Avocat RGPD
Nous vous accompagnons pour mettre en place la mise en conformité de votre structure au RGPD
Le cabinet FELLOUS AVOCATS accompagne les entreprises dans la mise en conformité de leur activité aux règles européennes relatives à la protection des données. En effet, la collecte et le traitement de données personnelles par les entreprises sont soumis à des obligations destinées à protéger la vie privée et les libertés individuelles des personnes dont les données sont collectées.
Le Règlement général sur la protection des données n° 2016/679 ou GPDR (General Data Protection Regulation) est entré en vigueur en France le 25 mai 2018 après plusieurs années de négociation au parlement européen.
Ce règlement est venu modifier profondément la réglementation française actuelle issue de la loi dîtes « Informatique & libertés » du 6 janvier 1978, et notamment la directive sur la protection des données personnelles de 1995.
L’objectif du RGPD est de renforcer à la fois les droits des personnes dont les données sont collectées, et la responsabilité des acteurs en charge de leur traitement, tout en évitant les dérives d’une application propre à chaque pays.
Qui est concerné par le Règlement général sur la protection des données ?
Concernant le champ d’application matériel, le RGPD s’adresse à toute structure privée ou publique effectuant de la collecte et/ou du traitement de données, et ce quel que soit son secteur d’activité et sa taille.
Il concerne également les sous-traitants, c’est-à-dire toute structure qui traiterait ou collecterait des données personnelles pour le compte d’une autre entité.
En ce qui concerne le champ d’application territorial, le règlement s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi à tout organisme implanté hors de l’UE mais dont l’activité cible directement des résidents européens.
Qui s’occupe du contrôle des obligations découlant du RGPD ?
C’est la Commission nationale de l’informatique et des libertés (CNIL) qui s’occupe de contrôler les structures soumises au RGPD et émettre des sanctions à son égard en cas de manquements constatés.
Demande d'informations et devis gratuit
Quelles peuvent êtres les sanctions en cas de non-respect des obligations relatives au RGPD ?
Les sanctions sont dissuasives en cas de non-respect des obligations relatives au RGPD puisque le propriétaire du site internet ou de l’application mobile encourt des sanctions administratives prononcées par la CNIL sous forme d’amende pouvant aller jusqu’à 20 millions d’euros pour une personne physique ou jusqu’à 4 % du chiffre d’affaires mondial pour une société ou une administration.
Comment est-il possible d’avoir une meilleure emprise sur la collecte et le traitement de données personnelles au sein de son entreprise ?
Il est possible de désigner un délégué à la protection des données (DPD) ou data protection officer (DPO) qui accompagne et conseille les responsables de traitements de données à caractère personnel dans leur démarche de conformité aux textes en vigueur.
Est-ce obligatoire de désigner un délégué à la protection des données ?
La désignation d’un délégué à la protection des données (DPD) est facultative à l’exception des trois hypothèses suivantes :
- lorsque le traitement est réalisé par une autorité ou un organisme public ;
- lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
- lorsque les activités de base du responsable de traitement ou du sous-traitant consistent en un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions (Règl. UE 2016/679 du 27 avr. 2019, art. 9 et 10).
Hors ces cas précis, la désignation d’un délégué à la protection des données demeure toutefois vivement recommandée par la Commission nationale de l’informatique et des libertés (CNIL) et le Comité européen à la protection des données (CEPD).
Un responsable du traitement ou un sous-traitant qui ne désignerait pas de DPD devrait documenter ce choix. Cette documentation peut être exigée par l’autorité de contrôle.
Comment désigner un délégué à la protection des données ?
Le choix du délégué à la protection des données est libre.
Il peut s’agir d’une personnalité extérieure agissant sur la base d’un contrat de service ou d’un employé du responsable de traitement ou du sous-traitant.
Un groupe d’entreprises peut désigner un seul DPD à la condition qu’il soit facilement joignable à partir de chaque lieu d’établissement.
La personne désignée doit présenter les qualités professionnelles requises pour exercer les missions qui lui sont dévolues et doit plus particulièrement posséder les connaissances spécialisées du droit et des pratiques en matière de protection des données.
Des procédures de certification réalisées par des organismes agréés au regard d’un référentiel adopté par la CNIL permettent aujourd’hui de s’assurer des compétences d’un délégué à la protection des données (CNIL, Délib n° 2018-318 du 20 sept. 2018).
Ces organismes sont eux-mêmes soumis à certains critères établis par la CNIL (CNIL, Délib. n° 2018-317 du 20 sept. 2018).
En tout état de cause, il doit s’agir d’un professionnel capable d’exercer sa fonction en toute indépendance.
La désignation d’un délégué à la protection des données doit-elle faire l’objet d’une publicité particulière ?
Il appartient au responsable de traitement ou au sous-traitant de publier les coordonnées du délégué à la protection des données et de les communiquer à la CNIL ainsi qu’aux personnes concernées.
Demande d'informations et devis gratuit
Comment s’exerce cette fonction ?
Le responsable de traitement ou le sous-traitant doit associer, en amont, le délégué à la protection des données à toutes les questions relevant de la protection des données à caractère personnel.
Ils doivent par ailleurs lui procurer les ressources nécessaires pour exercer ses missions ainsi qu’un accès aux données à caractère personnel et aux mécanismes de traitement.
Ils l’aident à se former en lui permettant d’entretenir ses connaissances spécialisées.
Ils sont tenus de s’assurer que les missions confiées aux DPD ne placent pas ce dernier dans un conflit d’intérêts.
Dans le cadre de ses fonctions, le délégué à la protection des données est soumis au secret professionnel ainsi qu’à un devoir de confidentialité.
Le délégué à la protection des données exerce son office en toute indépendance.
Il rend compte de son travail au plus haut degré de la hiérarchie et ne peut recevoir d’instruction ni être sanctionné par le responsable du traitement ou le sous-traitant lorsqu’il agit dans le cadre de ses missions.
Il reste cependant responsable de ses fautes professionnelles ou d’autres fautes graves en vertu du droit commun.
Le délégué à la protection des données n’est pas personnellement responsable du non-respect par l’organisme de la réglementation en matière de protection des données.
Seul le responsable de traitement ou le sous-traitant peut voir sa responsabilité engagée (Règl. UE 2016/679 du 27 avr. 2016, art. 24, § 1 et art. 28).
Quelles sont ses missions ?
Le délégué à la protection des données informe le responsable de traitement ou le sous-traitant ainsi que les membres du personnel en charge du traitement de leurs droits et obligations en matière de protection des données.
Il répond à leurs éventuelles interrogations dans ce domaine.
Lorsqu’une analyse d’impact est réalisée, il est chargé de conseiller l’organisme qui l’a désigné.
Il appartient également au délégué à la protection des données, dont les coordonnées sont publiques, de répondre aux questions des personnes concernées s’agissant des traitements de leurs données et de les informer de leurs droits en la matière.
Le délégué à la protection des données contrôle le respect, par le responsable de traitement ou le sous-traitant du droit de l’Union et du droit interne en matière de protection des données.
Il s’assure de la conformité des traitements au RGPD, aux législations nationales applicables ainsi qu’aux règles internes.
Une fois le délégué à la protection des données désigné, il devient le contact privilégié de la CNIL en matière de protection des données.
Il consulte également cette autorité lorsque cela s’avère nécessaire et notamment lorsqu’une analyse d’impact révèle qu’un traitement présente un risque élevé.
Le délégué à la protection des données conseille le responsable du traitement sur la nécessité de réaliser une analyse d’impact et vérifie la bonne exécution de celle-ci.
L’autorité de contrôle européenne a précisé certains points sur lesquels le responsable du traitement doit consulter le DPD.
Le délégué à la protection des données a l’obligation de prioriser ses activités pour privilégier celles qui présentent un risque important compte tenu de la nature, de la portée, du contexte et des finalités du traitement.
La liste des missions établie par le RGPD n’est pas limitative (Règl. UE 2016/679 du 27 avr. 2019, art. 39).
Par conséquent, le CEPD en a déduit, dans ses lignes directrices, que rien ne s’oppose à ce que le responsable du traitement ou le sous-traitant confie au délégué à la protection la tenue du registre des opérations de traitement (Lignes directrices WP 243 rev.01).
Pour résumer sur ce que le DPO est, et n’est pas…
« Le délégué est responsable en cas de manquement au RGPD » ? Faux.
La personne comptable du respect du cadre juridique n’est pas le délégué mais le « responsable de traitements » (en premier lieu l’organisme), qui détermine leurs objectifs et conditions de mise en œuvre.
Ainsi, la responsabilité personnelle du délégué ne pourra être engagée que s’il commet intentionnellement un manquement (ou facilite un manquement en toute connaissance de cause) aux obligations relatives à la protection des données personnelles.
« Une personne peut être délégué à temps partiel » ? Vrai.
Le responsable de l’organisme peut choisir de désigner un délégué à temps plein ou à temps partiel.
Ce sera le cas toutes les fois où la personne désignée est un membre du personnel exerçant d’autres fonctions en parallèle.
Attention, il ne faut pas que ces autres activités nuisent à sa capacité de mener à bien ses missions de DPO.
« Le délégué doit avoir des compétences juridiques et techniques » ? Vrai.
Le DPO doit nécessairement avoir une connaissance et une compréhension des règles et techniques de protection des données personnelles pour être opérationnel.
Néanmoins, son niveau d’expertise pourra varier en fonction des enjeux « Informatiques et Libertés » associés aux activités de l’organisme (volumétrie, complexité, sensibilité des traitements mis en œuvre).
De plus, ses compétences ont vocation à être complétées par d’autres expertises internes et pourront se développer avec le temps, la pratique et le soutien de l’organisme.
« Le délégué est forcément une personne certifiée » ? Faux.
Il existe bien des certifications pour les délégués mais il n’est pas nécessaire d’être certifié pour être nommé à cette fonction.
Demande d'informations et devis gratuit
droit des sociétés
Contactez le cabinet Fellous Avocats
Basé au 174 bd Saint-Germain, 75006 Paris