Publié le 13/12/2017 - Mis à jour le 24/04/2018
Si depuis longtemps, la plupart des pays européens ont un dispositif légal solide relatif à la protection des données personnelles (loi n°78-17 du 6 janvier 1978, décret n°2005-1309 du 20 octobre 2005 et loi du 7 octobre 2016 en France, loi du 2 août 2002 modifiée au Luxembourg), l'Union Européenne a décidé d'adopter un régime juridique unifié et plus protecteur, le Règlement Général sur la Protection des Données (RGPD), directement applicable au sein de l'Union.
Le RGPD, composé de 99 articles, entre en vigueur le 25 mai 2018 et l'écrasante majorité des professionnels, indépendants ou dans de plus grandes structures, en lien avec l'Union Européenne, doivent se mettre en conformité.
En effet, à partir du moment où une structure traite, de façon automatisée ou non, des données à caractère personnel, contenues ou appelées à figurer dans un fichier, relatives à des résidents européens, elle est concernée par le RGPD. Ces données personnelles, se rapportant à une personne physique identifiée ou identifiable, pourront être mentionnées, par exemple, dans des contrats commerciaux, des factures, des bons de commandes, des contrats de travail...
Mais il peut également tout simplement s'agir d'emails reçus ou envoyés, de candidatures reçues...
Par "traitement des données", il faut entendre leur collecte, enregistrement, organisation, structuration, conservation, adaptation ou modification, extraction, consultation, utilisation, communication par transmission, diffusion ou toute autre forme de mise à disposition, rapprochement ou interconnexion, limitation, effacement ou destruction.
Vous l'aurez compris, le RGPD s'applique à quasiment toutes les structures liées aux résidents européens.
Le RGPD confère des droits plus étendus aux citoyens, comme :
- le droit d'accès à leurs données (article 15 du RGPD)
- le droit de rectification de leurs données (article 16 du RGPD)
- le droit à l'effacement (droit à l'oubli) de leurs données (article 17 du RGPD)
- le droit à la limitation du traitement de leurs données (article 18 du RGPD)
- le droit à la portabilité de leurs données (article 20 du RGPD)
- le droit d'opposition au traitement de leurs données (articles 21 et 22 du RGPD)
A cet effet, le RGPD impose toute une série d'obligations aux entreprises, à voir au cas par cas, selon l'activité de la structure, dont :
- le consentement explicite des personnes quant au traitement de leurs données
- la réalisation d'une analyse d'impact
- le concept de "privacy by design" (sécurité des systèmes dès la conception)
- la désignation d'un Délégué à la Protection des Données ou Data Protection Officer (DPO), interne ou externalisé
- la tenue d'un registre des activités de traitement, notamment pour respecter le "principe d'accountability" (être en mesure de pouvoir démontrer la mise en conformité avec le RGPD)
- la notification de violations de données
Une autorité de contrôle nationale (CNIL pour la France, CNPD pour le Luxembourg) est chargée de vérifier la mise en conformité des structures locales au RGPD, avec la possibilité d'infliger des amendes très importantes, jusqu'à 4% du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise ou 20.000.000€ (article 83 du RGPD). Bien entendu, les sanctions seront proportionnées à l'infraction.
Mais n'attendez pas d'être confrontés à un contrôle ou à une plainte pour vous mettre en conformité avec le RGPD et contactez le Cabinet Bove Law Office pour plus de renseignements ! En outre, nous proposons un service de DPO externalisé.
© Maître Anaïs BOVE
Avocate aux Barreaux de Marseille et de Luxembourg