Yaël COHEN-HADRIA
Avocat Associé
YCH
Intervenante lors de la conférence EFE « Réforme de la protection des données personnelles » qui aura lieu le jeudi 30 mars 2017 à Paris.
Le règlement européen à la protection des données personnelles (RGPD) a été publié le 27 avril 2016 et dans son ensemble confirme les grands principes de l’actuelle législation sur les données à caractère personnel. Toutefois, il est incontestable que ce Règlement européen, RGPD, renforce et ajoute des obligations pour les entreprises et administrations dans la gestion de leurs traitements.
L’informatique est devenu indispensable
On voit mal comment une entreprise peut aujourd’hui travailler sans faire appel à l’informatique. Or il est inhérent à l’univers informatique que certaines données soient endommagées, détruites, perdues.
C’est pourquoi, et déjà sous l’actuelle législation, tout « responsable de traitement » doit procéder a minima à des mesures de sauvegarde et de sécurité de traitements de données, et a fortiori de ses traitements de données à caractère personnel (article 34 de la loi Informatique et libertés du 6 janvier 1978).
Il s’agit de mesures de gestion saine et d’anticipation des risques auxquelles tout « responsable de traitement » se doit de se conformer. C’est pourquoi la sauvegarde et la sécurité des données est un acte de gestion essentiel dans la vie d’une entreprise ou d’une administration.
Cette obligation est d’autant plus vraie que c’est l’entreprise ou l’administration qui met à la disposition de ses employés des moyens d’accès à des données à caractère personnel qui sont ensuite, via des outils informatiques, partagés en réseaux internes ou parfois via internet.
C’est les cas par exemple des données sur les téléphones mobiles, les plateformes intranet, les bases de données clients partagées en réseaux entre les services / filiales.
Cette problématique de sécurité des données est confirmée et renforcée avec le RGPD, tant par les obligations et principes portés par ce RPGD tels que l’Accountability, la Privacy by Design, les notifications de failles de sécurité, les études d’impacts…
Le double rôle de l’entreprise
Avec un double rôle d’employeur et de responsable de traitements, l’entreprise doit donc renouveler et renforcer ses moyens pour mettre en place des mesures proportionnées et appropriées de protection de leurs données à caractère personnel. Ces mesures de sécurité, y incluant les mesures techniques et organisationnelles (MTO), peuvent même être renforcées lorsque l’entreprise ou l’administration traite de données dites sensibles.
Pour ce faire, le responsable de traitement doit prendre en compte la finalité des traitements, la nature des données, le niveau de risque et leur vraisemblance, l’état de la technique et des coûts liés à sa mise en œuvre et le niveau de sécurité en fonction de la nature des données à protéger et des risques encourus par leur traitement.
Cette obligation de sécurité est d’ordre général et il n’existe pas de liste exhaustive de mesures à mettre en place. Cependant, l’employeur, en tant que responsable de traitement, peut voir sa responsabilité engagée du seul fait de la mauvaise identification des précautions à mettre en œuvre.
Pour rappel, l’article 34 de la loi Informatique et libertés (et les articles 32 et s. du RGPD) impose à tout « responsable de traitement » collectant et traitant des données à caractère personnel (et le sous-traitant) de mettre en place des mesures techniques et organisationnelles pour empêcher que ces données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès.
A défaut, cela constitue une infraction à la règlementation Informatique et libertés avec des sanctions administratives et financières fortes, le volet pénal restant toujours également applicable (cinq ans de prison et de 300 000 € d’amende/1 500 000€ pour les personnes morales – Article 226-17 du Code pénal).
Lors de la journée d’information sur le RGPD du 30 mars 2017, il sera évoqué les points clés du changement des obligations de sécurités ainsi que les éléments de réponses pour mettre à jour vos contrats et les procédures internes.
Laisser un commentaire