Laurent Travert, délégué aux affaires juridiques et sociales à la FFB 59/62

Laurent Travert, délégué aux affaires juridiques et sociales à la FFB 59/62

RGPD : Protection et confidentialité des données personnelles

Tribune par Laurent Travert, délégué aux affaires juridiques et sociales à la FFB 59/62

Pour améliorer la protection et la confidentialité des données personnelles (notamment face aux géants du numérique), l’Union Européenne a adopté une nouvelle législation : le Règlement Général de Protection des Données (RGPD).

Ce texte applicable le 25 mai 2018 met à la charge, notamment des entreprises, de nouvelles obligations.
Il poursuit deux objectifs principaux :
• Responsabiliser les géants du Web (réseaux sociaux, plateformes, éditeurs de logiciels…), qui collectaient jusqu’alors en masse les données personnelles de leurs utilisateurs dans une certaine opacité ;
• Renforcer la protection des individus dont les données personnelles sont traitées et les obligations pesant sur quiconque traite des données personnelles (entreprises, administrations, syndicats professionnels, partis politiques, associations…).

A compter du 25 mai 2018, l’ensemble des opérateurs économiques devront se conformer à cette nouvelle réglementation. En pratique, cette obligation va se décomposer en plusieurs volets.

Le premier volet de cette mise en conformité est d’identifier les traitements de données personnelles réalisés dans le cadre de leurs activités (données collectées concernant les clients, les prospects, les fournisseurs, les salariés, par exemple…).

Le second volet consiste à informer les personnes concernées  des modalités du traitement et de leurs droits légaux. L’objectif est de leur permettre d’exercer leurs droits légaux (accès, rectification, suppression de leurs données, …).
Le troisième volet concerne le suivi du règlement et nécessitera d’assurer :
• La tenue d’un registre des activités de traitement ;
• La réalisation des analyses d’impact ;
• La saisine de la Commission nationale de l’informatique et des libertés (CNIL) en cas de violation des données personnelles traitées (accès non autorisé, divulgation, destruction, altération, corruption, etc.).

Le corollaire à ces formalités sera la fin de la déclaration obligatoire des traitements à la CNIL. Compte tenu du caractère sensible accordé aux données personnelles et à la responsabilité qui pèsera sur les opérateurs économiques en cas de manquement dans leurs obligations, ces derniers devront être très vigilants dans le choix des « sous-traitants » (c’est-à-dire les hébergeurs, prestataires informatiques, agences de communication, etc.) qui devront présenter des garanties suffisantes. Il faudra également s’assurer que les contrats avec ces sous-traitants comprennent les mentions obligatoires prévues par le RGPD (et les mettre à jour si nécessaire).

Le RGPD impose, en outre, que certaines structures (notamment les banques, compagnies d’assurance, établissements publics, etc.) nomment un Délégué à la Protection des Données (DPO). Le DPO, salarié ou prestataire extérieure, aura un rôle d’information et de conseil sur les mesures à prendre pour être conforme au RGPD et de contrôle des mesures mises en place par l’adhérent ou la fédération de la FFB. Il sera également le point de contact de la CNIL et des personnes concernées par les traitements de données.

Il sera important de veiller au respect des principes de base du RGPD dans sa mise en œuvre et suivi. Les données personnelles devront ainsi être traitées :
• de manière licite, loyale et transparente ;
• sans pouvoir être réutilisées ultérieurement pour des opérations sans lien avec les objectifs d’origine ;
• limitativement (seules les données strictement nécessaires sont collectées et traitées) ;
• en étant exactes et tenues à jour (les effacer sinon) ;
• sans être conservées éternellement (prévoir une durée maximale de conservation).