Les F.A.Q. du R.G.P.D.

Le Règlement Général sur la Protection des Données (R.G.P.D.), qui a été adopté le 27 avril 2016 par le Parlement Européen et le Conseil de l'Union Européenne, va entrer en application le 25 mai 2018.

Tout d’abord, le R.G.P.D. a pour objectif de créer un cadre renforcé et harmonisé de la protection des données à caractère personnel tenant compte des récentes évolutions technologiques :

• Big Data ;

• Objets connectés ;

• Intelligence Artificielle et des défis qui accompagnent ces évolutions.

L’individu est placé au cœur du dispositif légal qui voit ainsi ses droits renforcés avec notamment :

• consolidation des obligations d’information ;

• restrictions en termes de recueil de consentement ;

• nouveau droit à la portabilité des données ;

• le droit à l’effacement des données

A quelques jours de l’échéance, nous vous proposons de répondre aux 3 questions les plus fréquentes que l’on peut se poser légitimement sur le R.G.P.D. lorsque l’on est une P.M.E. voire une T.P.E :

• Suis-je concernée par le R.G.P.D. ?

• Qu’est ce qu’un D.P.O. ?

• Quel est mon risque en cas d’infraction ?

Selon l’article 3 du R.G.P.D. :

« Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du  traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. »

Ainsi, le R.G.P.D. s’applique à toute entreprise traitant des données à caractère personnel (D.C.P.) concernant des personnes résidant sur le territoire de l’Union Européenne, que l’entreprise soit établie ou non dans l’Union Européenne.

Et de préciser selon l’article 4 du R.G.P.D. :

« est une donnée à caractère personnel toute donnée permettant d’identifier directement ou indirectement un citoyen européen. »

Il s’agit bien entendu de son nom, prénom, photo, adresse courriel, numéro de téléphone, CV, numéro de sécurité sociale, mais aussi adresse IP, plaque d’immatriculation, fiche de paye, etc.

Le R.G.D.P. prévoit la désignation obligatoire d’un Data Protection Officer aussi appelé « D.P.O. » en français, délégué à la protection des données. Cette fonction remplace celle de correspondant informatique et libertés (CIL), créée en 2004 avec la loi Informatique et libertés.

Avec le R.G.D.P. vous devez pouvoir apporter à tout moment la preuve que vous protégez les données personnelles de votre entreprise. C’est le rôle qui est assigné au D.P.O.

Selon l’article 37 du R.G.P.D. la désignation du D.P.O. sera obligatoire dans trois cas :

• si le traitement des données personnelles est effectué par une autorité ou un organisme publics;

• si les activités de base de l'organisme consistent en des traitements qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (profilage, ciblage publicitaire...);

• ou encore lorsque l'activité implique le traitement à grande échelle de données sensibles ou relatives aux condamnations et infractions spéciales.

Toutefois, si la gestion des données personnelles au sein de votre entreprise ne relève pas de ses spécificités, vous n’avez pas d’obligation d’embaucher un D.P.O. mais vous n’échappez pas pour autant à la réglementation du R.G.P.D. Il vous faut mettre en oeuvre les applications du règlement, et ce, même si vous ne disposez pas forcément des compétences au sein de votre structure. Il vous sera alors nécessaire de désigner un pilote pour la gestion des données personnelles au sein de votre entreprise. Il peut s’agir de l’un de vos collaborateurs ou encore d’un organisme externe, par exemple, un prestataire en sécurité informatique et / ou un cabinet d’avocats.

Le R.G.P.D. prévoit en son article 83 traitant des conditions générales pour imposer des sanctions administratives, que l’autorité de contrôle de l’Etat concerné, en France la CNIL, pourra prononcer à l’encontre de l’entreprise contrevenante une sanction administrative dont le montant pourra atteindre 4% de son chiffre d’affaires annuel ou 20 millions d’euros.

Du coté pénal, les sanctions encourues pourront aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende pour les personnes physiques et 1 500 000 euros pour les personnes morales.

Il est évident que le législateur européen a voulu mettre en place un niveau de sanctions dissuasif et effectif

par rapport à la violation du R.G.P.D.

L’Association XFT en partenariat avec I-Tourisme et le Quotidien du Tourisme organise une conférence sur le RGPD. Vous êtes invités gratuitement à assister à son enregistrement le jeudi 17 mai à 16h au Carré des Archives 75 Rue des Archives. 75003 Paris.