En France, la protection des données personnelles est principalement régie par la loi n°78-17 « Informatique et Libertés » du 6 janvier 1978, laquelle a été modifiée à plusieurs reprises pour s’adapter à l’essor d’Internet ainsi que des nouvelles technologies de l’information et de la communication.

Ce régime s’apprête à subir une évolution d’ampleur à la suite de l’adoption, le 27 avril 2016, par le Parlement européen, du Règlement Général relatif à la Protection des Données personnelles (RGPD).

S’agissant d’un règlement communautaire, ses dispositions seront d’application immédiate, et entreront en vigueur le 25 mai 2018.

L’une des principales nouveautés est la création d’un Délégué à la Protection des Données (plus connu sous le sigle anglophone « DPO » pour Data Protection Officer), destiné à remplacer le Correspondant Informatique et Liberté (CIL) que nous connaissons déjà.

Le rôle du DPO sera d’identifier les collectes de données à caractère personnel ainsi que leur finalité, ce afin d’analyser leur conformité au RGPD, et de vous apporter des conseils adaptés.

Le délégué servira également d’intermédiaire avec les personnes physiques concernées par la collecte, les responsables du traitement des données, ainsi que la CNIL.

Le DPO doit être indépendant, est soumis à une obligation de confidentialité, ne peut être placé en situation de conflit d’intérêts, et doit suivre une formation continue en la matière

Ces règles de conduite sont très proches de certains des termes du serment prêté par l’avocat, ce dernier pouvant par ailleurs tout à fait remplir le rôle de délégué à la protection des données pour le compte de son client.

La désignation d’un DPO est obligatoire pour :

• les traitements réalisés par une autorité ou un organisme public ;
• les organismes ayant pour activité de base des opérations de traitement nécessitant le suivi régulier et systématique des personnes à grande échelle
• les organismes ayant pour activité de base le traitement à grande échelle de données dites « sensibles » (origines raciales ou ethniques, convictions politiques ou religieuses, etc.) ou relatives aux condamnations pénales et infractions.

Pour caractériser un système de traitement « à grande échelle », le groupe de travail européen G29, qui regroupe l’ensemble des CNIL européennes, retient les critères suivants :

• le nombre de personnes concernées ;
• le volume de données et/ou le spectre des catégories de données ;
• la durée ou la permanence de l’activité de traitement ;
• l’étendue géographique de l’activité de traitement.

Il n’existe pas de taille-plancher, et une TPE pourrait tout à fait entrer dans la 2e ou la 3e catégorie.

L’organisme ci-dessus qui serait dépourvu de DPO s’expose à des amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, en fonction de l’infraction constatée (ex : absence de notification à l’autorité de contrôle ou à la personne concernée d’une violation de données à caractère personnel,non-respect des conditions de licéité du traitement, etc.)

Par ailleurs, le G29 invite cependant toutes les entreprises traitant des données personnelles à désigner un délégué, à titre de bonne pratique.

Bien que le RGPD est d’application immédiate, la France doit adopter prochainement une loi visant à adapter les dispositions réglementaires dans notre droit national.

La direction prise par le projet de loi, soumis en conseil des ministres le 13 décembre 2017, semble cependant indiquer que le texte n’apportera que « des modifications a minima nécessaires à la mise en œuvre du Règlement« , selon les termes de la CNIL.

N’hésitez pas à vous rapprocher de notre cabinet et de notre partenaire LEXING, pour vous aider à adapter vos politiques internes.

Signalons enfin que le Cabinet FEDARC sera présent à l’apéritif contact organisé sur ce thème par le CEEVO le 14 février prochain, ce qui sera l’occasion d’échanger en profondeur avec plusieurs acteurs.