Il y a six grands principes du RGPD :

• le principe de licéité, de loyauté et de transparence : lorsque les données font l’objet d’un traitement de données personnelles (par exemple une collecte de données) celle-ci doit se fonder sur l’une des bases légales de l’article 6-1 du RGPD (le consentement, l’obligation légale, l’intérêt légitime, l’exécution d’un contrat, la sauvegarde des intérêts vitaux de la personne, l’exécution d’une mission d’intérêt public) ;

• le principe de loyauté et de transparence : les données devront être traitées de manière licite, loyale et transparente au regard de la personne concernée : ce qui implique notamment une obligation d’information (article 5-1 a) du RGPD) ;

• le principe de finalité : le responsable d’un fichier ne peut effectuer un traitement de données personnelles que dans un but précis, légal et légitime (article 6-1 b) du RGPD) ;

• le principe de minimisation des données : les informations enregistrées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire à la finalité du traitement (article 5-1 c) du RGPD) ;

• le principe de durée de conservation limitée : une durée de conservation des données précise doit être fixée (article 5-1 e) du RGPD) ;

• le principe de sécurité et de confidentialité : l’intégrité et la confidentialité des données doivent être assurées (article 5-1 f) du RGPD) ;

Une donnée à caractère personnel est toute information se rapportant à une personne identifiée ou identifiable (article 4-1 du RGPD), par exemple : le nom et prénom d’une personne, un numéro de téléphone ou de plaque d’immatriculation, un numéro de sécurité sociale.

Un traitement de données personnelles est toute opération ou ensemble d’opération effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la transmission, la consultation etc… (article 4-2 du RGPD), par exemple : la gestion des paies, la création d’un registre récapitulant les membres d’une association ou d’un comité d’entreprise, la collecte de C.V pour un poste à pourvoir.

Le traitement de données personnelles n’est pas nécessairement informatisé : les fichiers papiers sont également concernés et doivent être protégés dans les mêmes conditions.

Le RGPD s’applique à :

• toute entreprise privée ou publique établie sur le territoire de l’Union européenne et qui traite des données à caractère personnel ou a recours aux services d’une entreprise à des fins de traitement de données (article 3-1 du RGPD) ;

• ou à toute entreprise privée ou publique établie hors de l’Union européenne et visant les données à caractère personnel des citoyens de l’Union européenne pour une offre de biens ou de services ou dans un cadre de suivi du comportement de ces personnes (article 3-2 du RGPD) ;

Le RGPD met en place de nombreuses obligations et notamment :

• Une obligation générale de sécurité et de confidentialité,

• Une obligation d’information et de transparence,

• Une obligation de garantir le droit à l’oubli,

• Une obligation de garantir le droit de rectification,

• Une obligation de procéder à une analyse d’impact dans certains cas,

• Une obligation de désigner un délégué à la protection des données dans certains cas,

• Une obligation de tenir un registre des traitements dans certains cas (chapitre III et IV du RGPD).

Le RGPD est entré en application le 25 mai 2018 (article 99 du RGPD).

Il faut mettre en place plusieurs procédures :

• Mettre en place une gouvernance des données ;

• Désigner un DPO (délégué à la protection des données personnelles) ;

• Procéder à une analyse d’impact avant la mise en place du traitement des données personnelles présentant certains risques (avant même la collecte des données) ;

• Déterminer la finalité de chaque traitement ;

• Tenir un registre des traitements ;

• Informer les clients et collaborateurs salariés du traitement de leurs données ;

• Conserver les données pendant une durée appropriée et fixée à l’avance ;

• Recueillir le consentement des personnes concernées par le traitement de données (si la finalité du traitement est basée sur le consentement) .

• Sécuriser les systèmes informatiques accueillants des données ;

• Contrôler les accès des utilisateurs aux systèmes informatiques (par exemple par une authentification des utilisateurs habilités à y accéder) ;

• Ne pas transférer de données en dehors de l’Union européenne et des Etats reconnus comme « adéquat » par l’UE ;

1 https://www.cnil.fr/fr/principes-cles/rgpd-se-preparer-en-6-etapes

C’est la personne qui détermine les finalités et les moyens des traitements de données (article 4 alinéa 7 du RGPD). C’est par exemple l’entreprise qui collecte les données de ses salariés ou celle qui a une base de données de clients.

Selon l’article 37.5 du RGPD, un avocat peut intervenir comme DPO dès lors qu’il dispose des compétences et des qualifications requises en protection des données personnelles. L’avocat pourra aussi assurer une mission de représentation de son client auprès des autorités administratives comme la CNIL ou des juridictions compétentes. L’avocat a aussi un devoir de conseil, d’information et de mise en garde lorsque celui-ci rédige un acte (telle qu’une politique de confidentialité ou une charte informatique et liberté).

Les données sensibles sont des informations « qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique » .

Les données sensibles forment une catégorie particulière de données personnelles et le traitement de ces données est en principe interdit.

Il est néanmoins possible de traiter ces données lorsque la personne a donné son consentement exprès au traitement de ses données sensibles ou si l’une des exceptions de l’article 9§2 du RGPD s’applique.

Le consentement doit être libre, éclairé, spécifique et univoque : il faut un acte positif clair par lequel la personne accepte le traitement (pas de cases pré-cochées par exemple). La personne doit disposer de toutes les informations relatives au traitement. Elle doit pouvoir le faire librement, sans subir de conséquences néfastes en cas de refus (article 4 alinéa 11 du RGPD).

Le registre des activités de traitement permet de recenser les traitements de données et de disposer d’une vue d’ensemble des pratiques liées aux données personnelles.

Ce registre participe à la documentation de la conformité et doit identifier précisément :

2 - https://www.cnil.fr/fr/definition/donnee-sensible

3 - Article 30 du RGPD

• Les parties prenantes qui interviennent dans le traitement des données (représentant, sous-traitants) ;

• Les catégories de données traitées ;

• L’utilisation des données, les accès et les tiers et destinataires ;

• La durée de conservation ;

• Les mesures de sécurité ;

Ce registre est un outil de pilotage et démonstration de la conformité RGPD. C’est un outil indispensable à tenir à jour, permettant notamment de répondre efficacement en cas de contrôle de la CNIL.

Pour sécuriser les données la CNIL a publié un guide en 12 étapes :

• Sensibiliser les utilisateurs ;

• Authentifier les utilisateurs ;

• Gérer les habilitations ;

• Tracer les accès et gérer les incidents ;

• Sécuriser les postes de travail ;

• Sécuriser l’informatique mobile ;

• Protéger le réseau informatique interne ;

• Sécuriser les serveurs ;

• Sécuriser les sites web ;

• Sauvegarder et prévoir la continuité d’activité ;

• Archiver de manière sécurisée ;

• Encadrer la maintenance et la destruction de données ;

Il est nécessaire de mettre en place des mesures visant à prévenir toute violation de données et à réagir de manière appropriée en cas de violation.

Une violation de donnée à caractère personnelle est « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données » , peu importe que l’incident soit malveillant ou intentionnel.

La perte d’une clé USB non sécurisée contenant une copie de la base clients d’une société peut constituer une violation de données.

En cas de violation de données à caractère personnel, le responsable du traitement doit dans certains cas notifier la CNIL (article 33 du RGPD) et doit en informer la personne concernée (article 34 du RGPD).

4 https://www.cnil.fr/fr/principes-cles/guide-de-la-securite-des-donnees-personnelles

5 Article 4.12) du RGPD

Sanctions CNIL

Une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial ;

Un rappel à l’ordre ;

Injonction de mise en conformité du traitement en cause., y compris sous astreinte (i.e. l’entreprise doit payer une somme par jour de retard) ;

Limitation temporaire ou définitive d’un traitement ;

Suspension les flux de données ;

Injonction de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;

Sanctions pénales

La collecte de données sans le consentement de la personne :

5 ans d’emprisonnement et de 300 000 euros d’amende .

La collecte malgré l’opposition de la personne lorsque ce traitement répond à des fins de prospection commerciale :

5 ans d’emprisonnement et de 300 000 euros d’amende .

La collecte de données « sensibles » sans autorisation :

5 ans et 300 000 euros d’amende .

L’application du RGPD au sein des services RH nécessite de prendre en compte plusieurs aspects :

• La mise en oeuvre des modalités de conservation des C.V et autres données des salariés ;

• Les outils de travail (logiciels RH) doivent être conformes au RGPD (par exemple : le logiciel ne doit pas transférer de données hors de l’Union européenne ) ;

• Le registre des traitements doit répertorier les traitements des données RH pour identifier les éventuelles atteintes au RGPD ;

• Une procédure d’exercice des droits des salariés doit être mise en place (droit d’accès par exemple) ;

• L’archivage et la destruction des données doivent être effectués dans des conditions sécurisées.

Il est aussi nécessaire de sensibiliser les services avec une formation spécifique au RGPD.

6 Article 83-5 du RGPD

7 Article 226-16 du code pénal

8 Article 226-18-1 du code pénal

9 Article 226-19-1 du code pénal

10 https://www.cnil.fr/fr/transferer-des-donnees-hors-de-lue

Un site conforme doit comprendre :

• Un bandeau cookies adapté et une politique cookies à jour ;

• Les mentions légales et la politique de confidentialité doivent respecter les obligations en terme d’information et de transparence ;

• Le contact du DPO ou d’un responsable doit être affiché (par exemple via une adresse mail) pour permettre de traiter les demandes de renseignements 11.

La base légale est en général fondée sur le consentement. Les personnes qui reçoivent la newsletter doivent tous avoir consenti valablement à la recevoir. De plus, le mail de la newsletter doit systématiquement contenir un lien permettant aux personnes de ne plus la recevoir en exerçant leur droit d’opposition 12.

Il est possible d’informer les salariés via le règlement intérieur de l’entreprise, une note de service ou sur le contrat de travail du salarié 13.

La création d’une charte informatique et liberté peut permettre d’informer les collaborateurs salariés de l’entreprise sur les pratiques de conformité RGPD à adopter au sein de l’entreprise.

Le responsable de traitement doit toujours respecter les obligations et les principes généraux du RGPD, en plus des obligations spécifiques relatives au responsable de traitement prévues à l’article 24 du RGPD.

Le sous-traitant a des obligations prévues à l’article 28 du RGPD et ne peut faire appel qu’à des sous-traitants qui présentent des garanties suffisantes de conformité au RGPD.

Le contrat de sous-traitance doit aussi comporter certaines mentions obligatoires (notamment l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées et les obligations et droits du responsable du traitement).

11 https://www.cnil.fr/fr/cookies-et-autres-traceurs

12 https://www.cnil.fr/fr/donnees-personnelles/abonnements-newsletter-cnil

13 https://www.cnil.fr/fr/rgpd-en-pratique-proteger-les-donnees

Une personne dont les données sont traitées peut à tout moment retirer le consentement qu’elle a précédemment donné (via l’envoi au responsable d’un traitement d’un mail, formulaire, compte en ligne etc…) (article 7 alinéa 3 du RGPD).

La mise en œuvre d’un site internet nécessite de respecter les obligations de transparence et d’information des personnes (article 12, 13 et 14 du RGPD).

L’absence de ces mentions sur le site internet expose le responsable de traitement à une amende administrative (article 84 du RGPD) ou à des sanctions pénales (article 226-16 du code pénal).

La désignation d’un DPO permet à toute entreprise ou organisation, responsable de traitement, d’être informée et conseillée sur la législation de l’Union européenne et de la France en matière de protection des données, de contrôler le respect du règlement, de coopérer avec la CNIL ou encore d’encadrer la mise en place des analyses d’impact.

Dans certains cas la désignation d’un DPO est obligatoire . 14

Le DPO assure une mission d’information, de sensibilisation, d’identification des risques ainsi que de formation des personnels sur la protection des données (article 38 du RGPD).

La désignation d’un DPO peut être volontaire ou obligatoire.

La désignation d’un DPO est obligatoire lorsque :

• Le traitement est effectué par une autorité publique ou un organisme public ;

• Les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;

• Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles ou de données relatives aux condamnations pénales et aux infractions ;

(article 37 du RGPD).

14 Article 37 du RGPD

L’avocat DPO externalisé a un rôle de DPO « classique » (mission d’information, sensibilisation, identification des risques sur la protection des données). Pour des raisons déontologiques, il ne pourra cependant intervenir en cas de contentieux portant sur l’objet de sa mission.

L’avocat qui entend exercer l’activité de délégué à la protection des données doit en faire la déclaration à l’Ordre des avocats par lettre ou courriel adressée au bâtonnier.

Toute personne ayant une connaissance approfondie du droit et des pratiques en matière de protection des données peut être DPO, dans certaines conditions.

Le délégué à la protection des données 15 doit :

• Être libre de ses fonctions, c’est-à-dire ne recevoir aucune instruction en ce qui concerne l’exercice de ses missions ni ne pouvoir être relevé de ses fonctions ou pénalisé par le responsable de traitement ;

• Ne pas exercer d’autres missions ou tâches pouvant entraîner un conflit d’intérêts ;

Une charte de déontologie du DPO a été mis en place par l’AFCDP 16 et ce document formule les règles de conduite de l’action des délégués à la protection des données.

15 Article 37 du RGPD

16 L’association française des correspondants à la protection des données à caractère personnel