Entrée en vigueur du Règlement européen sur la protection des données

Quels impacts à compter du 25 mai 2018 ?

Un cadre harmonisé pour toute l’Union européenne

Dès le 25 mai prochain, le règlement s’appliquera sans formalité de transposition dans tous les états membres de l’UE,  dotant ainsi l’Europe d’un cadre juridique unifié en matière de protection des données personnelles, et renforçant notablement la loi Informatique et Libertés française. La totalité des traitements existants devra être conforme aux dispositions du RGPD.

Vers un régime de conformité et de responsabilisation des acteurs

La loi Informatique et Liberté reposait en grande partie sur la notion de formalités préalables. C’est auprès de la CNIL que les responsables légaux devaient déclarer ou faire autoriser leurs traitements (fichiers, processus métiers, etc.). Le règlement européen repose désormais sur une logique de conformité, dont tous les acteurs sont responsables, sous le contrôle et avec l’accompagnement de la CNIL.

Les sociétés, associations et autres professionnels, détenteurs de données personnelles de tiers sont de facto "responsables du traitement", et devront mettre en œuvre toutes les mesures techniques et organisationnelles assurant la sécurité des données personnelles, de la conception du produit ou du service jusqu’à son utilisation. A tout moment, ils devront pouvoir apporter la preuve de leur conformité.

Une obligation de sécurité et de notification des violations de données personnelles pour les responsables de traitements

Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées. En cas de survenance d’une violation de données personnelles (piratage, fuite accidentelle, erreur de traitement, etc.), le "responsable du traitement" doit, dans les 72 heures, notifier la violation à la CNIL et aux personnes concernées.

Des sanctions renforcées en cas de manquements aux dispositions du RGPD

Outre le prononcé d’avertissement ou la suspension temporaire ou définitive de traitements défaillants, de lourdes amendes administratives pourront être infligées aux "responsables du traitement". Ces sanctions pécuniaires, selon la catégorie de l’infraction, pourront représenter entre de 2 % et 4 % du  chiffre d'affaires annuel du professionnel.

Un interlocuteur privilégié au sein de l’entreprise, le DPO ou ancien CIL

Le Délégué à la protection des données ou « Data Protection Officer » (DPO) est une évolution du Correspondant Informatique et Libertés (CIL).

Sa désignation (en interne ou externe) permet d’identifier un référent sur les questions de protection des données personnelles.  Il aura pour mission de veiller à la conformité au règlement de l’ensemble des traitements mis en œuvre par l’organisme qui l’aura désigné.

Attention, si vous avez déjà désigné un CIL il faudra toutefois le désigner à nouveau en tant que DPO.

La profession de géomètre-expert s’organise : des actions concrètes pour l’institution

  • Mise à jour du registre des traitements de l'Ordre;
  • Formalisation des procédures non écrites;
  • Mise en place d'une démarche proactive pour démontrer la conformité à tout moment;
  • Mise en place de mesures techniques et organisationnelles adaptées;
  • Mise en place de durées de conservations cohérentes;
  • Audit des traitements déjà en cours reposant sur la base du consentement pour s'assurer de la validité des consentements recueillis et pouvoir démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant;
  • Mise en place d'un processus permettant le verrouillage des données, les rendant inaccessibles;
  • Mise en place d'une procédure permettant de gérer toute faille de sécurité.

Calendrier de mise en œuvre

1er trimestre 2018 :

  • Recensement des traitements à risque;
  • Rédaction des procédures;
  • Sensibilisation du personnel de l'Ordre.

2e trimestre 2018 :

  • Désignation du délégué à la protection des données (avril 2018);
  • Mise en place des mesures de sécurité informatique;
  • Référentiel de durées par traitement.