Small nick 01

Frédéric POULALION

Quelles incidences de la RGPD sur le droit de l’entreprise ?

Il reste moins d'un an aux entreprises pour se conformer à la nouvelle Réglementation européenne (RGPD). Adoptée en avril 2016, elle entrera en application en France le 25 mai 2018, et aura des conséquences directes sur l’ensemble de la vie juridique des entreprises qui doivent opérer d’importants chantiers internes pour répondre aux nouvelles normes.

Parmi les 20 chantiers que les entreprises doivent entreprendre pour se conformer à la RGPD, on peut citer l’obligation de changement de politique générale, la nomination du DPO (Data Protection Officer), la gouvernance en termes de données personnelles, l’instauration de registres, de contrats et de mentions obligatoires, une protection par la conception, la durée de conservation des données, une protection par défaut, l’accountability (le fait de prouver la conformité des données)…

 RGDP

 

L’objectif de cette réglementation est de renforcer le droit des personnes dont on utilise les données personnelles. Elles sont définies à l’article 4 de la RGPD comme "toute information se rapportant à une personne physique identifiée ou identifiable", en ce compris les données personnelles indirectes. Sont inclus les identifiants en ligne qui peuvent être des données personnelles. Par exemple, une adresse IP, un device ID unique (personnel), les numéros de carte de crédit… Aussi, certaines données pseudonymisées pourraient être des données personnelles, en fonction du niveau de difficulté de rattacher le pseudonyme à un individu particulier (par exemple au moyen d’informations additionnelles).

Cette réglementation vise à responsabiliser les acteurs impliqués dans le traitement des données en donnant un pouvoir de sanctions sévères (sanctions par les autorités de contrôle comme la CNIL) ou judiciaires : litige avec une partie (salarié, partenaire commercial, commission d’une infraction pénale…).

Prenons comme exemple l’entreprise Facebook qui a été sanctionné (par la CNIL) de 150 000 euros, soit le maximum que la commission peut aujourd'hui infliger. Une amende qui changera dès l'année prochaine avec la RGPD, puisqu'elle pourra atteindre 20 millions d'euros ou 4% du CA mondial.

D’ailleurs, Il y a un mois Facebook a été sanctionné de 110 Millions d’euros par la Commission européenne pour lui avoir fourni des renseignements inexacts lors du rachat de WhatsApp en 2014. Il lui est reproché d'avoir autorisé le partage des données personnelles de l'appli vers Facebook après avoir promis le contraire.

La Réglementation générale sur la protection des données personnelles aura un impact sur le droit du travail. Les juridictions peuvent être amenées à apprécier les méthodes de surveillance des salariés et le traitement des données obtenues : système de tracking dans un camion Cass. soc. 14 janv. 2014  n°12-16218  ou de contrôle de présence Cass. soc. 10 juill. 2013 12-20.851.  Les juges du fond ne manquent pas d’apprécier la déclaration des traitements auprès de la CNIL mais aussi les manquements à l’information préalable des salariés et des instances représentatives du personnel sur l’existence et les finalités de ces traitements : CA Colmar, ch. Soc, 9 mai 2017. Les licenciements sur la base de preuves collectées à partir de ces traitements non conformes peuvent être invalidés.

La conformité à la RGDP implique d'interroger les juristes experts de la question en amont, d'engager les analyses d'impacts exigées par le règlement, de solliciter les experts de la sécurité informatique qui indiqueront comment réorganiser les processus et se conformer aux normes de sécurité, et interroger les éditeurs logiciels ou clouds sur les changements qui seront déployés sur leurs technologies dans les mois à venir. 

Afin d’éviter les faiblesses que peuvent représenter les conventions, la mise en œuvre d’un processus d’ingénierie contractuelle sur mesure est indispensable.

Il faut savoir qu’au-delà d'une certaine dimension chaque entreprise devra se doter d’un délégué à la protection des données (data protection officer DPO) : "Lorsque le traitement est effectué par une autorité publique ou un organisme public (à l’exception des tribunaux) ; Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées ; ou Lorsque les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de données particulières citées à l’article 9 (ex : données de santé, données biométriques, …) et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10." (art. 37 du RGPD) 

Comme le régime déclaratif de la loi de 1978 et de la Directive de 1995 va disparaître, le DPO devient le garant interne de la conformité de l'entreprise à la réglementation. Son travail sera notamment d'inscrire sur son registre l'ensemble des traitements de données personnelles mis en œuvre dans l'entreprise, les procédures de sécurité et la mise en œuvre des notifications de failles de sécurité par exemple. Il devra être en contact direct avec la direction générale. L’objectif est de se préparer aux contrôles des autorités de régulation et d’éviter l’exposition aux risques que peuvent provoquer des litiges nés ou à naître.

Pour se conformer à la RGPD, l'effort à fournir est et sera important pour chaque entreprise, il est donc essentiel de mobiliser très tôt dans le projet les différents interlocuteurs et contributeurs.

Laissez un commentaire