Les lois de protection des données pour PME

Les lois de protection des données pour PME

Le règlement européen sur la protection des données personnelle qui entrera en application le 24 mai 2018 viendra modifier les obligations légales des entreprises. Ce texte ambitionne de s’adapter aux nouvelles réalités du numérique, du Big Data, en renforçant les droits des personnes et responsabilisant les acteurs du traitement pour crédibiliser la régulation. Toutes les entreprises, quelles que soient leurs tailles, qui procèdent à un traitement de données, devront se conformer au règlement. Doit s’entendre comme une donnée personnelletoutes informations se rapportant à une personne physique identifié ou identifiable et le traitement comme toute opération effectué ou non à l’aide d’un processus automatisé tel que la collecte, l’organisation, la structuration, l’enregistrement, la modification, la destruction... 

Le principe du règlement

L’idée de ce règlement est de responsabiliser les entreprises en les dégageant de leurs obligations formelles : suppression des déclarations CNIL, en les remplaçants par l’obligation pour une entreprise de prouver qu’elle est en conformité avec le règlement.La CNIL devient alors le contrôleur du respect des règles en la matière, et applique les sanctions appropriées en cas de violation ou de manquement. Le CIL (correspondant informatique et libertés) est remplacé par le DPD (délégué à la protection des données). 

Parmi les obligations que l’on retrouvent dans le règlement, certaines ne font que confirmer la législation déjà en vigueur, tel que c’est le cas pour : 

  • la collecte proportionnelle à la finalité et loyale
  • le droit d’opposition
  • l’interdiction de collecter des données à caractère sensible (racial, ethnique, philosophique, religieuse, syndicale, de santé, d’orientation sexuelle, génétique, biométrique…)

A contrario d’autres obligations sont nouvelles, tel que :

le renforcement du consentement de la personne concernée qui doit être explicite et sans ambiguïté (système du « opt-in » : consentement a priori)

  • le renforcement du devoir d’information : l’entreprise doit être clair, intelligible et accessible. Informer sur les procédures en place pour l’exercice de leurs droits
  • la transparence de l’entreprise dans ses modalités de traitement des données
  • le droit à la portabilité (transmission des données d’un fournisseur à un autre si le consommateur le décide)
  • le droit à l’oubli (effacement des données à la demande du consommateur) 

Les sanctions encourues

En terme de sanction pénale, on retrouve traditionnellement : l’obligation de sécurité, la collecte déloyale et frauduleuse, l’obligation de conservation et le détournement de finalité, qui sont des infractions passibles de 300 000€ d’amende et 3ans de prison.

La CNIL conserve son pouvoir de sanctionner par un avertissement, amende, suspension des flux de données ou injonction d'arrêter le traitement des données. Le règlement ajoute que les amendes peuvent s’élever jusqu’à 20 000 000€ ou de 2 à 4 % du chiffre d’affaire annuel, et il appartient désormais également à l’entreprise d’indemniser toute personne lésée matériellement ou moralement par un traitement non-conforme de ses données (sans plafonnement).

Conformer les PME au règlement

4 points d’attentions sont déterminés pour les PME afin qu’elles prouvent leur conformité au règlement : 

RECUEILLIR LE CONSENTEMENT ÉCLAIRÉ PAR UNE INFORMATION

L’entreprise devra être claire et précise dans son information de l’usage qu’elle fait des données collectées et elle devra recueillir un consentement explicite en amont (insérer une case à cocher).

DESIGNER UN RESPONSABLE : LE DPD (délégué à la protection des données)

Les seules entreprises concernées par cette désignation sont celles du secteur public, celles qui traitent de données sensibles à grande échelle ou qui traitent de façon régulière et systématique des données à caractère personnel. 

Le rôle du DPD sera alors d’informer, de contrôler le respect du règlement, de conseiller l’organisme et de coopérer avec l’autorité de contrôle. Il sera désigné par les entreprises via un formulaire de désignation prochainement disponible sur le site de la CNIL.

ÉTABLIR UNE LISTE DES TRAITEMENTS

Les PME devront au minimum maintenir à jour une liste des traitements de données (le registre n’est obligatoire que pour les entreprises de plus de 250 salariés). Il est opportun pour chacun de ces traitements effectués (ce n’est pas obligatoire) d’avoir connaissance de :

  • Où les données sont hébergées ?
  • Jusqu’à quand ? (pas indéfiniment !)
  • Comment ? (mesures de sécurité en œuvre) 
  • Qui est responsable du traitement ? (DPD)
  • Quoi ? (type de données traitées)
  • Pourquoi ? (finalités)

GARANTIE DE CONFORMITÉ

L’entreprise doit être en mesure dès la conception du produit ou service de prouver qu’elle a pris les mesures de sécurité adaptées au type de données traitées et qu’elle en a limité le nombre à ce qui était strictement nécessaire à la finalité souhaité. Parmi les mesures de sécurité on trouve le cryptage, les antivirus, la solution cloud sécurisée premium, les mécanismes d’authentification... 

En cas de transfert de données hors de l’UE, il faut encadrer le traitement des données par des clauses contractuelles, certifications…

En cas de violation grave des données (destruction, perte, altération, divulgation, accès non-autorisé...) l’entreprise est tenue d’en informer la CNIL dans les 72h à compter de la prise de connaissance de la violation. Tout retard dans ce délai devra être justifié. 

En cas de recours à un sous-traitant, l’entreprise doit s’assurer que ce sous-traitant soit bien en conformité avec les règles en vigueur et qu’il en présente les garanties suffisantes.

 

Mégane Amblard

Partager sur :