Le 25 mai 2018, le Règlement général sur la protection des données (RGPD) sera applicable. A partir de cette date, l’Autorité de protection des données (l’APD) succédera à la Commission de la protection de la vie privée en tant qu’autorité de contrôle au sens du RGPD.
De nouvelles formalités devront être respectées afin de démontrer les mesures prises par votre structure pour assurer une protection optimale des données privées de vos clients ou de vos patients.
La présente note a pour objectif de donner un aperçu succinct des principaux droits et obligations qui découlent du RGPD et qui sont pertinents pour les professions libérales souvent amenées à traiter des données sensibles. Elle n’a pas l’ambition d’aborder de manière exhaustive toute la législation européenne et nationale applicable en matière de protection des données. Chaque application du RGPD requiert toujours une analyse concrète, adaptée à chaque situation spécifique.
1) RECENSER VOS TRAITEMENTS DE DONNÉES PERSONNELLES
Afin de mesurer concrètement l’impact du RGPD sur la protection des données que vous traitez, vous devez commencer par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point. Dans tous les cas, vous devez tenir un dossier interne complet sur les traitements de données personnelles et vous assurer que ces traitements respectent bien les nouvelles obligations légales.
La notion de traitement est très large et comprend toute opération effectuée ou non à l’aide de procédés automatisés et appliquée à des données à caractère personnel (article 4.2 du RGPD).
Le RGPD s’applique dès que vous traitez des données à caractère personnel.
Les données à caractère personnel sont toutes les données se rapportant à une personne physique identifiée ou identifiable (article 4.1 du RGPD). Le RGPD ne s’applique cependant pas aux données relatives à des personnes décédées ou des personnes morales.
Les données sensibles sont les données à caractère personnel qui méritent un niveau de protection plus élevé car leur traitement peut entraîner des risques significatifs (considérant 51 du RGPD).
Ces données sont souvent collectées par les professionnels du chiffre et de la santé dans le cadre de l’exercice de leur profession.
Le traitement de données sensibles est en principe interdit, à moins de satisfaire à l’un des motifs d’exception de l’article 9 ou de l’article 10 du RGPD. Les données à caractère personnel ordinaires vous permettant de déduire des informations sensibles constituent également des données sensibles.
Les données sensibles peuvent notamment être traitées lorsque :
· Le consentement explicite de la personne concernée a été obtenu en vue du traitement de ses données pour une ou plusieurs finalités spécifiques ;
· Le traitement est nécessaire en matière de droit du travail et de sécurité sociale mais uniquement si une loi nationale, européenne ou une convention collective autorise ce traitement ;
· Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ;
· Le traitement est effectué par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale ; · Le traitement porte sur des données qui sont manifestement rendues publiques par la personne concernée ;
· Le traitement est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ;
· Le traitement est nécessaire pour des motifs d’intérêt public importants ;
· Le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l’appréciation de la capacité de travail du travailleur, de diagnostics médicaux.
En ce qui concerne les données de santé, le RGPD précise que les données sensibles ne pourront être traitées pour cette finalité que si elles le sont par un professionnel de santé soumis à une obligation de secret professionnel.
2) DÉSIGNER OU NON UN DÉLÉGUÉ À LA PROTECTION DES DONNÉES
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un expert qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données.
La désignation d’un délégué à la protection des données est obligatoire en 2018 si :
· Vous êtes un organisme public ;
· Votre activité de base vous amène à réaliser un suivi régulier et systématique des personnes à grande échelle, ou à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Les notions d’« activités de base » et d’activités « à grande échelle» sont essentielles pour déterminer si vous devez désigner un délégué à la protection des données.« Activités de base» signifie que le traitement découle de vos activités principales et non pas d’une activité secondaire de pur appui (telle par exemple que le paiement du personnel). «À grande échelle» se rapporte au volume de données, au nombre de personnes concernées, à la durée ou à la couverture géographique et ne se réduit pas simplement à un chiffre déterminé.
Le traitement de données à caractère personnel ne devrait toutefois pas être considéré comme étant à grande échelle si le traitement concerne les données à caractère personnel de patients ou de clients par un médecin, un autre professionnel de la santé ou un avocat exerçant à titre individuel.
Même si vous n’avez pas formellement l’obligation de désigner un délégué à la protection des données, il est fortement recommandé de désigner une personne disposant de relais internes, chargée de s’assurer de la mise en conformité au RGPD car il constitue un atout majeur pour comprendre et respecter les obligations du RGPD. Si vous désignez un délégué à la protection des données sur une base volontaire, vous devrez respecter toutes les règles du RGPD relatives aux tâches et à la position du délégué à la protection des données.
Le délégué à la protection des données doit être indépendant.
Cela qui signifie que vous ne pouvez pas donner d’instructions au délégué à la protection des données en ce qui concerne l’exercice de ses missions ou le pénaliser ou le relever de ses fonctions pour l’exercice de ses missions. Afin de garantir l’indépendance, le délégué ne peut assumer d’autres missions ou fonctions que si ces responsabilités supplémentaires ne conduisent pas à un conflit d’intérêts.
3) DEFINIR ET PRIORISER LES ACTIONS À MENER
Après avoir identifié les traitements de données personnelles mis en œuvre pour votre activité professionnelle, vous devez, pour chacun d’eux, identifier les actions à mener pour vous conformer aux obligations actuelles et à venir.
Plus spécifiquement, chaque traitement de données à caractère personnel doit reposer sur l’une des bases juridiques énumérées à l’article 6 du RGPD: le consentement, le contrat, le respect d’une obligation légale, la sauvegarde d’un intérêt vital, l’exécution d’une mission d’intérêt public et l’intérêt légitime poursuivi par le responsable du traitement ou par un tiers.
Toutes ces bases juridiques sont équivalentes et il vous appartient de choisir la base juridique qui correspond le mieux à vos activités de traitement. Si vous traitez des données sensibles, outre l’une de ces bases juridiques, vous devez également satisfaire à l’un des motifs d’exception prévus à l’article 9.2 ou à l’article 10 du RGPD.
Il conviendra donc d’identifier les actions à mener pour vous conformer aux obligations actuelles et à venir. Il s’agit de prioriser ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées. Cette priorisation peut être menée au regard des risques que font peser vos traitements sur les libertés des personnes concernées (voir point 4 ci-dessous).
Quels types d’actions?
· Identifier la base juridique exacte sur laquelle se fonde votre traitement
· S’assurer que seules les données strictement nécessaires à la poursuite de vos objectifs sont collectées et traitées.
· Adapter vos mentions d’information afin qu’elles soient conformes aux exigences du RGPD (articles 12, 13 et 14 du RGPD)
· Vérifier que vos sous-traitants respectent leurs nouvelles obligations
· Prévoir les modalités d’exercice des droits des personnes concernées (droit d’accès, de rectification, droit à la portabilité, retrait du consentement…)
· Vérifier les mécanismes de sécurité mises en place.
4) GÉRER LES RISQUES ÉLEVÉS
Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact sur la protection des données (« AIPD», Article 35 du RGPD).
L’AIPD est un processus continu servant à détecter, évaluer et finalement contrôler les risques pour les droits et libertés de personnes physiques. L’AIPD doit être réalisée avant la mise en œuvre du traitement. Les analyses doivent être revues et corrigées de manière régulière, en particulier lors de changements majeurs des modalités d’exécution du traitement.
L’AIPD contient :
• Une description du traitement étudié et de ses finalités.
• Une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités
• Une évaluation des risques pour les droits et libertés des personnes concernées
• Les mesures envisagées pour faire face aux risques.
Vous devez évaluer au cas par cas si le risque est élevé. Plus il y a de facteurs présents dans le traitement, plus grande est la probabilité qu’il soit question d’un traitement comportant un risque élevé.
5) DETERMINER ET ORGANISER LES PROCESSUS INTERNES NECESSAIRES
Il est indispensable de mettre en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : gestion des demandes de rectification ou d’accès, modification des données collectées, changement de prestataire, faille de sécurité, etc.).
Que faut-il faire concrètement ?
· Prendre en compte la protection des données personnelles dès la conception d’une application ou d’un traitement ;
· Sensibiliser et organiser la remontée d’information en construisant notamment un plan de formation et de communication auprès de vos collaborateurs ;
· Traiter les réclamations et les demandes des personnes concernées quant à l’exercice de leurs droits ;
· Anticiper les violations de données.
6) DOCUMENTER LA CONFORMITÉ
Pour prouver votre conformité au RGPD, vous devez constituer et regrouper la documentation nécessaire dans un dossier tenu à jour. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en permanence.
Si vous souhaitez plus d’information ou de l’assistance en vue de la mise en conformité de votre entreprise au RGPD, n’hésitez pas à nous contacter.
A bon entendeur!