RGPD : Quelles avancées sur le droit des personnes sur leurs données ?

Le Règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (« RGPD ») a été conçu comme un cadre de protection des données solide et plus cohérent au sein de l’Union européenne.

Le RGPD entend renforcer le cadre existant en matière de données à caractère personnel, mais crée également une nouvelle ère, celle de la transparence, de la traçabilité et de l’autodétermination informationnelle.

Dans ce contexte, les personnes physiques doivent pouvoir conserver le contrôle sur leurs données et ce qui en est fait….dans la limite de l’encadrement légal.

Au cœur du nécessaire contrôle par les personnes sur leurs données, le RGPD prévoit notamment :

– le maintien les droits d’accès et de rectification
– la généralisation du droit à l’oubli
– la mise à jour du droit d’opposition aux traitements de ses données
– la création du droit à la limitation de certains traitements
– la création du droit à la portabilité des données.

Tous ces droits poussent le secteur de la banque et de l’assurance à s’interroger sur la portée des nouvelles obligations qui vont peser dans les relations avec leurs clients et avec leurs sous-traitants et partenaires.

Il devra notamment être envisagé :

– une information renforcée : l’information doit être claire, complète et adaptée au contexte de la collecte de données (sur formulaire, dans les contrats, dans les CGU…). A ce sujet, le G29 (groupe des « cnil » européennes) semble admettre la possibilité d’informer les personnes par « étapes » et par plusieurs moyens.
– une traçabilité du consentement : Le RGPD semble prévoir la fin du « consentement par défaut » qui ne serait plus considéré comme un « consentement ». C’est donc au responsable de traitement de prouver qu’il a recueilli ce consentement. Cela suppose la mise en œuvre d’outils de traçabilité des consentements en matière de traitement des données à caractère personnel, mais également la création ou mise à jour des processus organisationnels internes.
– une pris en compte de la mesure du risque : il devra être prévu d’identifier où sont les données à caractère personnel, avec qui elles sont échangées et par quels moyens. A partir de cette cartographie, il conviendra de prévoir les mesures techniques et organisationnelles adaptées aux traitements des données, et à leurs échanges avec des tiers.
– une mise à jour des contrats : les contrats devront être mis à jour en fonction de la qualité juridique des cocontractants (responsable de traitement, co-responsables, sous-traitants…) et donc des obligations liées à cette qualité.

En assistant à la journée de formation sur le RGPD dédiée aux banquiers et aux assureurs qui aura lieu le 6 février 2018, nous vous proposerons d’éclaircir ces points et de vous donner les clés pour répondre à ces interrogations de plus en plus pressantes à l’approche du 25 mai 2018 !

Yael COHEN-HADRIA
Avocat à la Cour
CABINET COHEN-HADRIA

Maître Cohen-Hadria interviendra aux côtés de spécialistes du RGPD appliqué aux banques et aux compagnies d’assurance, ainsi que de la CNIL lors de la formation sur la mise en place du RGPD qui aura lieu le mardi 6 février 2018.

Laisser un commentaire