Règlement Général sur la Protection des Données : mettez-vous en conformité avant le 25 mai 2018 !

La collecte et le traitement des données personnelles (c’est à dire des informations se rapportant à une personne physique identifiée ou identifiable) constituent un enjeu économique essentiel pour les professionnels.

À cet égard, le Règlement Général sur la Protection des Données produira directement ses effets en France comme dans les autres États membres de l’Union à compter du 25 mai 2018 (lien vers le texte : http://bit.ly/1rTKYys).

Cette nouvelle réglementation prévoit des sanctions « dissuasives » à la hauteur de ses ambitions : le contrevenant pourra ainsi faire l’objet, en cas de violation caractérisée, d’une « amende administrative pouvant s’élever jusqu’à 20.000.000 d’euros ou, dans le cas d'une entreprise, à 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu » (article 83.5).

Le Règlement n°2016/679 instaure un changement radical de philosophie par rapport à la Loi Informatique et Libertés, dans la mesure où il substitue au système déclaratif existant un principe général d’autocontrôle (« accountability »)fondé sur la responsabilisation des acteurs économiques.

En d’autres termes, chaque entreprise devra elle-même mettre en œuvre les mesures techniques et organisationnelles appropriées en matière de collecte et de traitement des données personnelles, de la conception (« privacy by design ») à l’exploitation de ses produits et services.

Il est ainsi désormais impératif de constituer dès à présent un dossier spécifique relatif aux traitements de données personnelles et d’établir un calendrier quant aux actions à mener afin de se mettre en conformité (mise à jour des formulaires de collecte, désignation d’un responsable du traitement, mise en place de procédures d’exercice des droits, édition d’un registre de traitement, études d’impact, sécurisation des traitements, audit des contrats de sous-traitance, etc.). 

Le déploiement de ces procédures internes est d’autant plus nécessaire que les responsables du traitement désignés devront être en mesure, le cas échéant, de justifier des diligences accomplies en cas de contrôle. 

Cette responsabilisation des professionnels est enfin associée à la reconnaissance de nouveaux droits aux particuliers, qui devront notamment faire l’objet d’une information circonstanciée nécessitant, de fait, la refonte partielle des documentations contractuelles et informatives.

Le déploiement d’un suivi rigoureux en la matière constitue en réalité une opportunité commerciale pour les entreprises, dans la mesure où les autorités compétentes s’apprêtent à mettre en place des mécanismes de certification ainsi que des labels spécifiques en la matière, conformément à l’article 42 du Règlement.

Le cabinet Lexymore demeure tout naturellement à l’écoute de ses clients afin de les accompagner dans le cadre de leur mise en conformité avant l’échéance fixée par le Règlement européen.

Bertrand Hassid & Ronan Le Moigne