Quel impact du RGPD sur la réglementation française relative aux données personnelles ?

Article paru le 8 janvier 2019 | Partager sur les réseaux sociaux

Classé dans : Newsletter Secteur Public RGPD

Après près d’un an de mise en application du Règlement Général sur la Protection des Données (RGPD), il est temps de dresser un premier bilan de ses impacts en France.

Si les démarches nécessaires à la mise en conformité des entreprises ont pu tenir du « Big Bang » pour certaines d’entre elles, le Règlement ne constitue pourtant pas une révolution des textes relatifs à la protection des données personnelles.

Ainsi, il s’inscrit en France dans la continuité de la Loi Informatique et Libertés de 1978 et en Europe, de la Directive Européenne 1995/46/CE sur la protection des données personnelles. La loi du 20 juin 2018 prend ainsi en compte les évolutions apportées par le RGPD au sujet de la protection des données personnelles par rapport aux lois précédemment citées.

S’il comprend certes des innovations, le règlement vient, en effet, principalement renforcer des notions qui préexistantes, telles que la gestion du consentement de la personne ou l’analyse des risques sur la vie privé d’un traitement de données personnelles. Le Data Protection Officer (DPO) succède ainsi au Correspondant Informatique et Libertés (CIL) pour veiller en interne à la conformité au RGPD de la structure.

Nina Gosse, avocate au sein du cabinet De Gaulle Fleurance et associés, souligne trois changements majeurs portés par le RGPD :

Un changement de paradigme

Jusqu’ici pour être conforme à la réglementation, les organisations devaient, en France, uniquement s’acquitter de formalités auprès de la CNIL. Elles devaient dans certains cas demander son autorisation pour collecter, traiter et stocker des données personnelles. Le système était alors uniquement déclaratif ; en cas de contrôle, les autorités étaient en charge de l’apport d’une preuve de non-respect de la loi.

Le RGPD a entraîné la suppression de ce système déclaratif (hors traitement de certaines données, à des fins de contrôle d’identité) pour la mise en place d’un système de responsabilité : les entreprises doivent être en mesure de prouver à tout moment leur conformité au RGPD. Cela a naturellement pour conséquence un important travail de documentation : élaborer et maintenir un registre des traitements de données personnelles de l’entreprise, mettre à jour les contrats, mettre en place les mécanismes permettant l’exercice des droits des personnes, identifier les mesures de sécurité adéquates et suivre les plans d’actions de remédiation.

Le RGPD impose également aux entreprises de permettre et faciliter l’exercice de leurs droits par les personnes, notamment quant à leurs données personnelles, qu’ils soient salariés, clients, partenaires ou autres.

L’augmentation du montant des sanctions

Le RGPD élève les montants maximums des amendes encourues. Ainsi, en cas de violation grave, elles pourront atteindre jusqu’à 20 millions d’euros ou 4% du Chiffre d’Affaire mondial d’une entreprise. Avec la Loi Informatique et Libertés, le montant de l’amende s’élevait en effet à un maximum de 150 000€.
Pour Google, par exemple, cela représente seulement 0,001% de son chiffre d’affaire. Cette modification à la hausse du plafond des sanctions financières en cas de non-conformité au RGPD semble être l’élément déclencheur de l’effervescence observée ces derniers mois pour le lancement des démarches de mise en conformité.

Etant données les évolutions relativement mineures du RGPD par rapport à la Loi Informatique et Libertés de 1978, à la Directive Européenne de 1995, et à sa révision en 2004, la mise en conformité des entreprises au regard du RGPD aurait dû être assez aisée, sans provoquer l’inquiétude des entreprises observée.

Il semble donc que les sanctions prévues auparavant n’auraient pas été suffisamment dissuasives pour inciter les entreprises à se mobiliser plus tôt. Egalement, une responsabilisation des sous-traitants, faisant appel au principe de responsabilité conjointe entre le responsable du traitement et les sous-traitants.

Les responsabilités n’étaient en effet auparavant pas aussi clairement énoncées pour les sous-traitants, et ciblaient principalement les responsables de traitements. Seul le contrat précisait les obligations incombant au sous-traitant pour protéger la sécurité et la confidentialité des données. A la différence de la loi Informatique et Libertés de 1978, le RGPD introduit une logique de responsabilisation de tous les acteurs impliqués dans le traitement des données personnelles, dès lors qu’elles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’UE.

Comme toute organisation traitant des données personnelles, le sous-traitant doit donc s’assurer que les outils, produits, applications ou services offerts aux clients, intègrent de façon effective les principes relatifs à la protection des données et que les données collectées et stockées sont nécessaires à la finalité et l’étendue de leur traitement, de la durée de conservation et du nombre de personnes qui y a accès.

Le sous-traitant a en outre l’obligation de prouver sa conformité au RGPD, tout en prouvant la nécessité de recueil des données en sa possession ainsi que leur finalité. La loi du 20 juin 2018 confirme enfin la CNIL en tant qu’autorité nationale de contrôle pour l’application du RGPD.

Au-delà de son rôle de contrôle, la CNIL assure la publication de référentiels, de codes de bonne conduite et de règlements types sur les nouvelles obligations des opérateurs. Elle peut ainsi certifier des organismes et des services, ou encore être consultée par le Parlement sur les questions de données personnelles.

Loin d’être une révolution pour la réglementation française relative aux données personnelles, le RGPD introduit toutefois des notions clés encadrant la protection de la vie privée, renforce les droits des personnes, et outille les autorités de contrôle d’un dispositif de sanctions dissuasif. Cet ensemble de facteurs contribue à expliquer la dynamique actuelle de mise en conformité des organisations.

Partagez cet article sur les réseaux sociaux