RGPD : « La première obligation des entreprises, c’est de se tenir informées » « cafat/institutions » LNC 20.05.2019

Me Franck Royanez est ancien bâtonnier de Nouméa et membre du réseau Lexing qui rassemble des spécialistes des nouvelles technologies. C.R.
Le règlement général sur la protection des données (RGPD) devrait entrer pleinement en vigueur dès le 1er juin en Nouvelle-Calédonie, après publication d’un décret à Paris. Les explications de Me Franck Royanez, un des animateurs des formations mises en place par la CCI.
On parle beaucoup du règlement général sur la protection des données (RGPD).
De quoi s’agit-il ?
Le but de cette réglementation, c’est d’assurer la protection des données personnelles. Et pour ça, on fixe des obligations sur leur récolte et leur traitement à toutes les entités qui pourraient en disposer (entreprise, mais aussi associations ou collectivités, NDLR). En fait, la donnée personnelle doit être vécue comme l’extension de la personne physique.

Les droits liés aux données personnelles peuvent être tout autant violés par une PME de Bourail qu’un géant mondial.

Et pour en disposer, il faut avoir une base légale, les principales étant le consentement de la personne, un contrat, ou une obligation légale…

Quand doit-il entrer en vigueur en Nouvelle-Calédonie ?
Le RGPD c’est un droit qui a déjà trois ans d’existence : il a été adopté en avril 2016 en Europe et est entré en vigueur le 25 mai 2018 en Métropole. Dès cette date, malgré des informations contraires, il a eu une application en Nouvelle-Calédonie. Parce que les citoyens de l’Union européenne emmènent leur droit avec eux où qu’ils aillent, et que le RGPD s’applique à toutes les entreprises implantées en Europe et à tous leurs sous-traitants. C’est le cas d’un hôtel à qui on envoie des touristes, d’une compagnie aérienne qui a des passagers en code-share, de la Cafat si elle a des échanges avec la sécurité sociale et beaucoup d’autres… Après cette application par exception, le RGPD devrait entrer pleinement en vigueur sur le territoire le 1er juin. C’est la date qui est retenue dans le projet de décret qui doit être publié dans les jours à venir.

Avec de nouvelles contraintes pour les entreprises calédoniennes… Elles sont prêtes ?
La première contrainte, c’est de s’informer, et je crois que beaucoup d’entreprises l’ont fait. La mise en conformité, a, elle, un peu plus de retard. Au total, il y a 432 obligations dans le règlement, mais environ 60 % d’entre elles existaient. Mais la loi Cnil* de 1978 était là pour protéger contre les abus de l’État. C’est pour ça qu’on s’était doté d’une autorité indépendante. Aujourd’hui, ce sont davantage les entreprises qui sont visées comme porteur de risques. Et elles doivent désormais se contrôler elles-mêmes, dans un travail d’auto-certification. La CNIL est toujours là mais il n’y a plus de déclaration : les entreprises doivent seulement être capables d’apporter la preuve de leur conformité.

Les sanctions sont lourdes ?
Elles ont crû de façon drastique et peuvent atteindre 2,3 milliards de francs ou 4 % du chiffre d’affaires. Il y a toujours de la pédagogie de la CNIL, mais davantage de sanctions sont prises : on a déjà eu des cas de condamnation d’association, l’Alliance française, d’un bar qui enregistrait des vidéos de surveillance sans en informer ses clients, ou encore de Google, condamné à payer 6 milliards de francs…

Les grosses entités ne sont pas les seules concernées ?
Non. Elles sont particulièrement visées, mais ce n’est pas ce qu’on vise qui est important, c’est ce qu’on protège. Et les droits liés aux données personnelles peuvent être tout autant violés par une PME de Nouméa ou Bourail qu’un géant mondial du numérique, même si la mise en conformité va être bien moins compliquée. Il faut pouvoir être en mesure de répondre à un client qui veut exercer ses droits, se prémunir d’une plainte. Et il y a d’autres enjeux : si vous prenez des sanctions contre un salarié sur la base de données récoltées sans consentement, c’est toute la procédure qui peut être nulle…

* Commission nationale informatique et liberté

Repères
Formations de la CCI
La CCI propose, fin août et fin septembre, des formations « RGPD : mettre votre entreprise en conformité ». Elles permettent de comprendre ce qu’est une donnée à caractère personnel, et de définir un plan d’action pour se mettre en conformité. D’une durée de 11 heures, elles peuvent être en partie prises en charge par le Fonds interprofessionnel d’assurance formation.

À qui s’adresser ?
Très dense, le RGPD peut paraître difficilement accessible. Il convient d’abord de prendre connaissance des grandes lignes du règlement, via la CCI (cci.nc), ou la CNIL (cnil.fr) qui a publié des fiches pratiques, des cours en ligne et des logiciels d’accompagnement. Le règlement recommande, et dans certains cas, contraint, de nommer un délégué à la protection des données (DPO). Cartographier et organiser les traitements, prioriser les actions à mener et documenter la conformité. Beaucoup d’acteurs (cabinets d’avocats, de conseil, d’informatique ou autres) proposent d’accompagner les entreprises. Attention à bien se documenter sur leur compétence, notamment juridique.

About the author

Leave a Reply