Le RGPD : ce que vous devez savoir

Enjeux, réglementation, mesures, notions, sanctions, conseils, retrouvez les éléments que vous devez connaître à propos du RGPD.
Qu'est ce que le RGPD ?

Les enjeux associés au règlement général sur la protection des données

La collecte, l’analyse, et surtout la sécurisation des données sont devenus les enjeux majeurs et stratégiques des sociétés. C’est donc pour répondre à ces enjeux que le Règlement Général sur la Protection des Données, le RGPD, est entré en vigueur le 25 mai 2018. Le RGPD représente une réponse européenne et inédite aux nouveaux enjeux digitaux. Ce texte qui responsabilise les acteurs impliqués dans la gestion des données personnelles des utilisateurs. Il constitue un véritable changement de paradigme dans la gouvernance des données.

Ce règlement requiert que les parties prenantes puissent justifier de leur conformité, sous peine de lourdes sanctions.

Bien que son application soit obligatoire depuis mai 2018, les petites entreprises ne semblent pas s’être saisies des enjeux. Les TPE/PME sont incontestablement en retard dans leur mise en conformité et semblent sous-estimer l’importance de la gouvernance des données dans leur environnement juridique.

Le RGPD, une réglementation plus que nécessaire

Réformer pour sécuriser et responsabiliser les entreprises

Le RGPD tente de répondre à une défiance des citoyens sur leurs libertés individuelles. Mais se pose alors, une problématique : Comment satisfaire les grands principes fondateurs de l’UE ? C’est-à­ dire la libre circulation des hommes, des biens, des capitaux et des données, tout en protégeant les libertés et les droits fondamentaux des personnes physiques, dont le respect de leur vie privée ? Le RGPD tente de restaurer un climat de confiance entre le collecteur et l’utilisateur. Pour cela, il accroît significativement le niveau de sécurité lié à l’utilisation de données personnelles. Le texte s’inscrit dans une logique de prévention des risques et élargit le catalogue des droits attachés aux utilisateurs.

La responsabilité de ceux qui collectent et utilisent les données est dorénavant clairement engagée. Avec le RGPD, c’est au collecteur de démontrer le respect des règles. Nous observons donc un changement des mentalités très clair que constitue cette inversion de la charge de la preuve. 

Territorialité et acteurs concernés par le RGPD

Le règlement s’applique à toutes les entités publiques et privées traitant des données à caractère personnel et ayant une activité stable dans l’Union européenne. Il faut comprendre que sont aussi concernées les filiales établies au sein de l’UE, indépendamment de l’endroit où les données sont traitées et stockées. Le critère à prendre en compte est celui de « l’établissement », qui selon la définition apportée par le RGPD « Suppose l’exercice effectif et réel d’une activité au moyen d’un dispositif stable. Ce critère de l’établissement ne semble pas être le seul puisque le règlement s’applique « aux entreprises établies en dehors de l’UE qui propose des biens ou services payants ou gratuits à des personnes se trouvant sur le territoire de l’union. »

À la lecture des textes, nous constatons un spectre d’application relativement large permettant de propager le RGPD bien au-delà des frontières de l’UE, Nous constatons aussi que le RGPD s’applique quelle que soit la taille de l’entité. Ainsi, la plus petite TPE est tout autant concernée que la grande entreprise.

La notion de données personnelles : définition

Les données à caractère personnel sont définies par le règlement comme « Toute information se rapportant à une personne physique identifiée ou identifiable directement au indirectement. » Il convient de comprendre que seules les données anonymisées et celles concernant les personnes morales sont exclues du présent règlement. D’autre part, les données qui ont fait l’objet d’une pseudonymisation et qui pourraient être attribuées à une personne physique par le recours à des informations supplémentaires ont la qualification de données personnelles.

Les différentes données classiques : de quoi s’agit-il ?

  • Nom, Prénom
  • Âge, Date et lieu de naissance
  • Adresse et N° de téléphone
  • IBAN
  • Situation familiale
  • Adresse IP
  • N° d’inscription au répertoire national d’identification des personnes physiques

L’ensemble des éléments constituant les données sensibles

  • Origine raciale ou ethnique
  • Opinion politique
  • Convictions religieuses ou philosophiques
  • Appartenance syndicale
  • Données relatives à la santé et aux infractions et condamnations
  • Données biométriques

La notion de traitement de données : explications

Le RGPD vise tous les traitements de données à caractère personnel. La notion de « traitement » est donc centrale. Le traitement est défini comme : « Toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel. »

À titre d’exemple, nous pouvons citer les traitements suivants : la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation, la modification, l’extraction, la consultation, l’utilisation, la communication, la transmission, le rapprochement, l’interconnexion, la limitation, l’effacement ou encore la destruction. Notons qu’un traitement doit être licite. Il ne sera considéré comme licite que si et seulement s’il repose sur un fondement juridique valable. Le fondement est la pierre angulaire du traitement. C’est lui qui est à la base des traitements et c’est à partir de ce dernier que pourront être prises diverses sanctions contre les entités ne respectant pas les règles.

Voici ci-dessous ce que doit respecter un traitement pour être considéré comme licite : la personne a consenti au traitement, le traitement est nécessaire à l’exécution d’un contrat, le traitement est nécessaire au respect d’une obligation légale, le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique, le traitement est nécessaire aux fins des intérêts légitimes et privés poursuivis par le responsable du traitement ou par un tiers. Il convient de noter que malgré l’application du règlement, les États conservent plusieurs facultés d’adaptation. L’article 6 du RGPD souligne la possibilité offerte à chaque État de prévoir on maintenir des dispositions spécifiques pour les traitements.

De lourdes sanctions en cas de non respect du RGPD

L’entrée en vigueur du RGPD place la CNIL en tant qu’autorité de contrôle naturelle, celle-ci voyant ses pouvoirs renforcés. Son rôle est de procéder à des vérifications sur la base d’un programme annuel de contrôle. Cependant, le déclenchement des contrôles peut s’opérer sur la base d’une plainte, d’informations parues dans les médias ou dans le but de suivre un précédent contrôle.

Les différentes sanctions pénales existantes

Plusieurs sanctions pénales sont prévues. Celles-ci peuvent atteindre une amende de plus 1,5 millions d’euros et peuvent être associées à des peines complémentaires comme l’effacement de tout on d’une partie des données, l’interdiction d’exercer, le placement sous surveillance judiciaire, l’exclusion des marchés publics, ou encore la parution du jugement dans la presse.

Nous avons vu au travers des objectifs généraux, du RGPD, la volonté du législateur de responsabiliser les acteurs dans le cadre de leurs activités. Les traitements de données peuvent parfois être complexes et impliquer une pluralité de parties prenantes, surtout dans une économie digitalisée et interconnectée. Il convient donc de les identifier précisément afin de les qualifier et d’en faire découler les responsabilités.

Les sanctions civiles : les informations détaillées

Au-delà des peines administratives pouvant être facilement circonscrites, il convient de rappeler les fondements du droit civil. Ainsi, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du RGPD a le droit d’obtenir du responsable, réparation du préjudice subi. L’article 82 du RGPD prévoit des dispositions très proches de ce que nous connaissons en droit français.

Au chapitre des sanctions civiles, mais cette fois-ci pris au sens figuré, nous devons évoquer la dégradation de l’image de l’entité n’ayant pas respecté les règles entourant les droits de ces propres utilisateurs. Dans ce paragraphe, il convient de souligner le caractère aléatoire et difficilement quantifiable de la valorisation du préjudice subi, et de la dégradation de l’image de marque, d’autant qu’au moment où nous écrivons, il n’existe que peu ou pas de jurisprudence en la matière.

Les sanctions administratives et leurs différents niveaux

Nous avons tous pris connaissance des montants importants des amendes pouvant être infligées en cas de violation de la réglementation. Ainsi, il existe 2 niveaux de sanctions administratives.

La sanction de niveau 1 est notamment applicable aux manquements suivants :

  • Défaut de formalisme lié au consentement des mineurs
  • Défaut de sectorisation des données
  • Absence d’établissement d’analyse d’impact et défaut de nomination de délégué à la protection des données

Ce premier niveau de sanction fait état d’une amende pouvant s’élever à 10 millions d’euros ou 2% du chiffre d’affaires annuel de N-1, la valeur la plus élevée étant retenue.

La sanction de niveau 2 est quant à elle, applicable au :

  • Défaut de consentement
  • Défaut de respect des droits des utilisateurs
  • Non-respect des règles entourant le transfert de données dans un pays tiers à l’UE
  • Non-respect des obligations découlant des dispositions nationales

Ces exemples ne sont évidemment pas exhaustifs mais sont seulement donnés à titre d’exemple. Le 2ème niveau de sanction fait quant à lui état d’une amende plus élevée car celle-ci peut atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel de N-1. La valeur la plus élevée étant toujours retenue. L’article 83 du RGPD vient nuancer ces amendes théoriques par la prise en considération de la nature, de la gravité, de la durée, et des raisons du manquement. Ces éléments participent à atténuer le montant de la sanction administrative.

Le RGPD, véritable solidarité et transparence

Le RGPD repose sur une véritable solidarité des acteurs en matière de responsabilité. Tout responsable de traitement est en principe responsable des dommages causés en cas de violation des dispositions du RGPD. Il en est même pleinement sanctionnable. Il s’agit d’une responsabilité dite « in solidum » car le responsable de traitement ainsi que son sous-traitant sont responsables solidairement.

Le responsable de traitement porte la responsabilité du choix de son sous-traitant. Il doit en principe, faire appel uniquement à des sous-traitants présentant des garanties suffisantes quant à la mise en œuvre des mesures du RGPD. Cependant, se posent plusieurs problématiques soulevées en matière de responsabilités. En effet, il est tout à fait possible qu’un acteur puisse pleinement déterminer la finalité d’un traitement et qu’un autre en détermine pleinement les moyens de celui-ci, sans pour autant revêtir la qualification de sous-traitant. C’est pourquoi, la notion de co-responsabilité a été instaurée. Nous parlerons également de responsabilité conjointe et ou de responsabilité autonome.

Il convient de garder à l’esprit le fait que plusieurs personnes traitent les mêmes données ne signifie pas qu’elles exécutent le même traitement. La co-responsabilité ne s’entend que dans le cadre d’un même traitement. A défaut, les acteurs seront analysés en tant que responsables autonomes. Des entreprises qui déterminent conjointement les formalités et les moyens d’un même traitement, deviennent co-responsables, même si elles poursuivent des objectifs différents. D’autre part, un traitement impliquant plusieurs acteurs mais dont la finalité ou les moyens sont déterminés et déterminables que par une seule d’entre elles n’aura pour responsable que le responsable de traitement. Dans ce dernier cas, il est fort probable que l’autre acteur soit sous-traitant.

L’expert-comptable, le partenaire à privilégier pour le RGPD

La plupart des chefs entreprise ont une méconnaissance générale du RGPD. Bien que nous constatons une multiplication des acteurs conseils de l’entreprise, l’expert­ comptable reste le partenaire de confiance des entreprises. Nous constatons que les petites entreprises souffrent d’un déficit de conseils objectifs en matière d’environnement et de risques informatiques.

L’expert-comptable en tant que conseil de l’entreprise doit informer ses clients des enjeux du RGPD.

La nomination d’un Délégué à la Protection des Données personnelles, dit aussi DPD, est obligatoire dans certains cas. Le RGPD offre la possibilité d’externaliser et de mutualiser la fonction de délégué. Il est effectivement précisé que ce dernier peut être un membre du personnel ou un prestataire externe.

Les fonctions de Délégué à la Protection des Données personnelles externalisé sont donc envisageables grâce à l’article 37 du règlement. L’externalisation tombe même souvent sous le sens au regard des exigences très strictes auxquelles sont soumis les DPD. Le RGPD impose une totale indépendance, associée à un niveau de compétences juridiques et techniques élevées. Ainsi, les ressources humaines internes peuvent soient être incompatibles ou/et incompétentes en l’état, pour assurer pleinement ces missions. En outre, la taille de la structure ne permettra pas toujours le déploiement de cette fonction en interne.

L’expert-comptable est dont très bien placé pour assurer les fonctions de DPD de ses clients.

Votre expert comptable vous conseille aussi de découvrir
Contactez-nous

N’hésitez pas à nous contacter, nos experts-comptables se feront un plaisir de revenir vers vous dans les plus brefs délais. Vous pouvez également prendre directement un rendez-vous.