Le réglement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 ^(A) relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, (dit « RGPD ») est entré en vigueur le 25 mai 2018 dans tous les états membres de l'Union européenne.

Ce réglement a pour objet de responsabiliser les responsables de traitements ⁽¹⁾ et les sous-traitants. L'allègement des formalités préalables à la mise en oeuvre des traitements de données à caractère personnel auprés de la commission nationale de l'informatique et des libertés (CNIL) s'accompagne d'une responsabilisation renforcée des acteurs qui se traduit notamment par la prise en compte de la protection des données dès la conception du traitement.

Il vise par ailleurs à renforcer les droits des personnes (droit d'accès, de rectification aux données) et faciliter leur exercice auprès des responsables de traitement qui voient ainsi leurs obligations à leurs encontre étendues.

Dans le cadre de sa mission d'accompagnement et de conseil, la déléguée à la protection des données [(DPD) ⁽²⁾] a élaboré avec ses services une instruction afin de faciliter la compréhension et l'application de cette nouvelle règlementation en matière de protection des données et son application au ministère des armées.

Cette instruction décrit d'une part la mise en oeuvre des obligations qu'impose le règlement aux responsables de traitement, notamment le tenue du registre des traitements dans le système d'information ministériel Sicl@de, la mise en place des mesures de sécurité adéquates ⁽³⁾ sur les données à caractère personnel faisant l'objet d'un traitement ; la réalisation d'une analyse d'impact ⁽⁴⁾ pour certains traitements présentant un risque élevé pour les droits et libertés des personnes ; la mise en oeuvre des droits des personnes ⁽⁵⁾ concernées par un traitement de leurs données à caractère personnel : droit d'accès, de rectification, de suppression des données traitées ; la prise en compte des obligations liées à la sous-traitance ⁽⁶⁾.

Elle précise d'autre part l'organisation ministérielle mise en place pour assurer le respect des dispositions du RGPD. Elle décrit à ce titre le rôle et les responsabilités de chaque acteur :

• le responsable de traitement. Il porte la responsabilité juridique des fichiers relevant de son périmètre. Il met en oeuvre les obligations définies dans le RGPD en s'appuyant sur un représentant qu'il désigne et qui sera le point de contact du DPD, sur les questions relatives à l'application du règlement ;

• le délégué à la protection des données. Il assure une mission d'accompagnement et de conseil des entités. Il est le relai de la CNIL. Il peut procéder à des contrôles destinés à garantir le respect des dispositions du RGPD par l'ensemble des responsables de traitement du ministère ;

• la direction générale du numérique et des systèmes d'information et de communication (DGNUM) apportera un soutien essentiel au DPD dans le cadre de la mise en oeuvre de l'obligation de sécurisation des traitements de données à caractère personnel en étant associée systématiquement au processus de réalisation des analyses d'impact. Elle pourra également être sollicitée par le DPD pour lui apporter son concours dans ses missions d'accompagnement et de contrôle.

L'instruction sera complétée d'un guide pratique du responsable de traitement, qui sera mis à la dispositions des états-majors, directions et service du ministère sur l'espace intranet dédié au RGPD ⁽⁷⁾.