Se substituant au régime de formalités préalables prévu par la loi informatique et libertés du 6 janvier 1978, le RGPD est un système fondé sur la responsabilité des acteurs. Ces derniers doivent démontrer, à tout moment, la conformité de leurs traitements à ce nouveau règlement. Ainsi, les entreprises qui traitent les données personnelles de leur clientèle doivent se conformer à de nouvelles obligations, notamment la tenue de registres ou encore l’analyse d’impact. Le point sur le sujet avec Georges Gaède, avocat et docteur en droit.
Contrats commerciaux : la vigilance est de mise
Rappelons qu’autrefois, le non-respect d’une disposition de la loi informatique et libertés pouvait entraîner la nullité du contrat. Depuis, une jurisprudence de la chambre commerciale de la Cour de cassation en date du 25 juin 2013 a été consacrée, puisque « un fichier client non déclaré à la CNIL est hors commerce et ne peut faire l’objet d’une disposition contractuelle ». Cette position devrait continuer à s’appliquer dans le cadre du RGPD, qui renforce davantage les obligations des parties à un contrat informatique (contrat d’hébergement, de maintenance, de cloud computing…).
RGPD : le registre des traitements est-il obligatoire ?
Selon l’article 30 du RGPD, « chaque responsable du traitement et, le cas échéant, le représentant du responsable du traitement tiennent un registre des activités de traitement effectuées sous leur responsabilité ».
Quelles sont les informations qui doivent figurer sur le registre des traitements ?
- Le nom et les coordonnées du responsable du traitement et, le cas échéant, du responsable conjoint du traitement, du représentant du responsable du traitement et du délégué à la protection des données ;
- Les finalités du traitement ;
- Une description des catégories de personnes concernées et des catégories de données personnelles ;
- Les catégories de destinataires auxquels les données personnelles ont été ou seront communiquées, y compris les destinataires dans des pays tiers ou des organisations internationales ;
- Le cas échéant, les transferts de données personnelles vers un pays tiers ou à une organisation internationale, y compris l’identification de ce pays tiers ou de cette organisation internationale et, dans le cas des transferts visés à l’article 49, paragraphe 1, deuxième alinéa, les documents attestant de l’existence de garanties appropriées ;
- Dans la mesure du possible, les délais prévus pour l’effacement des différentes catégories de données personnelles ;
- Dans la mesure du possible, une description générale des mesures de sécurité techniques et organisationnelles visées à l’article 32, paragraphe 1.
Dans quel cas le registre des traitements est-il obligatoires ?
La tenue d’un registre des traitements devient obligatoire dans les cas suivants :
- Les entreprises ou administrations employant plus de 250 salariés ;
- Quel que soit le nombre de salariés, quand un traitement de données personnelles est non occasionnel ou porte sur des données dites « sensibles » (selon l’article 9 du RGPD) ;
- Quel que soit le nombre de salariés, lorsqu’un traitement est susceptible de comporter un risque de violation des droits et libertés individuelles des personnes concernées par le traitement ;
- Quel que soit le nombre de salariés, lorsqu’un traitement est relatif à des condamnations pénales et des infractions.