« Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité ».
Quel est le prix à payer par les entreprises pour rendre compatible leur emploi des données avec cet objectif posé au 4ème considérant du règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ?
Ce règlement en vigueur depuis juin 2016 est applicable à partir du 25 mai 2018.
Toutes les entreprises aujourd’hui utilisent des données personnelles
Le règlement sur la protection des données personnelles, toutes les entreprises y sont soumises. Toutes les entreprises aujourd’hui utilisent des données personnelles. Les services techniques comme les services commerciaux collectent et exploitent des données personnelles ne serait-ce que pour identifier leurs interlocuteurs des sociétés clientes, de leurs fournisseurs et de leurs partenaires. Quel que soit le secteur d’activité concernée, les entreprises emploient des données personnelles pour leurs ressources humaines, dans leurs différents services financiers et bien entendu, au service juridique et même à la direction de la propriété industrielle.
Le RGPD n’a pas pour objectif d’interdire l’emploi des données personnelles
Le RGPD n’a pas pour objectif d’interdire l’emploi des données personnelles. Les personnes physiques qui pour leurs activités personnelles ou domestiques utilisent des données personnelles par exemple dans leur téléphone portable, ne sont pas soumises au RGPD. Pour les entreprises, Il serait inutile et contre-productif de détruire les bases de données aux motifs qu’elles contiennent des données personnelles, un tel acte si hâtif pourrait d’ailleurs être reproché par des partenaires dont l’activité se trouve ainsi perturbée.
Le RGPD organise ce droit de la protection des données personnelles qui est un droit fondamental. C’est un changement radical pour les entreprises, elles ne peuvent plus agir comme si elles étaient propriétaire de ces données personnelles, elles n’en sont que les gardiennes, situation qui les oblige envers les personnes physiques concernées.
Cette soumission de l’entreprise à ce droit fondamental de la personne physique s’exprime au RGPD à tous les stades de la formalisation de la donnée personnelle comme par exemple lors de sa collecte, de son traitement, de sa détention, de son exploitation, et même pour sa conservation.
Le champ d’application du RGPD est immense
Le RGPD définit très largement les informations qui constituent des données à caractère personnel. Toute information se rapportant à une personne physique identifiée ou identifiable notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. S’ajoute à cette liste les données qui bien qu’ayant fait l’objet d’une anonymisation, peuvent être attribuées à une personne physique par le recours à des informations supplémentaires.
Certes, le champ d’application du RGDP est immense, mais dans la plupart des cas, les entreprises disposent de solutions simples pour la mise en conformité de leur base de données en toute transparence avec les personnes physiques concernées.
La preuve d’un état de conformité au RGPD
Différents principes sont posés au règlement RGPD :
- qualifications des données dites sensibles,
- renforcement des droits des personnes dont les données personnelles sont utilisées,
- obligation de sécurité des données dès la phase d’élaboration du traitement mettant en œuvre des données personnelles,
- responsabilisation et transparence entre l’entreprise qui détermine les finalités et les moyens du traitement, – le responsable du traitement-, et son sous-traitant.
Quelques développements sur des problématiques essentielles :
- Consentement à l’accès aux données personnelles, les solutions antérieures sont-elles reconduites ?
- Quantité des données conservées et finalité de leur conservation
- Le responsable du traitement
- Plus spéculatives, nos interrogations sur la qualification de données personnelles appliquée aux annuaires professionnels avec la décision de la CNIL du 15 septembre 2021, notre présentation
Comme le mécanisme mis en place par le règlement RGPD ne repose plus sur des déclarations ou des autorisations préalables, mais sur la preuve d’un état de conformité, à cette fin parmi les outils envisagés peuvent être cités :
- le registre des traitements
- le délégué à la protection des données
- la notification des défaillances de sécurité
- la certification
- les codes de conduite
- les études d’impact sur la vie privée
Pour les petites et moyennes entreprises, le règlement RGPD prévoit des dérogations et des tempéraments afin de ne pas perturber l’utilisation du service qui traite les données personnelles. Mais là est bien l’enjeu du règlement, comment les petites et moyennes entreprises peuvent-elles se conformer aux nouvelles dispositions dans des budgets maîtrisés ?