Le RGPD (Règlement Européen sur la Protection des Données), quels entrepreneurs sont concernés ? : Questions à Ariane Mangin, Avocate à Paris

par | Avr 18, 2018 | Article | 0 commentaires

Le RGPD, tout le monde en parle, mais concrètement qui est impacté et comment ? Ce sont les questions que tous les entrepreneurs et les créateurs d’entreprise se posent.

Afin de vous donner un éclairage pertinent sur cette question, j’ai sollicité Ariane Mangin, du cabinet Mangin Avocat, spécialiste du droit des affaires. Elle a accepté de répondre à quelques questions pour vous aider à mieux appréhender les aspects juridiques auxquels vous serez confrontés avec ce nouveau règlement.

 

  • Pouvez-vous m’expliquer en quelques mots l’objet du RGPD ?

Le RGPD s’inscrit dans la continuation de la réglementation européenne relative à la protection des données personnelles déjà existante et poursuit trois objectifs :

  • Renforcer les droits des personnes physiques concernées c’est à dire dont les données personnelles font l’objet de traitement ;
  • Responsabiliser les acteurs traitant les données c’est à dire les responsables de traitement de données personnelles et les sous-traitants ;
  • Crédibiliser la réglementation européenne en renforçant significativement les sanctions et en instaurant une coopération accrue entre les différentes autorités de contrôle des états membres de l’UE lorsqu’elles seront en présence d’un traitement de données personnelles transfrontalier.

 

  • Qu’est-ce qu’un traitement de données personnelles ?

Les données à caractère personnel sont définies comme toute information permettant d’identifier directement ou indirectement une personne physique. Le domaine est particulièrement vaste : il peut s’agir par exemple, d’un nom, mais aussi d’un email, d’un numéro de sécurité sociale, de données biométriques, d’une plaque d’immatriculation, d’un identifiant en ligne ou même d’un numéro d’IP.

Au sens du règlement européen, un traitement consiste en toute opération effectuée ou non à l’aide de procédés automatisés et appliqué à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

 

  • Qu’est-ce qu’un responsable de traitement de données personnelles, qu’est-ce qu’un sous-traitant ?

Le responsable d’un traitement de données personnelles est celui qui détermine les finalités et les moyens du traitement. En d’autres termes pour identifier un responsable de traitement, il faut se demander pour quelles raisons ce traitement a-t-il lieu et qui l’a entrepris. Par exemple les entreprises qui stockent, collectent et utilisent les données personnelles de leurs clients, de leurs fournisseurs ou de leurs employés sont des responsables de traitement.

Un sous-traitant est celui qui traite des données personnelles pour le compte d’un responsable de traitement. Un gestionnaire de paye par exemple pour établir les bulletins de salaire, va traiter des données personnelles de salariés pour le compte d’un employeur. Il aura donc la qualité de sous-traitant du responsable de traitement employeur.

 

  • Concrètement pour les entrepreneurs, quels seront les impacts ?

Le règlement s’applique à tout traitement de données à caractère personnel, automatisé ou non : il concerne donc la quasi-totalité des acteurs économiques, y compris ceux situés à l’étranger dès lors qu’ils s’adressent à des personnes situées dans l’Union Européenne.

A la différence des dernières réglementations en la matière qui reposaient sur un régime de déclaration ou d’autorisation, le RGPD repose sur une logique de conformité dont les acteurs sont responsables.

Tout acteur économique devra ainsi, à tout moment, être en mesure de démontrer qu’il a pris l’ensemble des moyens nécessaires et appropriés pour veiller au respect de la conformité.

 

  • Quelles sont les actions à mettre en place par les entrepreneurs pour être en conformité avec le RGPD ?

La première chose à faire pour les opérateurs économiques est de cartographier, c’est à dire d’entreprendre un audit exhaustif de l’ensemble des traitements de données personnelles, internes et externes, qu’ils sont amenés à réaliser dans le cadre de leur activité et d’identifier leurs différents sous-traitants le cas échéant.

 

  • Pouvez-vous détailler les obligations nouvelles des entrepreneurs sur quelques exemples ?

Les principes de responsabilisation et de protection des données dès la conception, sont des éléments majeurs dans la compréhension du RGPD.

Le premier signifie que désormais, la protection des données personnelles devra être au cœur des préoccupations des acteurs lorsqu’ils mettront en place un produit ou un service.

Le second implique qu’afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et être en mesure de démontrer cette conformité à tout moment.

Parmi les obligations qui vont s’imposer aux entrepreneurs on peut citer par exemple, l’obligation de garantir la sécurité et la confidentialité des données personnelles traitées ou celles découlant du renforcement des droits des personnes physiques : consolidation des obligations d’information, restrictions en termes de recueil de consentement, nouveau droit à la portabilité des données, effacement, etc.…

Les entrepreneurs devront également dans certains cas désigner un délégué à la protection des données et s’ils effectuent des traitements à risque, ils devront réaliser une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.

 

  • Quels sont les risques juridiques auxquels font face les entrepreneurs qui ne sont pas en conformité avec le RGPD ?

Le RGPD confirme les pouvoirs de contrôle et d’investigation de la CNIL et alourdit très significativement les sanctions applicables en cas de manquement.

Selon la catégorie de l’infraction, les entreprises peuvent encourir une amende administrative d’un maximum de 20 millions d’euros ou de 4% du chiffre d’affaires mondial total de l’exercice précédent, le plus élevé des deux montants étant retenu.

Compte-tenu des sanctions encourues, il est fortement recommandé d’une part, d’initier dès à présent les actions de mise en conformité avec le RGPD, (si ce n’est déjà fait) et d’autre part de se faire conseiller dans cette démarche, les avocats, en tant que professionnels du droit étant  les mieux placés pour cela.

 

Merci beaucoup à Ariane Mangin d’avoir accepté cette interview et partagé ses précieux conseils.

Si vous souhaitez en savoir plus ou la contacter vous pouvez le faire via son site Internet : www.mangin-avocat.com

[et_social_follow icon_style="slide" icon_shape="rounded" icons_location="top" col_number="auto" counts="true" counts_num="0" total="true" outer_color="dark" network_names="true"]
Emilie Amic

Emilie Amic

Fondatrice de Luceliandre

N’hésitez pas à me contacter !
Retour au Blog

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

NEWSLETTER

Pour être tenu(e) au courant de l'actualité de et des événements à venir...

Je m'inscris tout de suite !