RGPD – Avec l’accountability, les entreprises doivent montrer patte blanche en matière de protection des données
Qu’est ce que l’accountability ?
La loi Informatique et Libertés reposait sur une déclaration préalable des traitements de données, qui fonctionnait très mal puisqu’en pratique, très peu d’opérateurs de traitement se soumettaient à cette exigence.
Le RGPD entend rompre avec cette tradition en privilégiant la responsabilisation des opérateurs de traitement. Leurs obligations sont renforcées par le texte, mais ils n’ont plus à déclarer préalablement leurs traitements de données, sauf exceptions pour certains traitements jugés plus risqués pour les droits et libertés des personnes concernées.
L’accountability, c’est donc à la fois l’obligation pour les entreprises de se conformer au RGPD, mais également celle de démontrer leur respect des exigences nouvelles en cas de contrôle de la CNIL. Ces contrôles quasi-inexistants sous l’empire de la loi ancienne auront vocation à être beaucoup plus fréquents, et à frapper plus fort s’ils mettent en évidence la non-conformité des traitements contrôlés.
À quoi ressembleront les contrôles de la CNIL ? (article 62)
Tous les opérateurs de traitement pourront faire l’objet d’un contrôle de la CNIL, quels que soient l’ampleur de leurs traitements ou le degré de sensibilité des données maniées, et qu’ils soient dotés d’un DPO ou non.
Trois types de contrôles sont prévus :
- Le contrôle sur place.
- Le contrôle par audition : une convocation est envoyée à l’opérateur au minimum 8 jours avant.
- Le contrôle à distance via internet : les agents de la CNIL n’auront qu’à vérifier que l’opérateur respecte bien ses obligations en consultant les données qu’il laisse librement accessibles (sur son site principalement).
Beaucoup de documents pourront être consultés et copiés par les agents de contrôle, qui chercheront des éléments prouvant la conformité des procédures internes de traitements de données au RGPD. Pour faciliter leur travail, la tenue d’un registre des activités de traitement est fortement conseillée voire obligatoire pour les entreprises de plus de 250 salariés ou les traitements de données sensibles (article 30).
En cas de manquements sérieux, le dossier sera transmis à une formation restreinte de la CNIL habilitée à prononcer des sanctions. La CNIL peut également dénoncer l’opérateur au Parquet qui entamera une procédure judiciaire à son encontre. Pour les infractions les plus graves, l’amende pourra atteindre 20 millions d’euros ou 4% du chiffre annule mondial de l’opérateur. D’autres sanctions moins lourdes mais cependant très contraignantes pourront être prononcées en amont, telles qu’un avertissement, une mise en demeure de se mettre en conformité voire une limitation temporaire ou définitive du traitement.
Le secrétaire général de la CNIL Jean Lessi se veut rassurant : conscient que tout le monde ne sera pas en conformité dès le 25 mai, il exigera cependant que les opérateurs concernés aient pris conscience de l’importance du sujet et se soient engagés dans une démarche de conformité.
Les études d’impact sur la vie privée ou PIA (article 35)
Obligatoires ou pas ?
Les études d’impact préalables ne seront obligatoires que lorsque le traitement envisagé présentera un risque élevé pour les droits et libertés des personnes concernées. Les autorités de contrôle européennes (le groupe G29) estiment que dès lors que le traitement projeté répond à au moins deux des neuf caractéristiques suivantes, il est risqué et doit être précédé d’une PIA :
- Le traitement permet une évaluation, une notation ou un profilage des personnes concernées.
- Le résultat du traitement est le fondement d’une décision automatique vis à vis des personnes concernées.
- Le traitement implique une surveillance systématique des personnes concernées.
- Le traitement porte sur des données sensibles ou à caractère hautement personnel (religion, opinion politique…)
- Les données sont traitées à grande échelle (il faut prendre en compte le nombre de personnes concernées, l’étendue géographique du traitement, sa durée ou le volume de données traitées).
- Le traitement consiste en un croisement d’ensemble de données.
- Les données concernent des personnes vulnérables comme des enfants, des malades.
- Le traitement repose sur une nouvelle technologie, potentiellement plus attentatoire aux libertés.
- Le traitement empêche les personnes concernées d’exercer un droit ou bénéficier d’un service.
Déroulement de l’étude d’impact
Après avoir bien défini et analysé le traitement envisagé et les exigences légales, il conviendra de déterminer quelles mesures sont propres à éviter la réalisation du risque.
Si malgré les mesures envisagées, des risques résiduels élevés subsistaient, l’opérateur de traitement sera tenu de consulter préalablement la CNIL qui rendra un avis écrit sur le traitement (article 36).
La CNIL a d’ores et déjà mis à disposition des opérateurs de traitement un logiciel PIA pour faciliter la conduite de leurs études d’impact.
ALATIS est prêt à vous accompagner dans votre mise en conformité avec le RGPD, contactez-nous : contact@alatis.eu.
Voir aussi :
- Qu’est ce que le RGPD ?
- Quels sont les nouveaux droits des personnes concernées par le traitement de leurs données ?
- Trois bonnes raisons de se mettre en conformité avec le RGPD.
- Qui est le DPO et qui doit s’en doter ?
(Règlement général pour la protection des données personnelles)
Laisser un commentaire
Rejoindre la discussion?N’hésitez pas à contribuer !