Le cadre juridique de la protection des données personnelles s’apprête à connaître une refonte en faveur d’une protection renforcée des personnes physiques.

Toutes les entreprises sont concernées, et notamment les maisons d’édition quelle que soit leur taille, et devront ainsi mettre en place de nouveaux processus pour la collecte et de manière générale le traitement des données personnelles utilisées dans le cadre de leur activité, et ce avant le 25 mai prochain.

Le Règlement Général sur la Protection des Données Personnelles (dit RGPD) refond et renforce les droits et la protection des données à caractère personnel des personnes physiques, c’est-à-dire toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement (tels que notamment : nom, photo, empreinte, adresse postale, e-mail, numéro de téléphone, adresse IP, etc.).

Il vient abroger la directive européenne 95/46/CE du 24 octobre 1995 (transposée en France par la loi du 6 août 2004, venue modifier la loi du 6 janvier 1978).

La mise en conformité au RGPD au 25 mai 2018 nécessite d’entreprendre différentes démarches répertoriées par la CNIL dans un outil méthodologique en 6 étapes correspondant à :

• La désignation d’un pilote
• La cartographie des traitements de données à caractère personnel
• La priorisation des actions à mener
• La gestion des risques
• L’organisation des processus en interne
• La documentation de la conformité

Maintien des principes déjà en vigueur

Pour se conformer à leurs obligations, les entreprises devront respecter les principes essentiels déjà en vigueur, et notamment :

• Les données à caractère personnel ne peuvent être recueillies et traitées que pour une finalité déterminée explicite et légitime, correspondant aux objectifs poursuivis par le responsable du traitement (Principe de finalité) 
• Seules les informations adéquates, pertinentes et nécessaires à la finalité du traitement peuvent faire l’objet d’un traitement de données à caractère personnel (Principe de proportionnalité)
• Une durée de conservation limitée des données à caractère personnel (c’est-à-dire pendant une durée n’excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées)
• Sécurité et confidentialité à caractère personnel (les données contenues dans les fichiers ne peuvent être consultées que par les personnes habilitées à y accéder en raison de leurs missions)
• Respect des droits des personnes (et notamment : consentement, information, droit d’accès, rectification, opposition)

De nouvelles obligations

Le cadre juridique nouveau se traduit par ailleurs par de nouvelles obligations pour les entreprises.

En effet, tout en supprimant les formalités administratives auprès de la CNIL (les obligations déclaratives sont maintenues uniquement si les traitements constituent un risque pour la vie privée des personnes), le Règlement met à la charge des entreprises de nouvelles obligations.

• Obligation de tenir un registre des activités de traitement afin de pouvoir être en mesure de démontrer le respect du règlement [art. 30] 

La tenue de registre ne s’applique pas aux entreprises de moins de 250 personnes sauf si :

1. Le traitement effectué comporte un risque pour les droits et libertés des personnes concernées ;
2. Le traitement n’est pas occasionnel ;
3. Le traitement porte sur des données sensibles.

• Obligation de mettre en place un « Délégué à la Protection des Données » (DPO) [art. 37] quand :

1. Le traitement est effectué par un organisme public ;
2. Les activités de base consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle ;
3. Les activités de base consistent en un traitement à grande échelle de données sensibles.

• Obligation d’assurer la protection des données dès la conception des produits et services :

1. minimiser le recours à des traitements aux seules données nécessaires ;
2. recourir à la pseudonymisation et au cryptage [art. 25] ;
3. obligation de protection (disposer d’un système informatique avec des fonctionnalités minimales de sécurité à toutes les étapes) ne devant être mise en œuvre que par défaut [art. 25].

• Obligation de notification des failles de sécurité à l’autorité de contrôle et aux individus (ex. : perte, accès illicite, etc.) [art. 33]
• Obligation de réaliser des études d’impact et consultation préalable auprès de l’autorité de contrôle pour le traitement de données sensibles et le profilage  [art. 35]
• Mise en place de nouveaux mécanismes d’encadrement de transfert des données hors UE (clauses-types de protection adoptées par une autorité de contrôle, codes de conduite)
• Mise en place de responsabilités solidaires [art. 26] en cas de pluralité de responsables de traitement et de sous-traitants

Les entreprises ne se conformant pas au RGPD s’exposent à des sanctions financières pouvant aller jusqu’à 4% de leur chiffre d’affaires annuel mondial.