Le 25 mai 2018, entrera en application le Règlement européen du 27 avril 2016 relatif « à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données » (le « RGPD », qui abroge la Directive 95/46/CE sur la protection des données).
  Le RGPD renforce certains droits existants (droit à l’oubli, expression du consentement par exemple), et en crée de nouveaux (traitement des données concernant des enfants par exemple).

La CSCA poursuit ses travaux et ses échanges afin de vous accompagner au mieux dans cette perspective ; elle a de nouveau organisé une réunion d’information, le 6 juin 2017, rassemblant une trentaine de personnes dont une représentante de la Commission Nationale de l’Informatique et Libertés (CNIL), des représentants du BIPAR ainsi que des adhérents afin d’étudier les nombreuses implications de ce nouveau texte et d’échanger sur les points qui restent en suspens.

Si le texte-cadre du Règlement a déjà été adopté, il manque en effet encore plusieurs textes explicatifs, en cours de discussion, concernant par exemple l’analyse d’impact (dont l’objectif sera d’évaluer le risque d’un traitement informatique, le gérer et démontrer sa conformité), ainsi que la détermination des traitements dits « à grande échelle », pour lesquels aucun curseur n’a été fixé (PIA-étude d’impact, DPIA-conduite d’analyse d’impact, article 35 du Règlement).

A ce stade, les lignes directrices sont fixées dans trois domaines : la portabilité des données, l’autorité de contrôle compétente et le Délégué à la Protection des Données (autrement dit le « DPO », sorte de super ‘Correspond Informatique et Liberté’ encore plus indépendant).

Concernant la mise en place d’un DPO, elle peut être nécessaire en fonction de la nature des opérations, et sera de toute façon obligatoire dans trois cas, notamment lorsque le traitement exige « un suivi régulier, systématique et à grande échelle ».

Pour les structures qui n’auraient pas la possibilité d’internaliser cette fonction, il est possible d’avoir recours à son externalisation, sous réserve du respect strict des règles édictées, non seulement par le donneur d’ordre mais aussi par le sous-traitant ; sur ce point, il a clairement été indiqué que les autorités y porteront une vigilance toute particulière.

L’autre solution prévue par le Règlement européen, à laquelle réfléchit la CSCA pour le compte de ses adhérents, est de recourir à la mutualisation. Dans le secteur privé, il pourra ainsi y avoir un même Délégué pour un groupe d’entreprises à condition qu’il soit « facilement joignable à partir de chaque lieu d’établissement ». Une solution qui peut s’avérer judicieuse, au vu des coûts annoncés de mise en conformité, notamment au plan informatique (ils pourraient s’élever à plusieurs dizaines de millions d’euros selon la taille de l’entreprise). Le groupe de travail mis en place, piloté par Philippe Luttmann, Directeur Juridique, Fiscal et Conformité de la CSCA, poursuivra ses travaux sur ces sujets dans les semaines à venir.

Découvrez très prochainement l’ensemble de nos fiches pratiques sur chacun des points cruciaux de cette nouvelle règlementation ; et n’hésitez pas à nous solliciter pour de plus amples précisions.

Attention, pour mémoire, des sanctions pécuniaires sont prévues en cas de manquement aux nouvelles obligations inscrites dans le RGPD, pouvant aller jusqu’à 20 M€ ou 4% du chiffre d’affaires annuel mondial.