En direct

Loi sur la protection des données personnelles : que faut-il en retenir??
L'AFCDP décrypte les effets de la loi relative à la protection des données sur le secteur du BTP. Elle modifie la loi de 1978 pour être conforme au RGPD, entrant en vigueur au 25 mai. - © © Phovoir

Loi sur la protection des données personnelles : que faut-il en retenir??

Par Patrick Blum, délégué à la protection de données à l’Essec Business School et administrateur de l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) |  le 23/05/2018  |  RéglementationCommunicationNumériqueLoi Elan

Après une longue procédure parlementaire, le projet de loi sur la protection des données personnelles a été définitivement adopté à la mi-mai. Le texte révise la loi de 1978, dite Informatique et libertés, pour l’adapter à la nouvelle réglementation européenne entrant en vigueur le 25 mai. Décryptage des impacts par Patrick Blum, délégué à la protection de données à l’Essec Business School et administrateur de l’AFCDP, l'Association française des correspondants à la protection des données à caractère personnel.

L’entrée en application du règlement européen sur la protection des données (RGPD) le 25 mai 2018 a pour effet de faire évoluer la loi Informatique et libertés (LIL) de 1978. A compter de cette date, le RGPD devient, en effet, la référence de toute organisation qui met en œuvre des traitements de données personnelles visant des personnes résidant au sein de l’Union européenne. Or, la LIL ne pouvait plus comporter de dispositions qui paraphrasaient ou entraient en contradiction avec ce règlement. C’est pourquoi le projet de loi sur la protection des données personnelles, définitivement adopté par l’Assemblée nationale le 14 mai, est venu modifier la loi de 1978.

Le texte adapte, par exemple, les modalités de fonctionnement de la Commission nationale de l'informatique et des libertés (Cnil). Il permet aussi à la France d'user des quelques marges de manœuvre laissées par Bruxelles dans la mise en œuvre du RGPD, comme la fixation de l'âge de la «?majorité numérique?».


Adaptation de la législation française


Au-delà de la mise en conformité du droit national avec le RGPD, le nouveau texte complète et précise les cas d'autorisations préalables de la Cnil pour des traitements ou encore les actions de groupe en matière de protection des données. Il met, par ailleurs, en œuvre dans la LIL un texte européen quelque peu passé sous silence, la directive dite «?police-justice?» du 27 avril 2016 sur la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale.

Une version (encore) provisoire de la loi  I nformatique et libertés

 

Notons que plusieurs sénateurs ont porté devant le Conseil constitutionnel la loi fraîchement adoptée. Ce dernier a un mois pour se prononcer. S'il ne la censure pas, la version de la LIL modifiée restera encore provisoire. Le gouvernement est, en effet, habilité à la réécrire complètement pour la rendre plus intelligible et cohérente - avec l’objectif présumé d’en faire un Code de la protection des données. Il a six mois à compter de la promulgation de la loi sur la protection des données pour le faire par voie d’ordonnance, puis six mois pour ratifier cette dernière. Les acteurs vont donc devoir attendre encore un an avant d'être fixés sur cette législation.


Se concentrer sur le RGPD


Quoi   q u'il en soit, c’est surtout le RGPD, entrant en vigueur le 25 mai, qui doit retenir l’attention des acteurs. Il faut bien considérer que ce règlement n'est pas une révolution, mais une évolution du contexte légal de la protection des données personnelles. Les entreprises qui étaient déjà en règle avec la LIL ne devraient pas avoir de grandes difficultés à respecter le RGPD. D’une manière générale, les obligations de ce règlement diffèrent peu de celles qui figuraient dans la loi de 1978.


Principe de responsabilité


Les grands principes de transparence, vieux de quarante ans, restent les mêmes (information et consentement préalables, droit d'accès et d'opposition, etc.), mais le RGDP induit un important changement d’état d’esprit. Il substitue aux démarches de déclaration préalable auprès de la Cnil, une posture de responsabilité (dite d' «  accountability » en anglais) qui implique les acteurs à conduire sans attendre une démarche de mise en conformité des traitements de données personnelles. Il est indispensable que les organisations démontrent à tout moment qu'elles respectent les «?règles d’or?» (grands principes de transparence et l'obligation, issue du RGPD, de documenter sa conformité), en particulier en cas d’incident ou de contrôle par la Cnil.


Impacts sur le BTP


Notons qu'historiquement, les entreprises du BTP pouvaient être modérément concernées par la réglementation sur la protection des données, avec des traitements surtout circonscrits à la gestion RH. Le développement de nouvelles technologies change rapidement la donne et impose à ces entreprises une attention accrue, en particulier avec l’explosion des objets connectés et leur collecte massive de données personnelles. Côté secteur public, il faut également examiner avec attention les processus comportant des décisions individuelles automatisées - comme les demandes d’attribution de logements sociaux -, désormais très encadrées et pour lesquelles une intervention humaine doit rester possible.

Si les grandes entreprises, quel que soit le secteur, sont déjà majoritairement bien informées sur le nouveau cadre, avec des moyens souvent importants pour s’y adapter, les structures de taille modeste sont souvent encore peu conscientes de son impact, et s’interrogent sur la démarche à suivre.


Se faire accompagner


Il ne faut pas hésiter à se faire accompagner en nommant un «?pilote?» en interne (obligatoire pour les organismes publics et les entreprises assurant un suivi régulier et systématique des personnes à grande échelle ou traitant des données dites « sensibles » ou relatives à des condamnations pénales et infractions). Il peut également être utile de se rapprocher d’une association spécialisée, comme l’AFCDP (Association française des correspondants à la protection des données à caractère personnel) qui propose échanges et assistance collaborative à ses membres, et de faire appel à une aide extérieure. L’association propose, à cet effet, une «?place de marché RGPD?» gratuite pour trouver des prestataires chargés de protéger les données à caractère personnel.


Constituer un registre  

 

Il est indispensable d’effectuer un inventaire de tous ses traitements portant sur des données personnelles. La constitution d’un tel «?registre?» est une obligation pour toutes les organisations  - seules celles qui n’ont pas de traitement pérenne en seraient exonérées. Le registre est un outil indispensable pour avoir une vision d’ensemble et assurer un suivi régulier. La Cnil propose d’ailleurs un modèle de registre, notamment pour les PME-TPE, qui peut constituer une aide utile.

 

Le cas des données sensibles  

 

Il est ensuite nécessaire de vérifier que les données traitées respectent bien les grandes exigences. Elles doivent être strictement nécessaires (principe de «?minimisation des données?») et n’être conservées que pour la durée utile à la finalité du traitement. Dans le cas où des données «?sensibles?» font l’objet d’un traitement - par exemple des données sur la santé des salariés - des précautions particulières doivent être prises, à savoir : la réalisation d’une «?analyse d’impact relative à la protection des données?». Celle-ci doit conduire à minimiser les risques.

 

Respecter le droit des personnes


Il faut également s’assurer du respect des droits des personnes concernées par ces données (clients, prospects, salariés, etc.). Chaque personne doit être informée du motif de traitement de ses données, de leurs destinataires, de leur durée de conservation, mais aussi de leurs droits d’accès, de correction si nécessaire ou encore d’opposition au traitement dans certains cas. Enfin, il est essentiel d’assurer la sécurité des données, afin d’éviter qu’elles ne soient modifiées, effacées ou consultées par un tiers non   a utorisé.


Encadrer les contrats avec les prestataires     

A ces précautions s' en   ajoute une en particulier dans le cas où  l’entreprise fait appel à un prestataire externe pour le traitement de certaines données, par exemple un service en mode «?SaaS?» ou «? c loud?» (logiciel ou application hébergé chez un prestataire externe). Ce type de situation doit désormais donner lieu à des précautions contractuelles précisant les responsabilités nouvelles du sous-traitant.

Commentaires

Loi sur la protection des données personnelles : que faut-il en retenir??

Votre e-mail ne sera pas publié

Éditions du Moniteur

AMC N°270 - SPÉCIAL INTÉRIEURS 2018

AMC N°270 - SPÉCIAL INTÉRIEURS 2018

Presse - Vente au n°

Prix : 29.00 €

Voir

Opérations Immobilières n°106 - Loi ELAN

Opérations Immobilières n°106 - Loi ELAN

Presse - Vente au n°

Prix : 37.00 €

Voir

Aménager sans exclure, faire la ville incluante

Aménager sans exclure, faire la ville incluante

Livre

Prix : 24.00 €

Auteur : Éditions du Moniteur

Voir

Accéder à la Boutique

Les bonnes raisons de s’abonnerAu Moniteur

  • La veille 24h/24 sur les marchés publics et privés
  • L’actualité nationale et régionale du secteur du BTP
  • La boite à outils réglementaire : marchés, urbanismes, environnement
  • Les services indices-index
Je m’abonne
Supports Moniteur
Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l’utilisation des cookiesOKEn savoir plusX