était de 150 000 euros maximum jusqu'au mois d'octobre 2016 et s'élève à 3 millions d'euros actuellement.
Les experts
Benjamin May est l'un des associés fondateurs du cabinet Aramis. Son exercice professionnel couvre, tant en conseil qu'en contentieux, le droit de l'informatique, des données personnelles et de l'Internet, le droit commercial et la propriété intellectuelle.
Clémentine Richard est avocate collaboratrice au sein d'Aramis et intervient sur les problématiques liées aux activités règlementées, à la protection des données personnelles et aux technologies de l'information.