Témoignage partenaire – le RGPD opère un véritable changement de philosophie

PIGMA : Pouvez-vous nous présenter rapidement E&Y et vos missions et nous préciser en quoi le RGPD est un enjeu majeur ?

Ludivine Lille : Parmi les différents départements de droit des affaires du cabinet EY Société d’Avocats, le Département « Droit du numérique et de la protection des données » assiste les clients du cabinet dans tous les aspects de mise en conformité à la réglementation « Informatique et Libertés » (diagnostic RGPD, audit de conformité, analyse d’impact, animation de formation, encadrement des transferts de données personnelles réalisés en dehors de l’Union Européenne, etc.).

Le nouveau Règlement européen sur la protection des données personnelles (RGPD) qui entre en vigueur le 25 mai prochain renforce à la fois les obligations des responsables de traitement et les droits des individus sur leurs données personnelles. Le RGPD impose une révolution de fonctionnement aux organisations en supprimant les obligations déclaratives auprès de la CNIL, en contrepartie d’une responsabilisation quant aux données personnelles qu’elles traitent. Il introduit de nouveaux concepts (privacy by design et by default, portabilité des données etc.) et généralise le recours à des outils tels que les études d’impact sur la vie privée. L’importance des sanctions financières pour non-conformité au RGPD accentue le niveau de risque « données personnelles » puisque le texte prévoit des sanctions pouvant s’élever jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires de l’organisme concerné.

PIGMA : Quelles sont les conséquences de ce nouveau règlement  ?

Ludivine Lille : Si les grands principes déjà présents dans la loi Informatique et Libertés ne changent pas, le RGPD opère un véritable changement de philosophie puisque les responsables de traitements doivent document et démontrer leur mise en conformité conformément au principe d’Accountability ou principe de responsabilisation. Cette responsabilisation devra nécessairement donner lieu à l’adoption de mesures techniques et organisationnelles permettant aux acteurs du privé et du public de s’assurer et de démontrer à tout instant qu’ils offrent un niveau optimal de protection aux données traitées. Les responsables de traitement seront ainsi appelés à tenir un registre de leurs activités de traitement, à encadrer les opérations sous-traitées dans les contrats conclus avec des prestataires externes, à formaliser des politiques de confidentialité des données, des procédures relatives à la gestion des demandes d’exercice des droits, etc. Dans certains cas, pour les traitements à risques,  ils devront effectuer des analyses d’impact sur la vie privée et notifier à la CNIL, voire aux personnes concernées, les violations de données personnelles.

PIGMA : En quoi consiste le rôle du DPO ?

Ludivine Lille : A compter du 25 mai 2018, la désignation d’un délégué à la protection des données (Data protection Officer), successeur du correspondant informatique et libertés (CIL) dont la désignation est aujourd’hui facultative, sera obligatoire pour les organismes et autorités publics, et donc pour les collectivités. Le délégué est le « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Le délégué à la protection des données est principalement chargé i) d’informer et de conseiller le responsable de traitement et ses employés , ii) de contrôler le respect du RGPD et du droit national en matière de protection des données, iii) de conseiller l’organisme sur la réalisation d’une analyse d’impact relative à la protection des données et d’en vérifier l’exécution et iv) de coopérer avec l’autorité de contrôle (la CNIL) et d’être le point de contact de celle-ci.