Entrée en vigueur du Règlement Général sur la Protection des Données le 24 mai 2018 (Règlement CE 2016/679)

Le Règlement Général sur la Protection des Données (ci-après RGPD) réforme la gestion des données personnelles au niveau européen, faisant notamment passer la France :
• de son ancien système déclaratif en amont auprès de la Cnil,
• à un système de contrôle en aval par cette dernière, avec sanctions financières possibles (jusqu’à 4% du chiffre d’affaires annuel).

Les collecteurs de données devront ainsi s’assurer de remplir les trois critères suivants :
d’information préalable auprès des personnes dont les données sont collectées,
de proportion entre ces données et leur utilisation,
de protection de ces données contre tout accès illégal.

Une analyse doit être menée afin de vérifier que ces trois critères sont dûment remplis, et anticiper ainsi tout contrôle possible de la Cnil ; cette mission comprend notamment :
• la rédaction de la clause d’information correspondante pour les CGV ou tout autre document contractuel,
• la vérification de l’adéquation des données collectées avec l’activité concernée,
• un point avec le prestataire informatique intervenant afin de s’assurer que les mesures de sécurité nécessaires ont effectivement été mises en place.

Par ailleurs lorsque la collecte de données est régulière et systématique, ou lorsqu’elle porte à grande échelle sur des données sensibles (médicales, politiques, syndicales…), le collecteur de données doit désigner un délégué à la protection des données (ci-après DPO), étant précisé que :
• même lorsqu’elle n’est pas obligatoire, cette désignation est possible, voire conseillée, pour assurer la bonne gestion des données selon les trois critères susvisés,
• le DPO peut être désigné en interne ou pris en la personne d’un prestataire externe, tel un avocat.

***

Cette nouvelle réglementation RGPD est donc à la fois source de simplification (une déclaration Cnil n’étant plus préalablement obligatoire) et de responsabilisation (le collecteur de données devant lui-même assurer son « auto-contrôle », le cas échéant avec désignation d’un DPO) ; l’appliquer est en outre l’occasion pour les entreprises de communiquer sur leur conformité en la matière auprès de la clientèle concernée.

Le Cabinet Derby Avocats accompagne les sociétés dans cette adaptation, en proposant :
• des prestations d’analyse de l’existant et d’ajustement à la nouvelle réglementation en termes d’information, de proportion et de protection des données,
• une mission de DPO si nécessaire pour les entreprises préférant externaliser cette fonction.

 

Julie Gringore

 

https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679