RGPD : 5 questions-réponses

Pour mieux comprendre le RGPD, applicable depuis le 25 mai 2018, nous avons posé 5 questions à Me Casagrande, Avocat et Data Protection Officer.

De quoi s’agit-il ?

Le réglement européen relative au règlement général sur la protection des données (RGPD) n° 2016/679 du 27 février 2016 concerne le traitement des données personnelles, à savoir, toute opération (collecte, enregistrement, transmission, destruction…) portant sur une information se rapportant à une personne physique identifiée ou identifiable. Et ce, à l’aide de procédés automatisés (informatique) ou non (dossiers papiers).

Quelle est la différence avec la loi de 1978 ?

De nombreux droits des personnes étaient déjà prévus dans la loi française modifiée du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Mais le RGPD va plus loin. Il renforce les droits et obligations. Il conduit à modifier la loi de 1978.

Qui est concerné ?

En premier lieu, tout responsable du traitement. Le responsable du traitement est la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement.
En second lieu toute personne amenée à traiter des données, notamment les professionnels qui recueillent des informations sur une personne. Par exemple en alimentant un dossier, un projet personnalisé, ou en rédigeant un courrier sortant.

Quels sont les obligations du « responsable du traitement » ?

On peut citer :

  • Mettre en œuvre les droits des personnes concernées : droit d’opposition, droit à l’effacement, etc.
  • Mettre en place des mesures techniques et organisationnelles pour assurer sa conformité au RGPD.
  • Etablir un registre des activités de traitement qui remplace de fait la déclaration CNIL auparavant obligatoire. Une déclaration CNIL reste obligatoire dans certains cas seulement (ex : recherche).
  • Analyser l’impact d’un nouveau traitement de données s’il existe un risque élevé pour les droits et libertés des personnes physiques.
  • Notifier une violation de données à l’autorité compétente (ARS, CNIL voire ANSSI, selon les cas).
  • Etablir une convention avec ses sous-traitants qui sont amenés à manipuler des données à caractère personnel.
  • Désigner un DPO dans certains cas : le DPO est chargé de veiller à l'application du RGPD (Data Protection Officer ou DPD, Délégué à la Protection des Données) ; il doit disposer de connaissances spécialisées du droit et des pratiques en matière de protection des données.

Le RGPD est-il déjà mis en œuvre ?

Pas toujours et trop souvent pas vraiement de manière globale.
Il est probable que nous soyons en présence de plusieurs situations :

  • ne pas appliquer le RGPD, ou attendre de l'appliquer, notamment par manque de temps, parce qu’il n’est pas considéré comme prioritaire ;
  • faire mine de l’appliquer, en se contentant d’une approche a minima et donc probalement non conforme au RGPD ;
  • penser qu’on est peu ou pas concerné, alors que rien n’a vraiment évolué dans les pratiques ;
  • croire qu’il est appliqué, alors par exemple que les personnes chargées du traitement des données ne sont ni informées, ni formées ;
  • mettre en œuvre sérieusement le RGPD, en y travaillant dans la durée, en désignant un DPO par exemple.

C’est bien sûr cette dernière option que nous conseillons.

 

Me Thierry CASAGRANDE
Avocat, Data Protection Officer
www.ThierryCasagrandeAvocats.fr

 

Nos formations en lien avec le RGPD

 

Prestations RGPD de Me Casagrande : cf. www.ThierryCasagrandeAvocats.fr