FICHE 1 : LE RGPD QU’EST CE QUE C’EST ? (Définition, philosophie et rôle de la CNIL)

Le règlement n°2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la Protection des Personnes Physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données (Règlement général sur la protection des données – RGPD) est entré en vigueur le 25 mai 2018.

1. BREF RAPPEL SUR L’ÉMERGENCE DE LA PROTECTION DES DONNÉES PERSONNELLES

L’encadrement de la protection des données à caractère personnel (DCP) n’est pas nouveau

En effet, la construction de ce cadre juridique a débuté en France en 1978 avec la loi informatique et liberté de 1978 (« LIL »), qui a également donné naissance à la CNIL, la Commission Nationale de l’Informatique et des Libertés, Autorité administrative indépendante chargée de faire respecter la LIL.

Autre texte important de la construction de ce cadre juridique, la Directive Européenne de 1995 qui offre de nouveaux moyens de contrôle et de sanction à la CNIL face à l’essor d’internet dans les années 1990.

De nombreux principes entérinés dans le RGPD existent en France
depuis une quarantaine d’années…

Certains ont cependant été adaptés aux pratiques digitales d’aujourd’hui, qui sont déjà radicalement différentes de celles que l’on connaissait il y a 10 ans seulement…

Voilà de quoi calmer les craintes de certains qui pourraient avoir l’impression de devoir faire face à un bloc de nouvelles règles extrêmement contraignantes et auxquelles ils ne comprennent rien…

Il n’en est rien en pratique et l’appropriation des nouvelles règles ne devrait pas poser de problèmes dès lors que l’on prend la peine de se pencher un peu sur la question.

Pour les curieux, la CNIL a publié une vidéo extrêmement bien faite sur son histoire, et l’évolution nécessaire de l’encadrement des pratiques dans notre Société du tout numérique.

C’est ici https://www.cnil.fr/fonctionnement-de-la-cnil

2. LA PHILOSOPHIE DU REGLEMENT EUROPEEN (RGPD)

Si de nombreuses règles existaient déjà, il est aussi important de bien comprendre la philosophie du RGPD 

En effet, le RGPD a été adopté alors que l’internet est devenu omniprésent dans notre quotidien.

Tout ce qui était pure fiction il y a 10 ans, s’est finalement réalisé en pratique et nos vies privées sont au cœur de de cette nouvelle économie, nos données personnelles sont ainsi devenues une véritable monnaie d’échange…

Il était nécessaire face à cette révolution digitale par rapport à ce que l’on connaissait en 1978 de venir réaffirmer un principe cher à notre démocratie : la protection de la vie privée de toute personne physique.

Or cette protection se heurte à des objectifs purement économiques de certains organismes devenus experts dans la marchandisation de nos données privées, mais elle se heurte également à un souci sécuritaire qui est de plus en plus prégnant dans nos Sociétés ces dernières années avec la recrudescence du terrorisme.

Dans ce contexte, les Etats membres de l’UE après plusieurs années de négociations se sont accordés pour adopter un texte commun qui doit leur permettre d’allier ces trois problématiques majeures que sont : la protection de la vie privée des citoyens, l’essor économique des entreprises européennes, et le lutte contre le terrorisme.

Ce faisant, le RGPD a cela de nouveau par rapport à la loi informatique et liberté de 1978 que :

  • Il a comme objectif premier, celui de renforcer le droit des personnes, imposant à tous les organismes une obligation générale de transparence ;
  • Il opère un changement radical de méthode en ce que l’on abandonne la pratique antérieure des déclarations préalables des traitements de données à caractère personnel à la CNIL pour le remplacer par une responsabilisation des acteurs qui doivent désormais s’assurer en amont qu’ils respectent les grands principes du RGPD, tout en conservant la preuve de leur conformité à ces principes en cas de contrôles a posteriori de la CNIL (Accountability) ;
  • Il rééquilibre les responsabilités entre les responsables de traitement et les sous-traitants, les seconds pouvant désormais être tenus responsables en cas de non-conformité au RGPD des traitements effectués par eux pour le compte d’un responsable de traitement ;
  • Et enfin, la CNIL se dote d’un véritable pouvoir de sanction, dont elle entend se servir aux fins de voir appliquer avec plus de vigueur le RGPD que ne l’a été la loi informatique et liberté durant les quarante dernières années.

En tout état de cause le RGPD ne doit pas être vu par les entreprises comme un texte contraignant les empêchant (ou les dissuadant) à l’avenir de traiter des données à caractère personnel. Tel n’est pas son but.

Il conviendra pour tous ces organismes d’intégrer les nouveaux mécanismes détaillés ci-dessus et éventuellement de se rafraîchir la mémoire en s’assurant que les principes qui existaient auparavant sous la loi LIL sont bien appliqués en pratique.

Ainsi, le RGPD entrera sans heurts dans le quotidien des Entreprises et Organismes, offrant une garantie supplémentaire à toutes les personnes physiques croisant le chemin de ces entités, que ce soit les salariés, clients, consommateurs, cibles commerciales, etc.

Plus encore, à l’échelle des TPE/PME les obligations qui s’imposent aux entreprises sont finalement assez légères puisqu’elles dépendent du volume et de la sensibilité des données traitées.

Les TPE/PME qui veulent s’en convaincre liront le guide dédié préparé conjointement par la CNIL et la BPI qui regorge d’informations sur la question : https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-guide-rgpd-tpe-pme.pdf

3. ET APRES LE 25 MAI 2018? NOUVELLE LOI? ROLE RENFORCE DE LA CNIL?

Le RGPD est entré en vigueur le 25 mai 2018 dans l’Union Européenne.

Dans ce texte, un certain nombre de marges de manœuvres étaient laissées à l’appréciation des Etats Membres. La France s’est saisie de cette possibilité et a adopté une loi du 20 juin 2018, promulguée le 21 juin 2018, modifiant ainsi la loi informatique et liberté de 1978 (https://www.legifrance.gouv.fr/eli/loi/2018/6/20/JUSC1732261L/jo/texte).

Ainsi par exemple, la France a décidé de fixer la « majorité digitale » à 15 ans i.e. l’âge du consentement d’un mineur en France pour accéder à un service en ligne.

La CNIL, est une Autorité de contrôle, mais pas seulement. Elle joue également un rôle prépondérant de Conseil et d’accompagnement des entreprises.

En effet, cette Commission a cela de formidable (au contraire d’autres autorités de contrôle européennes) qu’elle ne se finance pas grâce à l’argent découlant des sanctions financières qu’elle prononce à l’encontre des Organismes.

En effet, c’est ce principe de non affectation des recettes à une dépense déterminée qui permet à la CNIL d’être et de demeurer une autorité pleinement indépendante.

Cela lui permet ainsi de prendre à cœur son rôle de Conseil, et c’est ainsi qu’elle entend dans les années qui viennent: écouter, encadrer, expliquer aux organismes français comment aborder ce chantier de mise en conformité, comment rédiger en pratique une étude d’impact, quand désigner un délégué à la protection des données, etc..

Pour aller plus loin dans le RGPD, n’hésitez pas à nous contacter.

Notre cabinet propose notamment des opérations de sensibilisation qui peuvent être menées au sein de l’entreprise pour expliquer à vos collaborateurs quels sont ces nouveaux principes qu’ils doivent à partir de maintenant connaître, mais également quels sont les nouveaux droits (des clients, des salariés eux-mêmes, etc.) et comment y répondre au mieux.

CONTACTEZ NOUS