Blog ENI : Toute la veille numérique !
Accès illimité 24h/24 à tous nos livres & vidéos ! 
Découvrez la Bibliothèque Numérique ENI. Cliquez ici
💥 Les 22 & 23 novembre : Accès 100% GRATUIT
à la Bibliothèque Numérique ENI. Je m'inscris !
  1. Livres et vidéos
  2. RGPD
  3. Introduction
Extrait - RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles)
Extraits du livre
RGPD Le comprendre et le mettre en œuvre (3e édition) - (témoignages de responsables de traitement et référents à la protection des données personnelles) Revenir à la page d'achat du livre

Introduction

Le RGPD

Le sigle RGPD signifie « règlement général sur la protection des données », expression simplifiée de « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE » (JOUE, 4 mai 2016, L. 119/1 et suivants : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679).

Il s’agit d’une réglementation de l’Union européenne (UE) qui doit être appliquée dans les États membres de l’Union, dont la France.

Dans l’expression « règlement général sur la protection des données », le terme « général » laisse entendre que d’autres textes doivent être pris en compte, des textes spéciaux. En effet, le règlement est une sorte de droit commun, un texte d’application générale qui a vocation à s’appliquer lorsque des textes spéciaux n’adoptent pas des réglementations particulières.

Celles-ci peuvent trouver leur source dans le droit de l’UE comme la directive (UE) 2016/680 du Parlement européen...

Le RGPD et la loi de 1978 

Dès l’origine, loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés contient les grands principes que l’on retrouve aujourd’hui dans le RGPD : protection des personnes physiques contre le traitement des données nominatives (qui relèvent de la vie privée et des libertés des personnes), affirmation de droits pour la personne protégée et mise à la charge des responsables de traitement d’obligations, le tout sous le contrôle d’une nouvelle autorité administrative et indépendante, la Commission nationale de l’informatique et des libertés (CNIL).

Plus de quarante ans plus tard, la loi de 1978 demeure, même si le texte a évolué sous l’influence essentielle de deux facteurs, l’un technique, l’autre supranational. Sur le plan technique, l’informatique a progressivement envahi la société, de sorte qu’il est apparu nécessaire d’adapter le droit. Sur le plan supranational, la compétence nationale s’est effacée progressivement devant la compétence de la Communauté puis de l’Union européenne.

Parmi les évolutions significatives, mention doit être faite de la loi n° 2004-801 du 6 août 2004 principalement dictée par la transposition de la directive européenne 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette loi s’est inscrite dans...

Approche(s) du RGPD

Le RGPD est un long texte : 173 considérants et 99 articles, presque une centaine de pages. C’est un texte de droit, donc un objet d’étude pour les juristes, par exemple les avocats qui peuvent être sollicités pour répondre aux multiples interrogations que le texte suscite. Mais par son ampleur, le règlement dépasse la simple résolution d’un problème juridique. Il suppose la mise en œuvre de « mesures techniques et organisationnelles appropriées » (voir notamment le considérant n° 78). Or, le juriste n’est pas toujours bien armé pour répondre à cette exigence.

Les spécialistes de l’organisation et de la gestion des entreprises sont plus à même de définir une stratégie, de déterminer certaines fonctions, de les coordonner pour que les objectifs soient atteints de manière efficace et efficiente et que les évolutions soient correctement gérées. Mais eux-mêmes peuvent buter sur la complexité inhérente au droit, et plus particulièrement celle du droit des données à caractère personnel.

Le présent ouvrage résulte d’une coopération entre des auteurs ayant des compétences différentes, juridiques et/ou organisationnelles. Il propose ainsi une approche globale...

Objet et sujets du RGPD

L’intitulé même du règlement (UE) 2016/679 du 27 avril 2016 en révèle les objectifs et les équilibres essentiels.

D’un côté, la libre circulation des données à caractère personnel doit être assurée. Elle participe de la liberté du commerce et de l’industrie. L’amélioration d’une protection harmonisée dans l’UE devrait favoriser les flux de données dans l’Union, sans fausser la concurrence, et contribuer au développement de l’économie numérique (RGPD, considérant n° 9).

D’un autre côté, la nature de ces données, leur caractère personnel, implique que certaines personnes, les personnes physiques, soient protégées. Relative à des droits fondamentaux, la protection devrait être assurée quelle que soit la nationalité de la personne concernée ou sa résidence, peu importe également le lieu du traitement (RGPD, considérants n° 2 et 14). Le règlement ne craint pas au demeurant d’affirmer que le « traitement des données à caractère personnel devrait être conçu pour servir l’humanité » (RGPD, considérant n° 4).

Mais le droit des personnes protégées n’en...

Application dans le temps du RGPD

Le règlement est entré en application le 25 mai 2018 (RGPD, art. 99). Il est directement applicable. En d’autres termes, aucun instrument national n’est requis pour son application (il en va différemment de la directive « police » 2016/680 du 27 avril 2016 dont la transposition a été réalisée en France dans le cadre de la réforme de la loi du 6 janvier 1978 intervenue notamment à travers l’Ordonnance n°2018-1125 du 12 décembre 2018).

Toute personne réalisant un traitement de données à caractère personnel dans l’Union, voire sur des personnes concernées dans l’Union, doit donc s’interroger sur la conformité de celui-ci au RGPD depuis cette date. Mais les anciens traitements, ceux mis en œuvre avant le 25 mai 2018, y sont-ils soumis ? Aucun article du RGPD contenant des dispositions transitoires ne permet de répondre directement à cette question.

Malgré tout, il ne fait pas de doute que le RGPD s’applique aux traitements en cours. En ce sens, le considérant n° 171 du RGPD dispose que « les traitements déjà en cours à la date d’application du présent règlement devraient être mis en conformité avec celui-ci dans un délai de deux ans après...

Application dans l’espace du RGPD

Les traitements visés sont ceux qui sont mis en œuvre dans le cadre d’établissements situés sur le territoire d’un État membre de l’Union, peu importe que les traitements soient réalisés dans l’UE ou hors de l’UE (RGPD, art. 3 § 1).

Mais le règlement s’applique aussi aux traitements liés à des offres de services ou de biens, à titre onéreux ou gratuit, à des personnes se trouvant dans l’UE, alors que le responsable ou le sous-traitant n’est pas établi dans l’UE (RGPD, art. 3 § 2, v. considérant n° 23).

Dans le même sens, les traitements liés au suivi du comportement de personnes se trouvant dans l’Union, comme les personnes physiques suivies sur Internet, avec leur profilage éventuel pour aider à la prédiction de leurs préférences et à la prise de décision, relèvent du règlement, même si celui qui traite ces données est établi hors de l’UE (RGPD, art. 3 § 2, v. considérant n° 24).

Impact du RGPD

Le RGPD n’a pas seulement fait évoluer le droit des données à caractère personnel. Il a marqué les esprits. Nul ne peut nier l’éveil de la prise de conscience de la protection des données à caractère personnel que le RGPD a facilité, pour les personnes concernées ainsi que pour les responsables de traitement.

Relayée par la presse, exposée sur Internet, la question du droit des données à caractère personnel est illustrée chaque jour par la présentation de nouvelles possibilités de traitements de données comme celles résultant des objets connectés, ou encore par l’information d’une violation importante de données à caractère personnel. Il n’est donc pas surprenant que les personnes concernées deviennent toujours plus inquiètes de leurs droits tandis que les responsables s’interrogent sur leurs obligations et la nécessité de traiter les données conformément au RGPD, dans le respect des droits des personnes concernées.

Mais le 25 mai 2018, qu’est-ce qui a changé ? À la fois peu et beaucoup.

Certes, au-delà de son application étendue dans l’espace, le RGPD accroît les droits de la personne concernée. Il renforce aussi les obligations des responsables....

RGPD : obligations et opportunités

Tous les responsables de traitement, ainsi informés, doivent prendre les mesures appropriées pour que leurs traitements soient en conformité avec le RGPD, ce qui leur permettra ainsi d’éviter les sanctions juridiques et les atteintes à leur image. Vu sous cet angle, le RGPD peut incontestablement apparaître comme une contrainte supplémentaire imposée à des entreprises soucieuses de limiter les coûts. Et personne ne peut prétendre que cette contrainte soit simple à surmonter.

Mais le RGPD constitue également une opportunité d’adopter une véritable organisation autour des données à caractère personnel permettant d’améliorer et de sécuriser les traitements, de gagner en efficacité et finalement en productivité pour toutes les données.

Ainsi, prendre les mesures qui s’imposent pour sécuriser les données à caractère personnel conduit à s’interroger sur la sécurité des données en général, ce qui oriente nécessairement vers des solutions de prévention pour éviter les violations de ces données, telles que celles résultant de la cybercriminalité qui touchait en 2021 plus d’une entreprise sur deux (source CESIN 2022). Le coût global des violations de données est en constante augmentation, ce que confirment de nombreux rapports, ce qui doit inciter à la prudence.

De même, considérer les droits de la personne peut également s’inscrire dans le cadre d’une démarche qualité de l’entreprise pour gérer les relations avec les clients. En effet, dans l’économie numérique, une personne qui n’a pas confiance...

Retours d’expérience : 10 constats et propositions

Désireuses de respecter les droits des personnes concernées, quelquefois convaincues par les opportunités ou inquiètes des sanctions, nombreuses sont les organisations qui ont entrepris de mettre en œuvre le RGPD. Les auteurs qui en ont accompagné certaines peuvent témoigner du fait que le chemin à parcourir est souvent parsemé d’interrogations et difficultés face à l’étendue du sujet. Les plus récurrentes sont mises en exergue ci-dessous sous forme de constats et de propositions.

1. Identifier les rôles des acteurs du RGPD

La tenue d’un registre des activités de traitement est l’une des obligations mises à la charge du responsable du traitement, que ce soit dans le secteur privé ou le secteur public. Cette tâche implique d’identifier les différentes personnes intervenant dans le traitement des données, ce qui s’avère souvent délicat.

À titre illustratif, les organisations privées sont souvent construites sur la base de différentes structures juridiques (groupes, filiales), qui utilisent des processus transversaux notamment pour les finances, les ressources humaines ou le système d’information. La fusion de ces fonctions peut générer une certaine confusion dans la précision des rôles et responsabilités des différents intervenants du point de vue du RGPD. La solution à de telles difficultés peut notamment se trouver dans l’admission d’une responsabilité conjointe. Dans un tel cas, les responsables conjoints du traitement doivent définir de manière transparente leurs obligations respectives dans le respect des droits des personnes concernées. Cela illustre le fait que, derrière l’analyse du traitement de données à caractère personnel, se profile fréquemment une redéfinition des relations entre les différents acteurs qu’il est recommandé de formaliser dans un acte.

2. Régulariser les relations « responsable/sous-traitant »

Les relations interprofessionnelles reposent souvent sur la confiance, ce qui peut se traduire par un défaut de formalisation de ces relations. Jusqu’à présent, dans de nombreux cas, aucun document contractuel ne précisait les missions d’un sous-traitant de données à caractère personnel, la relation étant seulement « encadrée » par une offre commerciale et des factures de services.

La pratique montre que la mise en œuvre du RGPD conduit à combler ces insuffisances. Elle consiste d’abord à aider le responsable à identifier tous les sous-traitants de données à caractère personnel. Cette première phase terminée, il convient d’envisager avec ces sous-traitants une définition des obligations respectives des parties (responsable des traitements et sous-traitants), au cours de laquelle les gestionnaires opérationnels d’une part, les éventuels DPO, d’autre part, et enfin les responsables des achats et les gestionnaires de contrat doivent être...

5 ans de RGPD : témoignages

Une énième réglementation de plus, trop complexe, trop onéreuse, trop énergivore, peu adaptée aux petites structures, éloignée des préoccupations des collaborateurs…. Les idées reçues sur la mise en œuvre et l’application du RGPD restent encore d’actualité et effraient trop souvent les organisations concernées.

11 témoignages viennent contredire en partie ces affirmations en démontrant qu’au-delà de l’obligation réglementaire, les organisations citées, qu’elles soient publiques ou privées, de taille modeste ou plus conséquente et quel que soit leur secteur d’activité, ont su la transformer en opportunité pour, entre autres :

  • clarifier les rôles et responsabilités, formaliser les processus de gestion de la donnée, et, plus largement, renforcer les principes de processus dans la gestion des projets ;

  • consolider les relations clients/sous-traitants ;

  • réfléchir à l’utilité des quantités de données de tout type conservées sur les supports papiers ou numériques ;

  • et surtout remettre au premier plan les mesures de sécurisation des systèmes d’information.

Des difficultés restent évidemment présentes, les plus souvent citées sont :

  • la charge de travail supplémentaire pour la ou les personnes en charge de la mise en œuvre, (ces dernières, très souvent DPO ou référents à côté de leur activité métier principale), pour les opérationnels préoccupés en priorité par les impératifs et certaines fois les urgences de leurs missions, pour les membres de la direction qu’il faut mobiliser de temps en temps ;

  • la prise en compte du RGPD au quotidien ou pour des projets « modestes » qui peuvent passer en dessous des radars de vigilance ;

  • la complexité liée à la protection des données personnelles dans les projets comportant des composants « nouvelles technologies » et notamment l’IA ;

  • le respect des mesures de protection des données personnelles ;

  • la gestion des relations de sous-traitance de données personnelles ;

  • le temps nécessaire à la mise en place d’outils de suivi de la démarche RGPD.

Mais au final, comme le prouvent ces différents témoignages et pour peu que la démarche bénéficie de l’implication de l’encadrement et de la direction, qu’elle demeure une action prioritaire, qu’elle mobilise des moyens adaptés et raisonnés, et, le cas échéant, qu’elle s’appuie sur une aide extérieure, la mise en œuvre du RGPD peut apporter une valeur ajoutée importante à l’ensemble de l’organisation.

images/01DP01.png

Témoignage N°1 :

Statut de l’organisation et secteur d’activité

Établissement de santé dont HAD

Statut privé

Principales personnes concernées

Salariés, patients

Volumes des principales personnes concernées

Salariés : moins...