La législation Informatique et Libertés constitue est au cœur des problématiques juridiques traitées par le Cabinet CHABERT & Associés et notamment, du droit de l’informatique, de l’Internet, du droit de la santé et des biotechnologies.
Face à l’importance grandissante des données personnelles et pour répondre au mieux aux besoins de ses clients, qu’ils soient privés ou publics, le Cabinet a créé un pôle Informatique et Libertés.
Le 8 avril 2016, le nouveau Règlement Général sur la Protection des Données (RGPD) a été adopté (entrée en vigueur le 25 mai 2018), harmonisant au plan européen la législation en matière de protection des données à caractère personnel (DCP).
En qualité de règlement européen, il est d’application directe en France sans besoin de transposition en droit national. Il a vocation à prendre en compte les évolutions récentes en matière de traitements de DCP.
En tant que responsable de traitement, chaque entreprise est dans l’obligation d’ici la date fixée pour son entrée en vigueur de se mettre en conformité avec les nouvelles dispositions du RGPD.
En cas de contrôle par la CNIL, les entreprises devront être en mesure de prouver le respect des nouvelles dispositions. L’Union Européenne ayant souhaité se doter d’un outil de régulation efficace, les sanctions attachées au non-respect des dispositions du RGPD s’inscrivent dans une logique de dissuasion.
Selon les manquements reprochés au responsable du traitement, les sanctions pour les entreprises peuvent aller jusqu’à 4% du chiffre d’affaire annuel mondial de l’exercice précédent.
En cas d’appartenance à un groupe, le risque existe que la sanction administrative soit assise non pas sur le seul chiffre d’affaire de la filiale contrôlée mais soit élargie, dans certains cas, au chiffre d’affaire du groupe.
Le RGPD opère de grands changements concernant le traitement des DCP. Même si les principes issus de la loi du 6 janvier 1978 dite informatique et libertés restent en vigueur, la philosophie change totalement : les formalités à accomplir auprès de la CNIL disparaissent sauf exception et la responsabilité des responsables de traitements est en contrepartie renforcée.
Le législateur passe en effet d’un système de contrôle a priori à un système de contrôle a posteriori. Autrement dit, seuls les principes sont énoncés, les responsables de traitements devant faire leur affaire de la conformité de leur entreprise au RGPD afin de garantir le droit de tout citoyen européen à la protection de ses DCP.
Avec l’entrée en vigueur du RGPD, les personnes dont les données sont collectées bénéficient de droits renforcés et l’entreprise contrôlée doit démontrer que dès la conception du traitement de DCP qu’elle a envisagé et par défaut, elle a pris en compte son impact éventuel sur les personnes concernées. Elle doit également justifier de ses choix chaque fois qu’elle écarte une obligation qui aurait pu peser sur elle (tenue d’un registre, étude d’impact, désignation d’un DPD (Délégué à la Protection des Données)).
Cette nouvelle philosophie nécessite la mise en place de procédures internes et la formalisation d’une documentation importante propre à permettre à l’entreprise contrôlée de justifier ses choix.
Le Cabinet CHABERT & Associés accompagne les entreprises dans le cadre de cette mise en conformité au travers de différentes étapes.
Ce pôle a pour vocation d’accompagner ses clients à l’occasion :
Le 8 avril 2016, le nouveau Règlement Général sur la Protection des Données (RGPD) a été adopté (entrée en vigueur le 25 mai 2018), harmonisant au plan européen la législation en matière de protection des données à caractère personnel (DCP).
En qualité de règlement européen, il est d’application directe en France sans besoin de transposition en droit national. Il a vocation à prendre en compte les évolutions récentes en matière de traitements de DCP.
En tant que responsable de traitement, chaque entreprise est dans l’obligation d’ici la date fixée pour son entrée en vigueur de se mettre en conformité avec les nouvelles dispositions du RGPD.
En cas de contrôle par la CNIL, les entreprises devront être en mesure de prouver le respect des nouvelles dispositions. L’Union Européenne ayant souhaité se doter d’un outil de régulation efficace, les sanctions attachées au non-respect des dispositions du RGPD s’inscrivent dans une logique de dissuasion.
Selon les manquements reprochés au responsable du traitement, les sanctions pour les entreprises peuvent aller jusqu’à 4% du chiffre d’affaire annuel mondial de l’exercice précédent.
En cas d’appartenance à un groupe, le risque existe que la sanction administrative soit assise non pas sur le seul chiffre d’affaire de la filiale contrôlée mais soit élargie, dans certains cas, au chiffre d’affaire du groupe.
Le RGPD opère de grands changements concernant le traitement des DCP. Même si les principes issus de la loi du 6 janvier 1978 dite informatique et libertés restent en vigueur, la philosophie change totalement : les formalités à accomplir auprès de la CNIL disparaissent sauf exception et la responsabilité des responsables de traitements est en contrepartie renforcée.
Le législateur passe en effet d’un système de contrôle a priori à un système de contrôle a posteriori. Autrement dit, seuls les principes sont énoncés, les responsables de traitements devant faire leur affaire de la conformité de leur entreprise au RGPD afin de garantir le droit de tout citoyen européen à la protection de ses DCP.
Avec l’entrée en vigueur du RGPD, les personnes dont les données sont collectées bénéficient de droits renforcés et l’entreprise contrôlée doit démontrer que dès la conception du traitement de DCP qu’elle a envisagé et par défaut, elle a pris en compte son impact éventuel sur les personnes concernées. Elle doit également justifier de ses choix chaque fois qu’elle écarte une obligation qui aurait pu peser sur elle (tenue d’un registre, étude d’impact, désignation d’un DPD (Délégué à la Protection des Données)).
Cette nouvelle philosophie nécessite la mise en place de procédures internes et la formalisation d’une documentation importante propre à permettre à l’entreprise contrôlée de justifier ses choix.
Le Cabinet CHABERT & Associés accompagne les entreprises dans le cadre de cette mise en conformité au travers de différentes étapes.
Ce pôle a pour vocation d’accompagner ses clients à l’occasion :
- D’audit des traitements de données effectués au sein de l’entreprise mais également d’audit des contrats du point de vue de la législation informatique et libertés.
- Des formalités à effectuer auprès de la CNIL. (Déclaration, autorisation...)
- De la rédaction d’outils spécifiques. (Charte des SI, charte déontologique, livre blanc, mémos d’information, mentions légales des sites Internet...)
- De l’accompagnement de l’instauration des technologies nouvelles. (Biométrie, géolocalisation, vidéosurveillance...)
- De la détermination d’une politique informatique et libertés au sein de l’entreprise.
- De la mise en place du Correspondant Informatique et Libertés. (CIL)
- D’actions de formation du personnel à la législation informatique et libertés notamment sur la cyber surveillance des salariés.
- De la réalisation de note de cadrage permettant d’éclairer de manière précise et complète le client sur une problématique précise.
- Des traitements de données de santé soumise à des exigences spécifiques.