Conformité au RGPD : êtes vous prêts ?
Dans deux mois, jour pour jour, entrera en vigueur le Règlement européen sur la protection des données, dit RGPD.
Ne vous affolez pas ! Il est estimé que 87% des structures devant s’y conformer (sociétés, associations, structures privées assurant une mission de service public, communautés de commune, prestataires divers…) ne seront pas conformes au 25 mai prochain.
Il n’en demeure pas moins que des obligations pèsent sur vous, vous qui êtes amenés à traiter des données à caractère personnel.
Au 25 mai, vous devrez au moins être capables de justifier, si besoin, avoir commencé des démarches pratiques, signes de votre prise de conscience de responsabilisation qu’impose dorénavant le RGPD.
De quelles données s’agit-il ?
Il s’agit de toute information qui se rapporte à une personne physique, qu’elle soit identifiée ou simplement identifiable même indirectement (via identité, coordonnées, adresse IP, pseudonyme, numéro de compte bancaire, photographie…).
Ce qui exclut les données relatives à une personne morale y compris nom, forme juridique ou coordonnées.
Sont donc concernées les données à caractère personnel de vos clients - personnes physiques -, de vos employés, des stagiaires que vous accueillez, rémunérés ou non, etc.
Qui sera responsable du RGPD au sein de votre structure ?
Un responsable de traitement (RT) doit être désigné : il s’agit de toute personne physique ou morale qui détermine et contrôle les finalités du traitement des données.
Le RT devra être autonome et n’être soumis à aucun lien de subordination.
De quel traitement des données s’agit-il ?
Il s’agit de toute opération portant sur des données quel que soit le mode utilisé (automatisé ou non, via un data ou un simple document papier).
Le traitement suppose qu’au préalable vous vous soyez interrogés sur la finalité pour laquelle vous récoltez telle ou telle donnée.
Le RGPD vient donc renforcer le droit de tout un chacun de voir utiliser ses données à caractère personnel dans un cadre précis.
C’est ainsi que six principes encadrent le recueil des données à caractère personnel :
• Sécurité du traitement
Offrir lors du traitement un niveau de sécurité adéquat.
• Transparence
Données traitées de manière loyale et transparente en communiquant aux personnes concernées une information sur le traitement (et non pas un consentement à recevoir).
• Limitation des finalités
Les données doivent être collectées dans une finalité précise et ne pourront pas être utilisées pour une autre finalité.
• Limitation de leur conservation
Au regard des finalités pour lesquelles elles sont traitées.
• Confidentialité
Limitation d’accès de certaines données personnelles vis-à-vis du personnel.
• Licéité
Pour être licite, la collecte, l’utilisation, la consultation des données personnelles ne seront possibles que dans l’un des 6 cas suivants :
- Il a donné lieu à un accord de la personne concernée : ce sera là son consentement qui sera demandé et qui devra être écrit (donc différent de l’utilisation de ses données dans le cadre d’une mission laquelle nécessite seulement son information) ;
- Il a été nécessaire à l’exécution d’un contrat ;
- Il a été nécessaire au respect d’une obligation d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique ;
- Il a été nécessaire à la sauvegarde des intérêts vitaux de la personne concernée (hors contexte médical) ;
- Il a été nécessaire au respect d’une obligation légale auquel le RT est soumis (ex : transmission à l’administration des rémunérations des salariés) ;
- Il a été nécessaire aux fins d’intérêts légitimes poursuivis par le RT sauf contradiction avec les intérêts fondamentaux de la personne concernée.
Que mettre en place pour entamer la mise en conformité au RGPD de votre structure ?
• Nommer le RT
• Désigner un pilote
Le RGPD consacre l’arrivée d’un nouvel acteur « Data Protector Officer » ou Délégué à la Protection des Données (DPO) qui est obligatoire dans certaines hypothèses. En dehors de ces cas, vous désignerez un responsable de projet nommé à la protection des données.
• Cartographier les traitements de données à caractère personnel en tenant des registres des traitements (qui seront à présenter dans les 72h à la CNIL en cas de contrôle). Ces registres seront tenus par le pilote qui devra les mettre à jour régulièrement et devront contenir les informations suivantes : un titre, le type des personnes concernées, la finalité du traitement, la nature/catégorie des données traitées, les acteurs internes et externes traitant ces données, la localisation de ces données, leur temps de conservation et le volume qu’elles représentent.
• Réaliser une étude d’impact relative à la protection des données « lorsqu’un type de traitement est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Quelques exemples d’actions à mener
• Sensibiliser vos équipes au RGPD et faire des tests internes ;
• Définir des process d’information auprès de vos clients ;
• Définir des process de recueil de consentement quand celui-ci est requis (comme en matière de prospection) ;
• Vérifier auprès de vos prestataires (juridiques, logistiques,…) qu’ils sont eux-mêmes conformes, le sous-traitant pouvant être co-responsable avec le RT dans une certaine mesure ;
• Etablir une charte informatique interne ;
• …
Malgré tout ce formalisme qui pourrait paraître contraignant et fastidieux, avec des sanctions qui s’alourdissent (du simple rappel à une amende de 4% du CA annuel mondial en passant par de possibles actions pénales), la mise en conformité au RGPD (une norme ISO est d’ailleurs en cours d’élaboration) doit être perçue avant tout comme un gage de sérieux en interne comme en externe.
Et même si le texte laisse place à certaines incertitudes, avec la dématérialisation croissante des modes de travail, vous vous retrouvez face à de réels enjeux : la réputation de votre structure et la confiance qu’elle inspire.
Cécile HENON
Nous contacter
Dans la même thématique
L’utilisation non autorisée de photographies
La vente de produits surcyclés : quels risques juridiques ?
Comment protéger le nom de sa société ?
PME, économisez jusqu’à 1000 € sur le dépôt de vos marques grâce au fonds européen SME Fund.
Les 4 réflexes préalables au dépôt de marque
Etre dirigeant, c’est aussi savoir s’arrêter en cas de difficultés financières
Il peut être tentant pour le dirigeant d’entreprise qui fait face à des difficultés financières de temporiser et attendre des jours meilleurs. Grossière erreur car en cas d’aggravation des dettes, la responsabilité pécuniaire et personnelle du dirigeant pourra être engagée, voir le privera de toute possibilité de diriger.
Comment se déroule une saisie-contrefaçon ?
La procédure de saisie-contrefaçon permet au titulaire d’une marque de s’adresser à un juge afin qu’il autorise un huissier de justice à se rendre dans les locaux d’une entreprise accusée de reproduire ou imiter sa marque, pour rechercher et saisir les éléments de preuve de la contrefaçon.
Quelles sont les étapes de cette procédure particulière ?
LA REQUÊTELe titulaire de la marque s’adresse au juge et démontre :
• qu’il est titulaire d’une marque
• qu’il soupçonne une contrefaçon de la part d’un tiers.
L’orange Clicquot, officiellement protégé en tant que marque… de couleur
Cette fameuse couleur orangée ne vous est sûrement pas inconnue. Il n’y a aucun doute sur la renommée de la couleur, de la fameuse maison de champagne Veuve Clicquot Ponsardin. Elle est l’identité même de la maison. A ce titre, la société a souhaité déposer une marque, afin de pouvoir la protéger de concurrents qui souhaiteraient se l’accaparer.
Après de longues années de va-et-vient devant les tribunaux, le débat a été clôturé par une décision rendue par le Tribunal de l’Union européenne, le 15 septembre 2021.
Refus d’une marque sonore pour défaut de distinctivité
Personne ne peut s’approprier le « Pshiiit » d’une canette mais c’était bien tenté !
CJUE, n° T-668/19, Arrêt du Tribunal, Ardagh Metal Beverage Holdings GmbH & Co. KG contre Office de l’Union européenne pour la propriété intellectuelle, 7 juillet 2021
C’est la première fois que le Tribunal de l’Union européenne se prononçait sur l’enregistrement d’une marque sonore, celle-ci étant présentée sous format audio. Cette première demande s’est soldée par un refus, confirmé par un rejet.
Le cabinet Acg récompensé lors de la cérémonie du palmarès du droit 2021
5 récompenses pour le cabinet lors de la cérémonie du palmarès du droit 2021
• Médaillé de bronze au palmarès du droit en droit des brevets
• Médaillé d’or au palmarès du droit en droit du patrimoine
• Médaillé de bronze au palmarès du droit en droit des entreprises en difficulté
• Médaillé de d’argent au palmarès du droit en droit de la fiscalité des entreprises
• Médaillé de bronze au palmarès du droit en droit de la santé