RGPD. TOUT CE QU'IL FAUT SAVOIR.

Les entreprises et les organismes publics sont-ils prêts à se conformer à la nouvelle réglementation sur la protection des données à caractère personnel ?

Comme beaucoup le savent peut-être, depuis le 25 mai 2018, le règlement (UE) 2016/679, connu sous le nom de RGPD (Règlement général sur la protection des données), est directement applicable dans tous les États membres. Il concerne la protection des personnes physiques à l'égard du traitement et de la libre circulation des données à caractère personnel.

Le RGPD en quelques mots :

• introduit des règles plus claires en matière d'information et de consentement ;
• définit les limites du traitement automatisé des données à caractère personnel ;
• jette les bases de l'exercice de nouveaux droits ;
• fixe des critères stricts pour leur transfert en dehors de l'UE ;
• fixe des règles strictes en cas de violation de données.

Ces règles s'appliquent également aux entreprises situées en dehors de l'Union européenne qui proposent des services ou des produits sur le marché de l'UE. Toutes les entreprises, quel que soit leur lieu d'établissement, devront donc se conformer à ces nouvelles règles. Les entreprises et les organismes auront davantage de responsabilités et s'exposent à de lourdes sanctions en cas de non-respect des règles.

Le guichet unique

Afin de résoudre d'éventuelles difficultés, le « guichet unique » (one-stop shop) a été mis en place ; il simplifiera la gestion des traitements et garantira une approche uniforme. Les entreprises opérant dans plusieurs États membres de l'UE pourront s'adresser à l'autorité de protection des données du pays où elles ont leur siège social.

Portabilité des données

Le règlement instaure le droit à la « portabilité » des données à caractère personnel, qui permet de les transférer d'un responsable du traitement à un autre. La règle prévoit une exception dans les cas où il s'agit de données contenues dans des archives d'intérêt public, comme par exemple les registres d'état civil. Dans ce cas, ce droit ne peut être exercé, tout comme il est interdit de transférer des données à caractère personnel vers des pays hors de l'UE ou des organisations internationales qui ne respectent pas les normes de sécurité en matière de protection.

Le principe de « responsabilisation »

Il existe d'autres nouveautés importantes. En effet, le principe de responsabilité des responsables du traitement (accountability) a été introduit, ainsi qu'une approche qui tient davantage compte des risques qu'un traitement donné de données à caractère personnel peut comporter pour les droits et libertés des personnes concernées. Ce nouveau droit facilitera le passage d'un prestataire de services à un autre, favorisant ainsi la création de nouveaux services, conformément à la stratégie du marché unique numérique.

Fuite de données

Le responsable du traitement devra signaler toute violation de données à caractère personnel à l'Autorité de contrôle. Répondre efficacement à une violation de données nécessite une approche multidisciplinaire et intégrée, ainsi qu'une coopération accrue au niveau de l'Union européenne. L'approche actuelle présente de nombreuses lacunes qui doivent être comblées. Ce n'est pas simple, mais il faut le faire pour ne pas passer à côté de l'opportunité offerte par le RGPD. La première mesure à mettre en œuvre pour les entreprises italiennes est sans aucun doute l'adoption du registre des traitements de données à caractère personnel, mais avant même de se préoccuper des formalités administratives, l'entreprise doit comprendre l'importance et la valeur des données, ainsi que les dommages économiques considérables liés à une perte d'informations. Si la violation des données représente une menace pour les droits et libertés des personnes :

Le responsable du traitement devra également informer de manière claire, simple et immédiate toutes les personnes concernées et fournir des indications sur la manière dont il compte limiter les dommages ;

Il pourra décider de ne pas informer les personnes concernées s'il estime que la violation ne présente pas de risque élevé pour leurs droits ou s'il démontre qu'il a déjà pris des mesures de sécurité ; ou, enfin, dans le cas où l'information des personnes concernées entraînerait un effort disproportionné par rapport au risque. Dans ce dernier cas, il devra procéder à une communication publique ;

L'Autorité de contrôle pourra toutefois exiger du responsable du traitement qu'il informe les personnes concernées, sur la base de sa propre évaluation des risques liés à la violation commise.

Le rôle du DPD (délégué à la protection des données)

Ce n'est pas un hasard si la fonction de « délégué à la protection des données » (Data Protection Officer ou DPO) a été créée ; cette personne est chargée de veiller à la bonne gestion des données à caractère personnel au sein des entreprises et des organismes, et est désignée en fonction de ses compétences professionnelles et de sa connaissance approfondie de la législation et des pratiques en matière de protection des données.

Le délégué à la protection des données :

• Il rend compte directement à la direction,
• Il est indépendant et ne reçoit aucune instruction quant à l'exécution de ses tâches ;
• On lui alloue des ressources humaines et financières adaptées à sa mission.

En réalité, trop de doutes subsistent encore quant à la nature exacte du DPD. Il s'agit d'un poste important, mais il n'est certainement pas le « cœur » du système mis en place par le RGPD, dont le responsable du traitement reste, dans le nouveau cadre réglementaire, le pilier central. Le DPD doit posséder une expertise spécifique « en matière de législation et de pratiques relatives aux données à caractère personnel, ainsi que des règles et procédures administratives propres au secteur ». Il est toutefois tout aussi important qu’il dispose également de « compétences professionnelles adaptées à la complexité de la mission à accomplir » et, en particulier dans des secteurs sensibles tels que celui de la santé, qu’il puisse démontrer qu’il possède également des compétences spécifiques concernant les types de traitements mis en œuvre par le responsable du traitement. L'autonomie décisionnelle et l'indépendance du DPD par rapport à la détermination des finalités et des modalités du traitement des données sont tout aussi importantes si l'on veut restituer aux personnes concernées cette souveraineté sur la circulation de leurs données.