FACE A FACE – LAURE LAGORCE

L’INTERVIEW PROTECTION

Quelles sont les responsabilités du chef d’entreprise en matière de gestion et protection des données personnelles aujourd’hui?

Le RGPD est le Règlement Général pour la Protection des Données, une nouvelle réglementation européenne adoptée le 14 avril 2016 qui vise à renforcer la protection des données personnelles sur le territoire français et européen et s’appliquera dans tous les Etats membres de l’Union européenne à partir du 25 mai 2018. Il s’inscrit danS la droite lignée de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la loi Hamon du 13 février 2014 relative à la protection des consommateurs, et de la loi du 7 octobre 2016 pour une République numérique. La majorité des entreprises sont concernées, qu’importe leur taille, soit sont traitées des données directement identifiables (nom/prénom, photo, email nominatif); indirectement identifiables (identifiant de compte, empreinte digitale) ou un re- coupement. De plus, je mettrais l’accent sur les entreprises du domaine de la santé, dont l’activité repose sur des traitements massifs des don- nées de santé, catégories particulières de données à caractère personnel. L’entreprise doit donc répondre principalement à de nouvelles obligations administratives en tenant notamment un registre des traitement des données personnelle ; de notification de failles de sécurité à la CNIL et aux personnes concernées ; de réalisation d’études d’impact sur la vie privée pour les traitement de données à risque, notamment pour les données sensibles -santé/ profilage ; de désignation d’un DPO (Data Protection Officer ) délégué à la protection des données qui est le point de contact de la CNIL en ayant mandat pour être consulté en complément ou à la place du responsables de traitement sur toutes les questions relatives aux traitements.

Que risque le chef d’entreprise s’il ne prend pas en compte la mise à jour des obligations légales en matière de protection des données personnelles ?
En cas de non-respect des obligations du règlement, les sanctions pré- vues sont plus importantes qu’auparavant et concernent davantage d’acteurs à partir du 25 mai 2018. D’une part, tant les responsables de traitement que les sous-traitants défaillants (articles 83 et 84 du règlement) peuvent être concernés par ces sanctions en cas de non respects des obligations du règlement. D’autre part, les nouvelles sanctions peuvent aller du simple avertissement, à la mise en demeure de l’entreprise, la limitation temporaire ou définitive d’un traitement, la suspension des flux de données, l’ordre de satisfaire aux demandes d’exercice des droits des personnes ou des peines d’amendes pouvant atteindre un montant de 20 millions d’euros et 4% du chiffre d’affaires annuel mondial, contre une peine de 300.000 € et 5 ans d’emprisonnement auparavant (article 226-16 à -24 du code pénal).

Que peut apporter par exemple un Avocat Conseil de l’entreprise et du Chef d’entreprise à son client ?
L’avocat conseil de l’entreprise peut lui apporter surtout et simplement les premiers bons réflexes de conformité.

Premièrement, l’avocat conseil proposera l’élaboration d’une charte informatique, ayant pour objet d’établir, de façon générale, les règles d’utilisation par les salariés du système d’information et dE communication de l’entreprise, permettant ainsi de gérer, voire d’éviter les contentieux avec les salariés. L’élaboration d’une charte informatique participe donc à une meilleure clarté des règles appliquées au sein de l’entreprise. Cette charte, n’ayant en soi aucune valeur contraignante, simple recommandation de la CNIL, il sera préférable de l’annexer pour avoir force contractuelle et s’imposer en obligation, soit au règlement intérieur de l’entreprise, soit au contrat de travail du salarié. Ces documents sont à mettre en place ou revoir à cette occasion avec l’avocat.

De plus, l’avocat conseil de l’entreprise accompagne l’entreprise dans sa conformité aux règles de protection des données personnelles en matière de développement commercial. Une affaire peut illustrer ce propos concernant un client opérant des opérations de démarchage téléphonique à destination de ses clients ou clients potentiels dont les coordonnées ont été communiquées par divers moyens (bulletin de participation, fichiers clients de partenaires ou acquis auprès de fournisseurs). Ainsi, lorsqu’un professionnel est amené à recueillir auprès d’un consommateur des données téléphoniques, il doit l’in- former de son droit à s’inscrire sur la liste d’opposition au démarchage téléphonique. Lorsque ce recueil d’information se fait à l’occasion de la conclusion d’un contrat, le contrat doit mentionner, de manière claire et compréhensible, l’existence de ce droit pour le consommateur. L’avocat assiste son client dans la rédaction de ces clauses pour à la fois répondre aux exigences légales mais surtout être un facilitateur de relations commerciales même dans ce cadre. Enfin, l’avocat conseil de l’entreprise assiste l’entreprise dans la rédaction ou l’audit de ses contrats passés avec ses co-contractants, qu’elle soit responsable du traitement ou sous-traitant. Ainsi nous adaptons chaque contrat à la réalité commerciale de l’entreprise tout en la protégeant et respectant les règles de protection des données personnelles.