Super User
Le RGPD, l'administrateur de la page Fan Facebook, et la Cour de Justice de l'Union Européenne
Le RGPD, l'administrateur de la page Fan Facebook, et la Cour de Justice de l'Union Européenne.
Depuis son entrée en vigueur le 25 mai dernier, nous attendions impatiemment comment le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, plus communément appelé RGPD allait s'appliquer. C'est chose faite. Et cela concerne un administrateur du réseau social Facebook.
L'affaire C-210/16.
Dans l'affaire C-210/16 Unabhängiges Landeszentrum für Datenschutz Schleswig- Holstein/Wirtschaftsakademie Schleswig-Holstein GmbH, La Cour de justice de l'Union Européenne vient d'épingler la société allemande Wirtschaftsakademie Schleswig-Holstein spécialisée dans le domaine de l'éducation et qui administrait une page facebook qui récoltait des données via la fonctionnalité Facebook Insights grâce à un fichier témoin "cookie". Installant un traceur pendant une durée de 2 ans sur les ordinateurs des visiteurs, la fonctionnalité permet de récolter leurs données et leurs habitudes.
La société allemande, qui a eu beau se retrancher derrière le manque d'information du réseau social eu égard à l'activation de cette fonctionnalité, a été reconnue comme co-responsable du traitement des données au sens du règlement et a été sommée de se mettre en conformité.
Mettez-vous donc en conformité.
Le RGPD s'applique à tous types de traitement de données allant du simple fichier papier à des fonctionnalités plus complexes s'appuyant sur les réseaux sociaux comme nous venons de le voir.
Il est donc urgent que les dirigeants d'entreprises se mettent en conformité peu importe leur taille.
Le tri, la transparence et l'information.
Au-delà de le faire savoir, tout traitement de données, aussi minime soit-il, doit être répertorié et annoncé. Sa finalité doit être claire et en lien avec les activités.
Pour cela, tout dirigeant d'entreprise, peu importe sa taille, doit mettre en place un registre recensant les traitements de données opérés dans le cadre de ses activités.
Quand il s'avère que certaines données récoltées ne sont pas en lien avec la réalisation des activités, le dirigeant a tout intérêt à ne plus les récolter.
Il doit informer aussi bien en interne (ses salariés) qu'en externe (fournisseurs, clients, prospects, visiteurs de site internet...) quels types de données il traite, à quelles fins et pendant quelle durée, nécessairement limitée. Il doit également leur réaffirmer leurs droits en tant que personnes, à l'accès, la modification et à la suppression.
Cette information prend place dans des documents qu'il communique, allant de simples chartes de confidentialité, à des documents plus techniques comme des conditions générales d'utilisation ou de vente.
Les opérations sensibles et la sécurité.
Si l'entreprise procède à des traitements de masse de données ou des opérations sensibles comme des traitements de données automatisées, des mises en place de listes noires de clients, des usages innovants en lien avec des données personnelles (objets connectés), le traitement de données sensibles (origines ethniques, santé, opinions politiques, biométrie, génétique etc...) alors elle devra obligatoirement se soumettre à une étude d'impact.
De la même manière, l'entreprise doit mettre en place des mesures de sécurité aussi bien physiques qu'informatiques de manière à assurer la sécurité des données traitées.
Les sous-traitants.
Si l'entreprise, dans le cadre de ses activités fait appel à des sous-traitants au sens du RGPD (hébergeurs de site, SSII, éditeurs de newsletters, etc...) alors elle doit s'assurer que ceux-ci sont en conformité avec le RGPD et que notamment si ces derniers transfèrent les données récoltés hors U.E, que la législation du pays concernés est conforme ou à défaut que le sous-traitant s'engage à une utilisation conforme contractuellement.
Le délégué à la protection des données (DPO).
Le chef d'entreprise a la possibilité de nommer un Délégué à la protection des données (DPO) pour tout simplement ne pas endosser le rôle de responsable légal de la conformité de son entreprise vis à vis du RGPD car les sanctions peuvent aller - sans mise en demeure préalable - à 4% du Chiffre d'Affaires mondial.
Son rôle spécifique sera d'auditer, de répertorier, de conseiller, de documenter et de répondre en cas de contrôle des administrations.
Notre Cabinet peut vous aider dans la réalisation de toutes ces démarches.