Le RGPD, quel impact opérationnel sur le traitement des données personnelles par les startups ?

Le 25 mai 2018, le Règlement Général sur la Protection des Données (RGPD) s’appliquera à tous les traitements de données personnelles au sein de l’Union Européenne.

Il concernera toutes les entreprises, quelle que soit leur taille.

En conséquence, il est fondamental de faire le nécessaire pour être mis en conformité avant la date fatidique.

Le RGPD a un double impact sur vos activités :

• Renforcement de la protection des personnes concernées par les données personnelle.
• Adaptation des procédures internes pour mettre en place une conformité en amont.

Les sanctions, en cas de non-respect du RGPD, sont conséquentes dans tous les cas :

• Chiffre le plus élevé entre 10 millions d’euros et 2% du chiffre d’affaire mondial pour les atteintes techniques (Privacy by Design, Privacy by Default, absence d’analyse d’impact)
• Chiffre le plus élevé entre 20 millions d’euros et 4% du chiffre d’affaire mondial pour les atteintes aux droits des personnes.

Un renforcement des droits des personnes sur les données personnelles

Le RGPD renforce les droits des personnes dont les données personnelles sont collectées.

Les principes mis en place sont les suivants :

• Traitement des données personnelles de manière licite, loyale et transparente.
• Collecte pour des finalités précises, claires, déterminées, explicites, compréhensibles et légitimes.
• Utilisation uniquement pour ces finalités.
• Minimisation des données collectées à celles qui sont pertinentes pour la finalité.
• Mise à jour des données – suppression des données périmées.
• Conservation limitée dans le temps aux besoins du traitement.
• Protection de la sécurité des données.
• Privacy by Design : les principes du RPGD doivent être intégrés dès la mise en place du traitement.
• Privacy by Default : seules les données nécessaires sont traitées.

Ces principes impliquent la mise en œuvre de procédures techniques spécifiques : acceptation par cases à cocher, anonymisation, pseudonymisation, chiffrement, logs, processus de sécurité.

Les personnes concernées doivent également être entièrement informées des données collectées, des finalités des traitements et des procédures mises en place. Elles doivent également pouvoir obtenir du responsable de traitement qu’il modifie les données, les supprime, lui transmette ou l’informe sur les données personnelles qu’il détient sur elle, dans un délai d’un (1) mois à compter de sa demande. Toute personne peut également s’opposer au traitement de ses données, à tout moment.

Les droits conférés sont donc extensifs et doivent être répercutés au sein de vos documents contractuels (CGV / CGU notamment) et procédures internes.

La nécessité de mettre en place des procédures de conformité en interne

Si les droits conférés aux personnes sont étendus, ceux-ci restent dans le prolongement de la réglementation existante.

En revanche, les entreprises sont désormais soumises à des obligations transformées et bien plus importantes.

La déclaration préalable n’est plus nécessaire, chaque responsable de traitement devant garantir le respect du RGPD pour tous les traitements de données personnelles.

Il est nécessaire, au sein de chaque entreprise de plus de 250 salariés, de tenir un registre des traitements effectués. Les entreprises de moins de 250 salariés ne doivent tenir qu’un registre des traitements sensibles ou si le traitement est régulier. Toutefois, il est fortement conseillé à toutes les entreprises de tenir un registre de l’intégralité de leur traitement. La CNIL fournit un modèle de registre qu’il est conseillé d’utiliser : https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

Tout traitement de données sensibles (données de santé, politiques, ethniques, religieuses, sexuelles) ou incluant un profilage doit également faire l’objet d’une analyse d’impact. Celle-ci est également conseillée, bien que non obligatoire, pour tous les traitements de données personnelles. La CNIL a mis à disposition du public un logiciel qui guide cette analyse : https://www.cnil.fr/fr/outil-pia-telechargez-et-installez-le-logiciel-de-la-cnil

Les entreprises sont également invitées à nommer un Data Protection Officer (DPO), qui coordonne les traitements en interne, et les relations avec la CNIL en cas de contrôle. Ceci est obligatoire si l’entreprise traite des données personnelles de manière régulière et systématique, ou si elle traite des données sensibles. Le DPO peut être interne à l’entreprise ou un prestataire spécifique.

Diverses procédures techniques et administratives doivent également être mises en place :

• Procédure de réponse aux demandes des personnes concernées.
• Portabilité des données.
• Suivi des destinataires.
• Procédure de notification de la CNIL en cas d’atteinte aux données.
• Suivi documentaire de la conformité au RGPD (audit technique régulier, détail des mesures de sécurisation prise).
• Mise en place d’obligations de confidentialité pour les salariés.
• Limitation des accès aux données (par exemple via un système de permission).
• Mise en place de logs des accès aux données.
• Système de purge des données.
• Procédure d’acceptation de la politique de données personnelles par vos clients, en particulier si des services sont fournis en ligne (case à cocher non précochée).

Il convient également de s’assurer que vos contrats avec vos sous-traitants prévoient une répartition des rôles et responsabilités en matière de données personnelles, et notamment que vos partenaires présentent les garanties nécessaires de conformité au RGPD.

Il est donc nécessaire de faire le point sur vos procédures internes et de les adapter préalablement au 25 mai 2018.

La CNIL disposera de pouvoirs et moyens renforcés pour vérifier la conformité des entreprises au RGPD, dès cette date.

N’hésitez pas à nous contacter si vous souhaitez être assisté.