RGPD : Quelles responsabilités pour le donneur d'ordres ?

Dans un petit mois, le Règlement Général sur la Protection des Données personnelles (RGPD) – ou General Data Protection Regulation (GDPR) – entrera en application dans l’Union Européenne. Voté en 2016, ce texte a pour vocation d’harmoniser le panorama juridique en matière de traitement des données personnelles.
A compter du 25 mai 2018, toute entreprise (européenne ou étrangère)

devra ainsi être en mesure de garantir à la fois la transparence et la sécurité des citoyens dans l’utilisation de leurs données à caractère personnel. Pour se conformer à cette règlementation, celles-ci doivent prendre le contrôle des informations qu’elles gèrent et en devenir les gardiennes.

3 questions à Franklin Brousse,
avocat spécialisé dans les achats innovants, digitaux, informatiques et télécoms.

Quelles sont les obligations du donneur d'ordres pour se mettre en conformité avec le RGPD ?

Conformément aux recommandations de la CNIL, la première chose à faire pour se mettre en conformité avec le RGPD, est de désigner un délégué à la protection des données personnelles (ou DPO « Data Protection Officer »), qui sera en charge du pilotage de ce chantier. Cette personne doit avoir une certaine autonomie et indépendance d’un point de vue hiérarchique pour ne pas être juge et partie. Cela peut être un salarié de l’entreprise ou un DPO externalisé (consultant ou avocat spécialisé par exemple). Après avoir désigné le DPO, il y a quatre chantiers prioritaires pour être conforme au RGPD.

Premier chantier : l’entreprise doit cartographier les traitements des données, c’est-à-dire recenser l’intégralité des traitements de données personnelles dans l’entreprise. Ces données devront être rangées dans deux grandes catégories : les données personnelles traitées par l’entreprise pour son propre compte (données RH et CRM notamment) et les données personnelles traitées pour le compte de ses clients.

Deuxième chantier : l’entreprise doit être en mesure d’identifier pour chacun des traitements recensés, les mesures de sécurité prises ou à prendre pour protéger les données personnelles.

Troisième chantier : l’entreprise doit s’assurer que les contrats en cours avec ses clients impliquant le traitement de données personnelles, soient mis à niveau via un avenant à signer avant le 25 mai 2018. L’entreprise devra également signer un accord avec ses fournisseurs et / ou avec le ou les donneurs d’ordres si elle est elle-même fournisseur. Pour les nouveaux contrats, cet accord devra être intégré (en annexe à ces contrats par exemple). L’entreprise doit également penser à intégrer un document définissant clairement la politique de traitement des données personnelles d’un point de vue technique et organisationnel.

Dernier chantier : l’entreprise doit enfin veiller à sensibiliser tous les salariés aux enjeux de la protection des données personnelles. Pour y répondre, nous avons développé une application de e-learning, baptisée « RGPD Ready », afin que tout le monde puisse se mettre à niveau facilement et rapidement.

Quelles sont les sanctions encourues en cas de manquement au RGDP ?

La CNIL a fait savoir qu’elle effectuerait des contrôles mais qu’elle ne sanctionnerait pas, dans les mois suivants le 25 mai 2018, les entreprises ayant mis en place des démarches de mises en conformité. Il y a deux niveaux de sanctions administratives. Selon la catégorie de l’infraction, ces amendes varient de 10 à 20 M€, ou, dans le cas d’une entreprise, de 2 à 4% du chiffre d’affaires annuel mondial total.

Les entreprises françaises sont-elles prêtes ?

Non, la grande majorité des entreprises ne sont pas prêtes à 100% car cette mise en conformité implique des changements qui peuvent être lourds. A défaut d’être parfaitement opérationnelles, elles devront néanmoins prouver qu’elles ont initié des démarches de mises en conformité.