La création et l'administration, par les professionnels, de fichiers contenant des données à caractère personnel sont encadrées par la loi dite « Informatique et Libertés ». Applicable depuis 1978, cette loi sera remplacée par le Règlement général sur la protection des données (RGPD) dès le 25 mai prochain.
Outre le renforcement des droits des personnes fichées (procédure de recueil des données, droit d'accès...), ce règlement européen supprime la plupart des obligations déclaratives et des demandes d'autorisation jusqu’à présent exigées par la Commission nationale de l'informatique et des libertés (Cnil) à l'occasion de la création d'un fichier nominatif. En contrepartie, les professionnels sont tenus d'adopter un comportement responsable. Autrement dit, ils doivent mettre en œuvre les moyens nécessaires pour assurer la protection des données personnelles qu'ils administrent et être en mesure de le démontrer en cas de contrôle de la Cnil. Un changement d’approche radical qui oblige les entreprises à réaliser un état des lieux de leurs traitements de données.
L’objectif poursuivi par la réforme est simple : exiger des professionnels qu’ils adaptent le niveau de protection des données aux risques que leur utilisation fait peser sur la vie privée des personnes fichées. Mais sa mise en pratique l'est beaucoup moins. C'est pourquoi, comme nous vous l’indiquions dans l’AGA FRANCE News du mois dernier, la Cnil propose sur son site (www.cnil.fr) des documents destinés à aider les entrepreneurs à comprendre le nouveau cadre juridique et à se mettre en conformité.
Elle a également créé une page à partir de laquelle il est possible d'accéder aux principales ressources qu'elle propose. Cette page regroupe un descriptif des 6 étapes qui permettent d'organiser le chantier de mise aux normes, une foire aux questions et des modèles de registres dans lesquels sont décrits chaque fichier, son objectif et les mesures de sécurité qui viennent le protéger.
Agir sans attendre
En principe, il faudra être en conformité dès le 25 mai 2018. Mais compte tenu de la complexité de l’opération, l’objectif semble difficile à atteindre si aucune action n’a d’ores et déjà été lancée. Mais pas de panique, la Cnil a promis d’être compréhensive dans les premiers mois d’application du RGPD.
Ainsi, en cas de contrôle, le simple fait d’avoir entamé des démarches de mise en conformité devrait être suffisant pour échapper à une sanction.
De fortes sanctions
Le non-respect des règles du RGPD est sanctionné par de fortes amendes qui peuvent atteindre 10 à 20 millions d’euros ou 2 à 4 % du chiffre d’affaires réalisé par l’entreprise défaillante !
Assistance