Professionnels : ce qui change sur la protection des données personnelles

Le RGPD - ou GDPR en anglais - c'est le nouveau casse-tête des entreprises qui doivent se mettre en conformité sur tous leurs fichiers, y compris ceux des salariés. Et donc, pour les travel managers, les fichiers des voyageurs. La CNIL va avoir un droit de regard et met à disposition quelques outils.

Nous en avons déjà parlé ici notamment à partir du 25 mai prochain, toutes les entreprises doivent être en conformité avec le règlement européen sur la protection des données personnelles (RGPD), sous peine de sanctions. Elles doivent préparer une analyse d'impact en s'appuyant sur les outils d'aide mis à disposition par la Cnil.

Le RGPD vise à renforcer l’importance de cet enjeu auprès de ceux qui traitent les données et à responsabiliser les professionnels. Il consacre et renforce les grands principes de la loi Informatique et Libertés, en vigueur depuis 1978, et accroît sensiblement les droits des citoyens en leur donnant plus de maitrise sur leurs données.

En pratique, la plupart des formalités préalables actuelles auprès de la CNIL (déclarations, autorisations) vont disparaître, au profit d’une logique de conformité continue. Les organismes qui traitent des données personnelles devront veiller au respect des textes tout au long du cycle de vie de la donnée. En contrepartie de cette réduction du contrôle en amont, le RGPD renforce les pouvoirs de sanction des CNIL nationales.

Le cadre des traitements de données personnelles à mettre en place par les entreprises inclut notamment les traitements portant sur les salariés. Ces nouvelles règles seront directement applicables à partir du 25 mai prochain.

La Commission nationale de l'informatique et des libertés (Cnil) prévoit des outils d'aide pour la transition vers ce nouveau cadre juridique et renforce l'accompagnement des professionnels dans leurs démarches.

Ce qui ne change pas :

- La Cnil continuera de procéder à des vérifications dans les locaux des organismes (en ligne, sur audition et sur pièces) ;
- La décision de réaliser un contrôle s'effectuera sur la base du programme annuel des contrôles, des plaintes reçues par la Cnil, des informations figurant dans les médias ou pour faire suite à un précédent contrôle ;
- Les principes fondamentaux de la protection des données tels que la loyauté du traitement, la pertinence des données, la durée de conservation, la sécurité des données notamment, continueront à faire l'objet de vérifications par la Cnil ;

Ce qui change à partir du 25 mai 2018 :

- Des nouvelles obligations et de nouveaux droits seront mis en place : droit à la portabilité, analyses d'impact, registre, délégué à la protection des données personnelles notamment ;
- L'analyse d'impact devra être effectuée avant la mise en œuvre de tout traitement de données susceptible de présenter un risque élevé (répertorier les traitements selon qu'ils sont soumis ou non à une analyse d'impact) ;
- Les pouvoirs de sanction de la Cnil seront renforcés ;
- Certaines formalités préalables pour l'adoption d'une démarche de conformité continue auprès de la Cnil (déclarations, autorisations) disparaîtront.
- Les droits des citoyens seront renforcés (meilleure maîtrise de leurs données).

Les règles du RGPD seront précisées et complétées par un projet de loi.

Textes de référence :
- Règlement (UE) 2016/679 Parlement européen et Conseil - 27 avril 2016 - protection des personnes physiques à l'égard du traitement des données à caractère personnel
- Les Obligations en matière de protection des données personnelles