Quatre mois avant leur entrée en vigueur, les nouvelles règles européennes en matière de données personnelles (ou RGDP) restent méconnues (ou ignorées) par les PME. Dans ses Orientations du 24 janvier 2018, la Commission les incite à se mettre en conformité, en en valorisant les avantages et facilitant la compréhension.
Selon la Commission, le RGDP permet aux PME de :
- Mettre de l’ordre dans la gestion de la collecte et du traitement de leurs données personnelles ;
- Améliorer les relations avec leurs clients et partenaires, fondées sur la transparence et la confiance ;
- Obtenir un avantage compétitif dans l’ensemble de l’Union Européenne ;
- Etre plus proactives et rendre compte aux autorités de contrôle.
Par ailleurs, la Commission met à leur disposition en ligne une nouvelle boîte à outils, sous la forme de FAQ – foire aux questions. On y trouve une grille de lecture d’un Règlement à la lecture ardue et complexe, adaptée aux PME. Il est notamment rappelé que, pour ces dernières, certaines obligations particulièrement contraignantes peuvent ne pas s’appliquer.
Elle rappelle également l’approche du RGDP fondée sur le risque : les entreprises doivent mettre en œuvre des mesures de protection correspondant au niveau de risques de leurs activités de traitement de données.
Si, elles ne traitent pas une grande quantité de données et des données sensibles (par exemple sur la santé), les contraintes seront moins importantes.
Il reste un socle minimum pour protéger tous citoyens, à savoir :
- selon les anciennes règles : la licéité et la finalité des traitements, la proportionnalité des données, la durée de conservation limitée et la sécurité ;
- selon les nouvelles règles : une responsabilisation de tous les acteurs, un renforcement des droits des personnes, une obligation de notifier les violations de données, et une documentation à tous les niveaux.
Ces nouvelles règles sont assorties de sanctions particulièrement dissuasives : l’entreprise qui n’obtempère pas après un rappel à l’ordre ou une injonction, risque le prononcé d’amendes administratives pouvant aller jusqu’à 20 millions d’amendes ou 4% du chiffre d’affaires.
En outre, le contrôle de la CNIL sera probablement renforcé par la nouvelle loi adaptant la Loi Informatique et Liberté du 6 janvier 1978 au droit de l’Union Européenne, dont le projet prévoit en effet que :
- les contrôles sur place seront généralisés à l’ensemble de locaux servant à la mise en œuvre d’un traitement de données personnelles, et pas seulement les locaux professionnels,
- les contrôles en ligne pourront être réalisés par les agents de la CNIL sous une identité d’emprunt,
- les pouvoirs d’investigation de la CNIL seront étendus, et les sanctions renforcées (sous astreinte de 100.000 € par jour).
N’attendez donc pas pour vous mettre en conformité : vous y gagnerez en termes d’image, et de sécurité juridique !!!
—–
Marseille, le 8 février 2018