RGPD : état des lieux et bonnes pratiques

Décryptages
Outils
TAILLE DU TEXTE

Dix mois après l'entrée en vigueur du RGPD, nombre d'entreprises n'ont toujours pas achevé leur processus de mise en conformité. Deux avocats spécialisés leur viennent en aide.

Dans le cadre des Rencontres Business du Monde du Droit, qui se sont déroulées mercredi 27 mars 2019 à Paris, un atelier consacré au règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, a permis un retour d'expérience sur dix mois de changements majeurs et de dégager les bonnes pratiques à retenir pour les entreprises.

Sylvain Staub, Avocat Associé, Staub & Associés, et Thibaud Le Conte des Floris, Avocat Counsel, Staub & Associés, ont au préalable effectué quelques mises au point.

C'est à l'entreprise de prouver qu'elle est en conformité

Les deux avocats indiquent que le RGPD, qui concerne 27 pays et s'applique à toutes les entreprises proposant des services basés sur le territoire européen, a introduit une modification fondamentale de la charge de la preuve puisque c'est désormais à l'entreprise qu'il incombe de prouver qu'elle est en conformité.

En cas de non-conformité, le montant de l'amende peut atteindre un maximum de 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros. A cette sanction pécuniaire peuvent s'ajouter des effets non négligeables, comme l'atteinte à l'image de l'entreprise et l'urgence à se mettre en conformité après mise en demeure.

Data Legal Drive, plateforme SaaS de mise en conformité au RGPD pour les PME et les grands comptes dont Sylvain Staub est le CEO, propose une cartographie des sanctions pré et post RGPD à l’échelle mondiale : un aperçu en temps réel des sanctions infligées.

Pour éviter de figurer sur cette carte, Sylvain Staub et Thibaud Le Conte des Floris passent en revue les bonnes pratiques à respecter dans la durée car, préviennent-ils, « la conformité n'est pas un état, c'est un processus ».

Bonne pratique n° 1 : cartographier ses traitements, élaborer et mettre à jour son registre

Ce travail, prévu par l'article 30 du RGPD, implique en premier lieu de savoir où se situent les traitements dans l'entreprise. Or, ceux-ci sont souvent sous-estimés, constatent les deux spécialistes.

Une fois ce travail effectué, ils conseillent d'établir la cartographie via un outil digital, lequel permettra un registre accessible et évolutif puis autorisera l'édition de fiches de traitement complètes et exploitables.

Bonne pratique n° 2 : qualifier et formaliser les relations contractuelles

Il s'agit là d'opérer un travail de qualification juridique des partenaires concernés, pour lesquels le RGPD prévoit une responsabilité solidaire.

Sont à distinguer le responsable du traitement, le sous-traitant (qui exécute le traitement) et le responsable conjoint du traitement (article 26 du RGPD).

Il est à noter que les qualifications des protagonistes au regard du RGPD sont indépendantes des qualifications contractuelles et ne tiennent pas l'autorité de contrôle. En effet, la CNIL peut, le cas échéant, la revoir à l'occasion de ses contrôles.

De fait, la Cour de justice de l'Union européenne a récemment qualifié l’administrateur d’une page fan sur Facebook de responsable conjoint du traitement.

Bonne pratique n° 3 : mener une analyse d'impact

L'article 35 du RGPD a introduit la notion d'analyse d'impact relative à la protection des données (AIPD).

Il s'agit d'adopter une approche par les risques. Il convient de préciser que si la démarche de sécurité est centrale, sa définition et sa mise en œuvre dépendent de l'organisation elle-même.

Bonne pratique n° 4 : gérer les droits des personnes concernées

Le but est de mettre en place une procédure de gestion des demandes d'exercice des droits (accès, rectification, opposition, suppression ou information, mais aussi désormais effacement ou portabilité des données), d'autant plus que les délais sont courts (30 jours pour faire droit aux demandes). A noter que la CNIL peut demander communication de cette procédure.

Bonne pratique n° 5 : piloter et faire état de sa conformité

Les deux avocats soulignent que le RGPD n'implique pas seulement d'être conforme à un instant t, il s'agit bien d'un processus.

A ce jour, la plupart des entreprises ont enclenché un processus de mise en conformité, ayant considéré à tort la date du 25 mai 2018 comme une ligne de départ. Or, le plus difficile est d'aller jusqu'au bout, d'autant que, dans certains secteurs d'activité, des réglementations spécifiques peuvent s'intercaler dans le RGPD.

Si, malgré ces conseils avisés, les entreprises nourrissent quelques doutes ou inquiétudes, la CNIL met à leur disposition une formation en ligne (MOOC).

Pascale Breton

Les Annuaires du Monde du Chiffre