RGPD

OBLIGATIONS ET MISE EN CONFORMITÉ

Depuis le 25 mai dernier, le nouveau règlement général 2016/679 relatif à la protection des données à caractère personnel (« RGPD ») est entré en vigueur.

Audrey Rustichelli

Head of Technologies & IP

Audrey Rustichelli est en charge du département Technologies & IP chez MNKS.  Elle conseille ses clients sur un large éventail de questions liées aux technologies de l’information et les assiste dans le cadre de leurs projets de mise en conformité avec le GDPR. Audrey gère également régulièrement la rédaction et à la négociation de contrats commerciaux (contrats de services, de distribution, d’agents commerciaux, de franchise, etc.).

Dans le cadre de ses activités quotidiennes, chaque entreprise est amenée à traiter des données personnelles, à savoir, des données permettant d’identifier directement ou indirectement une personne physique (nom, prénom, adresse email même professionnelle, signature, coordonnées bancaires, cv, copie de pièce d’identité, données liées au salaire ou à l’expérience professionnelle, etc.). Ces données peuvent concerner des employés et leurs familles, des postulants envoyant leur cv, des consultants externes, des sous-traitants (personnes de contact, employés, etc.), des clients (employés, personnes de contact, directeur, etc.) et autres tiers avec lesquels une entreprise contracte et interagit ou au sujet desquels elle obtient des données personnelles directement ou indirectement (bénéficiaires économiques dans le cadre de vérifications liées aux obligations AML, etc.).

 

Le RGPD introduit un certain nombre de nouvelles obligations à la charge des entreprises agissant en tant que responsable de traitement (entité qui détermine les finalités et les moyens du traitement) ou comme sous-traitant traitant des données à caractère personnel pour le compte du responsable du traitement.

 

Le RGPD s’applique (i) au traitement des données à caractère personnel effectué dans le cadre des activités d’un responsable du traitement ou d’un sous-traitant établi sur le territoire de l’Union Européenne, que le traitement ait lieu ou non dans l’Union, mais également (ii) au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées à une offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes, ou au suivi du comportement de ces personnes.

 

Afin de pouvoir se conformer à ce nouveau règlement, il est nécessaire, pour chaque entreprise, de lancer un projet en interne afin de faire le point sur l’état actuel de conformité et de mettre en place les mesures nécessaires.

 

Qu’est-ce que le fameux principe « d’Accountability » et comment s’y conformer?

Le RGPD transforme la manière dont les entreprises protègent les données personnelles en supprimant les formalités administratives (notifications préalables, demandes d’autorisation, etc.) devant auparavant être effectuées auprès des autorités locales compétentes (pour le Luxembourg, la Commission Nationale pour la Protection des Données « CNPD »). Depuis le 25 mai 2018, les entreprises sont tenues (i) de mettre en place les mesures qu’elles estiment nécessaires au regard de la nature, de la portée, du contexte et des finalités des traitements qu’elles effectuent ainsi que des risques potentiels pour les droits et libertés des personnes concernées et (ii) de documenter cette mise en conformité.

 

- La première étape consiste à procéder à un inventaire des traitements de données effectués. Cet inventaire doit notamment permettre d’identifier la nature des données personnelles traitées, pour quelles finalités et sur laquelle des bases légales listées dans le RGPD, le lieu et la durée de conservation de ces données, les potentiels destinataires, etc.

 

Le RGPD donne quelques pistes concernant les éléments à mettre en place. Notamment, les entreprises doivent mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Ces mesures de sécurité peuvent être variées et doivent permettre de pouvoir garantir la confidentialité, l’intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitements ainsi que la disponibilité des données et l’accès à celles-ci dans des délais appropriés en cas d’incident physique ou technique.

 

Dans le cadre de l’inventaire réalisé, il est important que chaque entreprise implique ses équipes IT afin d’identifier les mesures de sécurité encadrant les traitements effectués et pose les bonnes questions : les accès aux applications IT ou serveurs contenant des données personnelles sont-ils bien gérés et suffisants ?; les employés ont-ils la possibilité d’encrypter leurs emails sortants ou de protéger certains documents par un mot de passe ?; les systèmes sont-ils bien protégés contre les intrusions externes et contre une utilisation abusive de la part des employés (encadrement et restriction des connexions de ports USB, etc.) ?; avons-nous un programme de continuité des opérations ?; avons-nous une procédure d’archivage, de classification ou de destruction de documents ?.

 

Le RGPD prévoit également l’obligation de nommer un délégué à la protection des données (« DPO ») dans certains cas spécifiques. Si l’entreprise ne tombe pas dans le champ de cette obligation, il est tout de même fortement conseillé de désigner une personne en interne qui sera en charge de  maintenir une gouvernance appropriée en matière de protection des données personnelles et de vérifier que l’entreprise reste en conformité avec ses obligations.

 

Les entreprises sont en outre tenues de maintenir un registre des activités de traitement qui doit contenir un certain nombre d’informations listées par le RGPD. Un inventaire préalable bien fait donne une base solide pour préparer ce registre. Les autorités belges et françaises ont publié un modèle de registre.

 

Enfin, certains types de traitements listés par le RGPD et d’autres traitements identifiés comme pouvant constituer un risque devront faire l’objet d’une analyse d’impact. L’autorité française a publié un formulaire qui peut être utilisé dans ce cadre.

“ Afin de pouvoir se conformer à ce nouveau règlement, il est nécessaire, pour chaque entreprise, de lancer un projet en interne afin
de faire le point sur l’état actuel de conformité et de mettre en place les mesures nécessaires. ”

Comment gérer les droits des personnes concernées?

Le RGPD est venu renforcer les droits existants des personnes concernées en ce qui concerne la gestion de leurs données personnelles par des tiers et les a complété avec de nouvelles préro-gatives pour les individus.

 

Les entreprises ont l’obligation de fournir un certain nombre d’informations préalables aux personnes concernées afin d’expliquer la manière dont ces données seront conservées et traitées. Le RGPD vient ajouter des informations à la liste déjà existante.

 

- Afin de se conformer à cette obligation il va falloir adapter les documents correspondants (clauses dans les contrats de travail, dans les conditions générales ou contrats signés par les clients ou sous-traitants, information dans les emails de réponse envoyés suite à la réception de cv par un candidat, etc.).

 

Parmi l’ensemble des droits octroyés aux personnes concernées, figurent également notamment (i) le droit d’obtenir la confirmation que ses données personnelles sont traitées par l’entreprise, et si oui, de demander l’accès à ces données ainsi que certaines informations relatives au traitement, (ii) le droit d’obtenir que les données soient rectifiées ou complétées, (iii)  le droit d’obtenir l’effacement de ses données, (iv) le droit d’obtenir la limitation du traitement, (v) le droit de recevoir les données et de les transmettre à un autre responsable de traitement et (vi) le droit de s’opposer au traitement de ses données. Le RGPD pose des conditions spécifiques dans le cadre desquelles de telles demandes peuvent être effectuées.

 

La réception et la gestion de ces demandes doit se préparer en interne et faire l’objet de plusieurs actions préparatoires au sein de chaque entreprise afin d’être à même de gérer au mieux toute requête :

- Mettre en place un système de réception des plaintes. Il peut s’agir de la création d’une adresse email dédiée ou de la mise en place d’un outil de gestion des plaintes qui assistera l’entreprise dans ce processus, tel que l’outil MyDPRights. Peu importe le canal de réception choisi, il est important que les personnes concernées puissent trouver facilement et sans frais le moyen de contacter une entreprise.

- Identifier la ou les personne(s) qui seront en charge de recevoir, coordonner en interne et gérer ces demandes (DPO ou autre). Cette personne devra vérifier que chaque demande est traitée dans le délai d’un mois prévu par le RGPD.

- Créer une procédure interne à suivre afin d’encadrer par écrit le processus de réception des demandes, de vérification de l’identité de la personne contactant l’entreprise et de préciser les critères à prendre en compte afin de déterminer (i) si une demande est valide ou non et (ii) si l’entreprise peut favorablement y répondre. En effet, une entreprise ne pourra faire droit à une demande d’effacement si cette dernière est toujours légalement tenue de conserver les données visées ou est en relation contractuelle avec cette personne (ex. les données KYC).

 

“ L’utilisation d’un sous-traitant doit être encadrée par un contrat écrit ou tout autre acte juridique contenant des mentions obligatoires. ”

Comment gérer ses sous-traitants ?

L’utilisation d’un sous-traitant doit être encadrée par un contrat écrit ou tout autre acte juridique contenant des mentions obligatoires, mentions largement étendues par le RGPD afin de couvrir les obligations des sous-traitants dans le cadre du règlement.

 

Ainsi, les actions suivantes devront être prises :

- Effectuer un inventaire de ses sous-traitants actuels et vérifier si les contrats signés avec ces derniers contiennent des clauses adaptées dans le cadre du RGPD. En fonction du type de données auxquelles le sous-traitant peut avoir accès et de la nature des services proposés, il peut être nécessaire de contacter ce dernier afin de lui faire signer un avenant contenant les mentions contractuelles liées au traitement de données personnelles ou un contrat spécifique encadrant ce traitement ;

- Si l’entreprise agit elle-même en tant que sous-traitant (société proposant des services de gestion, fiduciaire, etc.), il sera nécessaire d’adapter les modèles existants de contrats ou conditions générales signées par les clients afin d’y insérer les clauses obligatoires visées par le RGPD et de proposer si nécessaire la signature d’un contrat encadrant les traitements de données personnelles.

 

Comment gérer les transferts de données ?

Toute entreprise transférant des données personnelles hors de l’Espace Economique Européen vers un pays considéré comme n’offrant pas un niveau de protection suffisant, doit s’assurer que les garanties appropriées prévues par le RGPD sont bien mises en place. Il pourra s’agir de la signature avec le destinataire des données (intra groupe ou vers des tiers) de clauses contractuelles types se trouvant sur le site de la Commission Européenne, de la collecte du consentement préalable des personnes concernées par ce transfert ou de la mise en place de Règles d’Entreprises Contraignantes au sein d’un groupe d’entreprises.

 

Comment gérer ses obligations en matière de violation de données personnelles ?

Le RGPD impose aux entreprises responsables de traitements de notifier une violation de données personnelles à l’autorité de contrôle compétente, et dans certains cas aux personnes concernées, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes concernées.

 

La CNPD a mis à disposition sur son site Internet un formulaire de notification de violation, qu’il est recommandé d’utiliser.

 

- Afin de pouvoir réagir vite dans le cadre du délai imparti en cas de violation, il est conseillé d’établir en amont une procédure écrite interne à suivre afin (i) de déterminer les personnes responsables en interne pour gérer et prendre la décision de notifier ou non, (ii) de préciser les critères à prendre en considération afin d’établir si la violation est susceptible d’engendrer un risque pour les personnes concernées, (iii) de lister les informations devant être fournies à la CNPD et établir la procédure à suivre afin de les collecter et (iv) de déterminer le format de communication aux personnes concernées le cas échéant.