02 41 81 31 54

Degez Kerjean Avocats : propriété intellectuelle, droit du numérique, RGPD, contrats commerciaux et distribution à Angers, Nantes, Rennes, Tours, Bordeaux, Paris - Actualités

Le RGPD ou quelques bonnes raisons de se décontracter !

Publié 15 juin 2018

Pour les PME/TPE, le RGPD est en réalité beaucoup plus simple à mettre en œuvre que ce qui est souvent dit ou écrit depuis des mois.

Les PME n’ont pas le même type d’activité avec les données personnelles dans le cadre de leurs activités habituelles de fabrication et distribution que les GAFA et autres dont l’activité de base est fondée sur la collecte massive, à grande échelle, de données et/ou le profilage.

Le RGPD distingue bien ces activités et les obligations pour les uns et les autres ne sont pas les mêmes !

Il nous semble utile de rappeler les termes précis du RGPD et de combattre quelques idées reçues :

  • « Le consentement est obligatoire »: NON, le consentement n’est pas obligatoire – le RGPD n’a aucunement posé le principe d’un consentement généralisé- et il n’est pas non plus l’unique fondement licite possible d’un traitement de données.

Il suffit de lire l’article 6 du RGPD dans son entier pour trouver les CINQ autres fondements possibles (article 6 b) à f)).

Toute collecte et tout traitement de données n’a donc pas à recueillir préalablement et systématiquement le consentement de la personne pour constituer un traitement licite.

Non seulement le consentement n’est pas obligatoire et préalable, mais en plus c’est un système compliqué, lourd à mettre en œuvre et à gérer. Ce fondement ne nous semble pas le mieux adapté aux PME.

Le RGPD prévoit d’autres fondements possibles pour assurer la licéité d’un fichier (traitement de données personnelles), qui sont bien plus intéressant et surtout bien moins compliqués à mettre en œuvre que le recueil du consentement et sa gestion.

_ L’exécution d’un contrat ou de mesures pré-contractuelles:

La collecte de données personnelles nécessaire à l’exécution d’un contrat ne requiert pas de consentement de la personne. Ces données sont nécessaires à l’exécution du contrat. Un traitement de données pour ce motif constitue un fondement licite (et SANS consentement) ;

_ Nécessité aux fins d’intérêts légitimes :

Une entreprise de fabrication et vente de produits prospecte de nouveaux clients et organise le contact régulier avec ses clients habituels. Ainsi elle propose une page de contact sur son site où elle recueille les données de toute personne qui souhaite recevoir un catalogue ; elle envoie des invitations ou des avis de remises à ses clients etc… Tout ceci relève de l’activité usuelle, habituelle de tout commerçant.

Le RGPD estime que la liberté du commerce est un intérêt légitime à prendre en compte. Le RGPD vise à établir un équilibre entre les droits de la personne dont les données sont collectées de ceux de l’entreprise qui les collecte et les utilise.

 

  • « Il faut nommer un DPO » : Le DPO n’est obligatoire que dans des cas limités et précis. La plupart des entreprises ne seront pas dans ces cas-là.

L’article 37 indique que le DPO est obligatoire lorsque les activités de base de l’entreprise consistent en des opérations de traitement qui du fait de leur nature, de leur portée et/ou finalités, exigent un suivi régulier et systématique et à grande échelle des personnes concernées. Selon ces conditions, la plupart des PME/TPE qui ne font pas de la collecte massive et pas pour leurs traitements de base de leur activité n’auront pas besoin de recourir aux services d’un DPO.

 

  • En revanche certains points sont peu évoqués. Ils sont pourtant importants pour les PME/TPE, en particulier :

Le Registre des traitements : Quand bien même le RGPD ne l’impose pas pour les entreprises de moins de 250 personnes (article 30- 5.) , il vaut mieux –dans les faits- créer, documenter et mettre à jour régulièrement ce registre des traitements. Ceci permettra d’identifier les traitements, de documenter en quoi ils ne constituent pas une atteinte aux droits des personnes et de vérifier le niveau de sécurité adéquat. Tout traitement devra y être répertorié, son fondement précisé et ses modalités d’exploitation conformes à sa destination. Le niveau de sécurité devra être précisé et adapté à la nature des données concernées.

Le Droit d’opposition à prospection : Prévu à l’article 21- 2. , ce droit nouveau est fondamental. Il est peu mis en valeur. Pourtant il peut modifier sensiblement les politiques commerciales des entreprises. Toute personne peut s’opposer à tout moment au traitement de ses données à caractère personnel lorsqu’elles sont traitées à des fins de prospection. Lorsque la personne s’oppose au traitement à des fins de prospection, ses données ne devront plus être traitées à ces fins [de prospection]. Ceci constitue une obligation de résultat pour l’entreprise qui devra donc s’organiser pour que ce droit soit respecté sous peine d’encourir des sanctions.  C’est un moyen pour toute personne de bloquer les publicités ou le démarchage à des fins de prospection.

 

Me Sylvie DEGEZ, titulaire de la mention de spécialisation en droit des technologies de l’informatique et de la communication, et Me Olivia BELOUIN vous conseillent et vous aident dans toutes vos démarches RGPD : audit, analyse de vos traitements, création de votre registre de traitement et mise en place de vos obligations de sécurité et droits des personnes, en collaboration avec vos équipes informatiques ou avec le partenaire informatique avec lequel le cabinet DEGEZ-KERJEAN Avocats travaille.