RGPD – GDPR – DPO – DPD

RGPD – GDPR : Faire le point rapidement, C’est Quoi ? Suis-je concerné ?

Depuis le 25 mai 2018, le nouveau Règlement Général sur la Protection des Données, (RGPD), General Data Protection Régulation (GDPR) est applicable dans tous les pays membres ayant transcrit ce règlement dans leur système juridique propre.

De nouveaux droits impliquent de nouvelles obligations :

Les droits et principe nouveaux :

Outre les droits mis en exergue par les différentes et successives lois relatives au numérique de ces 30 dernières années, le RGPD met en avant de manière très large et sans restriction (format électronique ou pas) :

Viennent se rajouter et compléter les droits d’accès, de rectification, d’opposition, de suppression :

• Le droit à l’oubli
• Le droit à la portabilité des données
• Le droit à la limitation des traitements

• Un nouveau principe fondateur qu’est la « Transparence »

• Une nouvelle méthode qui s’appuie sur Le principe de « Prévision d’impact du traitement » et son corollaire qui est le design de méthodes ou d’applications intégrant ce principe

Les devoirs nouveaux :

La responsabilité impacte aujourd’hui non seulement tous les acteurs manipulant des données personnelles (électroniques ou pas) mais aussi toute la chaine de traitement directe et indirecte (Donneur d’ordre et sous-traitance), et en cascade de sous-traitance, sans limite de territorialité.

La responsabilité est partagée par l’ensemble des acteurs et est indissociable quelque soient les clauses contractuelles de droit public ou privé les liant, leur lieu d’exercice ou lois locales (hors EU).

Ces devoirs sont applicables aux entités morales ou physiques responsables de traitement ou aux sous-traitants.

Les risques nouveaux :

Un nouveau type de risque apparait : le risque pécuniaire au travers d’amendes qui peuvent atteindre 10 M€ ou de 2 à 4% du CA mondial de l’entité en non-conformité. Attention aussi aux class actions qui peuvent s’avérer très couteuses malgré la faible condamnation unitaire (ex : 1€ symbolique sur 1 millions de plaintes).

Risques liés à l’extraterritorialité de la loi et la complexité de l’enchevêtrement des lois et règlement applicables par les Etats ayant des lois qui ont une zone d’action élargie (extraterritoriale, comme les Etats Unis et maintenant l’EU)

Risques liés à la maitrise de ses traitements et à la sécurité des données.

Risques liés à l’ignorance de cette nouvelle loi.

Qui contrôle la conformité et qui instruit les différends ?

Pour ne pas tomber de fait sous le coup de la loi, il est nécessaire d’être conforme ou en phase de mise en conformité (avec un peu d’indulgence post 25 mai 2018) avec la loi et cela à priori du traitement (avant la mise en œuvre du traitement par l’évaluation de l’impact).

Donc impossible de s’y soustraire par quelques manipulations. D’un autre côté c’est la loi.

Le contrôle est réalisé à priori et à postériori par le responsable des traitements déclaré de l’entité organisant les traitements, et contractuellement ou même physiquement (audit) avec les sous-traitants. Le principe n’est plus déclaratif comme précédemment sauf pour les incidents.

Un niveau de proximité intervient comme partie tierce au travers d’un DPO / DPD (Data Protection Officer) (Délégué à la Protection des Données) interne ou externe nommé et référencé auprès de la CNIL par la Direction responsable du traitement, pour certifier le premier niveau déclaratif des responsables de traitement un peu comme un commissaire au compte certifie les comptes d’une entreprise. Attention, le DPO n’est pas responsable et ne peut pas endosser la responsabilité. Il est même protégé de cela par la loi. Son rôle est de constater et d’imposer le niveau de conformité requis au RGPD et d’intervenir en destinataire et accompagnement des obligations déclaratives (en cas de problème constaté). Il assure l’interface privilégiée avec le contrôleur de l’Etat considéré (en France c’est la CNIL).

Un troisième niveau d’intervention est de contrôle est dévolu aux autorités nationales (en France la CNIL par exemple) qui assure les contrôle des entités avec des droits très élargis et des pouvoirs très discriminants (pécuniaires et d’intervention), la prise en compte des plaintes la gestion du règlement et l’interface avec les institutions judiciaires de plus haut niveau. Il référence les DPO nommés par les responsables des traitements des entités contrôlables, centralise et instruit les dossiers relatifs aux écarts ou violations constatés et aide à la régulation et l’évolution de cette loi au sein d’un conseil Européen réunissant toutes les entités régulatrices nationales.

Le choix de la compétence de juridiction est lié à la notion de « siège des entités » contrôlées (des indications sont données par la commission pour cette interprétation mais ne reste pas totalement claire tant que la jurisprudence n’est pas intervenue.)

S’agissant d’une loi, les institutions destinataire des différends sont les institutions judiciaires en cascade de responsabilité qui gèrent et instruisent les différends de la plus basse à la plus haute chambre locale et Européenne en application des lois basées sur les règlements Européens transposés. Le contrôleur national est le point d’entrée, le « guichet unique » pour le dépôt de la plainte (en France c’est la CNIL en tant que contrôleur qui instruit en premier lieu).

Comment s’organiser ?

1. Identifier si l’on rentre dans le champ des données manipulées et couvert par le RGPD si la société ou l’administration est <250 salariés.
2. Faire l’audit de tous les traitements et les documenter en attribuant un nom de personne responsable de chaque traitement en incluant la sous-traitance, même en cascade jusqu’au denier niveau de sous-traitance et surtout sur la partie contrats
3. Constituer un cahier des traitements documenté et à jour
4. Nommer un responsable des traitements, bien que la responsabilité in-fine incombe totalement et soit indissociable de la direction de l’entité sociale.
5. Nommer un DPO dûment qualifié en Interne ou Externe et déposer sa nomination à la CNIL ou entité de contrôle dont dépend le siège social de l’entreprise en Europe et lui donner les moyens de gouvernance et financier de mener à bien et indépendamment sa tâche.
6. Procéder à la mise aux normes des activités et présenter les éléments au DPO qui prendra position (écrit).
7. Mettre en œuvre les modifications demandées par le DPO ou documents les raisons de non prise en compte.
8. Faire des études d’impact pré traitement pour tous les traitements le nécessitant. Développer des formes d’organisation, des méthodes ou des applications en prenant en compte le « Privacy by design » « Protection des données par le design » en amont, en le documentant et en le communiquant au DPO pour avis (écrit).

GDPR enforcement law is now on the way since 05/25/2018.

If your activity is driven from outside European territory and its target is European territory and you manage / process data with privacy purposes, you need to upgrade your organization so that you can help European user or customer to fulfill their rights described in GDPR law.

This European law as extraterritorial scope and may be difficult to handle if you are operating too far away, or at least outside U.E. The law enforces to hold / hire a DPO (Data Protection Officer) leaving inside European territory and nearby your usual or master market or target or subsidiary.

This is why you need to nominate or hire an Authorized Data Protection Officer at full or part time, which is authorized (certified) and leaves in Europe or near the end user of your product / services or activity destination.

We are a Pool of independent Authorized DPO, Layers and Consultants specialized in this field. We should play this role for your firm or organization regarding the GDPR law specifications and role description for this specific task.

You should contacts us for further information:

French / English / Spanish speaking

DPO@techlinker.io or GDPR@techlinker.io