Avec l’adoption le 27 avril 2016 du règlement général sur la protection des données (RGPD), l’Union Européenne a mis la barre très haut sur les obligations concernant la collecte et le traitement des données des personnes individuelles. Même si sur le fond, on ne peut évidemment rien reprocher aux objectifs du texte, il est surtout taillé pour contrer les agissements des GAFA et les excès du marketing à tout prix. Le problème est que les associations et les TPE/PME pourrait bien être les victimes collatérales.
Les principes généraux du règlement général sur la protection des données
Le canevas sous-jacent à l’ensemble du texte repose sur quelques principes simples, finalement assez analogues à une certification qualité type ISO-9001 :
- Connaissance et qualification de toutes les données afférentes à des individus collectées et/ou traitées par l’entreprise (clients, RH…)
- Documentation et traçabilité des flux de données (intervenants, traitement…)
- Gestion des risques internes et externes sur les données collectées et traitées
- Coresponsabilité de l’entreprise et de ses sous-traitants quant à la gestion de données personnelles
La nomination d’un délégué à la protection des données, même si elle n’est pas une obligation pour la majorité des entreprises, est fortement recommandée.
A cela, il convient de rajouter le changement de paradigme que constituent :
- Accord préalable et explicite des individus à la collecte et au traitement des informations les concernant
- Limitation des informations pouvant être collectées et traitées restreintes à celles nécessaires à la fourniture du service
- Droit à l’oubli par l’entreprise des individus pouvant être exercé simplement
- La protection renforcée des données sensibles (origine ethnique, religion…) et des publics sensibles (enfants)
Le tout doit évidemment être actualisé au fil de l’eau autant que de besoin.
Quel changements par rapport à la déclaration à la CNIL ?
D’une part, bien qu’elle soit obligatoire, la déclaration de constitution de fichiers à la CNIL est plutôt mollement respectée actuellement. D’autre part, les obligations sont bien plus larges et ne reposent plus juste sur une simple déclaration. Le respect des obligations de l’entreprise doit être contrôlable à tout moment sur la base de registres tenus à jour.
On cite souvent l’exemple de Uber pour expliquer le sens du règlement général sur la protection des données. L’application du groupe impose effectivement un accord d’accès à des données personnelles qui ne sont pas nécessaires à la fourniture du service. Le RGPD est censé régler la question.
Le RGPD est un règlement européen, non une directive devant être transcrite en droit national. Il est applicable intégralement, quelque soit la taille de l’entreprise, dès le 28 mai 2018. Selon la hiérarchie des normes, il est au-dessus de la législation française.
Quels risques pour les associations, TPE/PME ?
Il y a bien directement celui de se voir infliger une amende en cas de défaut de mise en oeuvre du RGPD et/ou de non-respect des prescriptions en matière d’utilisation des données personnelles. Le plus à craindre reste certainement la nouvelle jurisprudence qui ne manquera pas de s’établir au gré des affaires plaidées du fait de l’établissement d’un référentiel très détaillé et très restrictif des “bonnes” et “mauvaises” pratiques.
Pour plus d’informations
Cet article n’est qu’un rapide survol de ce qu’est et implique le RGPD. N’hésitez pas à nous contacter pour plus d’informations, évaluer son impact sur votre activité, voire être accompagné dans sa mise en oeuvre. Le site de la CNIL est également très complet sur le sujet pour pouvoir se faire une idée.