Actualité web & High tech sur Usine Digitale

Comment respecter la protection renforcée des données personnelles imposée par l'Europe

|
Twitter Facebook Linkedin Google + Email
×

Le projet de règlement européen sur la protection des données personnelles va imposer de nouvelles obligations aux entreprises.

Comment respecter la protection renforcée des données personnelles imposée par l'Europe
Comment respecter la protection renforcée des données personnelles imposée par l'Europe © cc Roiji Ikeda - Flickr

Près de quatre ans après le début des débats, la Commission, le Parlement et le Conseil européens ont trouvé, le 15 décembre 2015, un accord sur les termes du futur règlement européen sur la protection des données à caractère personnel. Cette réforme se traduira par l’extension du champ d’application de la réglementation à de nombreuses entités situées hors de l’Union européenne (UE), l’harmonisation des règles applicables entre États membres, le renforcement des droits des personnes concernées et l’augmentation des sanctions en cas de non-conformité. Elle sera applicable deux ans après la publication du règlement, attendue au printemps 2016. Mais les entreprises concernées doivent dès maintenant analyser l’impact de ce texte sur leurs activités étant donné les changements significatifs introduits. En voici les principaux.

 

un réglement européen applicable dans tous les Etats

Tout d’abord, cette réforme prendra la forme d’un règlement européen. Celui-ci sera donc immédiatement applicable dans tous les États membres, sans texte de transposition. Seuls quelques domaines (dont le traitement de données de salariés, de numéros d’identification nationaux ou les questions de secret professionnel) pourront donner lieu à des spécificités nationales. Cette uniformisation du cadre juridique apportera de la prévisibilité et simplifiera les obligations des entreprises évoluant dans un contexte international.

 

Champ d’application étendu

Le champ d’application du nouveau règlement sera par ailleurs plus étendu que celui de la directive européenne 95/46 actuellement en vigueur. Ainsi, les nouvelles règles s’appliqueront aux entreprises établies hors de l’UE dès lors qu’elles proposent des biens ou des services à ses résidents ou surveillent leur comportement. La définition des données à caractère personnel retenue par le règlement est large. Elle inclura les données permettant d’identifier, mais aussi celles permettant de distinguer individuellement, une personne physique.

 

La mise en oeuvre

Identifier les usages de données personnelles dans l’entreprise.

Mettre en place une documentation interne sur les traitements envisagés.

Désigner un responsable de la protection des données dans l’entreprise.

Établir une stratégie de conformité et procéder à des vérifications régulières.

 

Les données génétiques seront considérées comme des données personnelles, tout comme les données biométriques permettant d’identifier une personne. Lorsqu’il est requis, le consentement sans équivoque de la personne concernée devra être clairement manifesté par une action positive. Cela pourrait se traduire par des cases à cocher ou tout autre comportement démontrant le consentement au traitement des données.

 

Le règlement impose par ailleurs aux entreprises le principe de protection de la vie privée dès la conception de toute activité, produit ou service. Si le traitement de données envisagé présente des risques élevés par rapport aux droits et libertés des personnes concernées, une étude d’impact devra être effectuée. Les autorités de régulation établiront des listes de traitements devant donner lieu à une telle étude. Seront notamment concernés le profilage systématique ou le traitement de données sensibles à grande échelle.

 

Réévaluation périodique

Les sous-traitants de données auront désormais des obligations directes. Dont celle de documenter leur intervention dans les traitements de données personnelles et d’informer les responsables de traitement en cas de violation de ces données. Le règlement établit également de nouveaux droits pour les personnes concernées, dont un droit à la portabilité des données, un "droit à l’oubli" et un droit à l’opposition au profilage.

 

Sur les transferts internationaux de données, la Commission européenne devra réévaluer périodiquement le niveau de protection des données des pays considérés comme offrant une protection adéquate. Les accès par des autorités étrangères à des données personnelles de résidents de l’UE seront possibles uniquement dans le cadre d’un accord international.

 

Autre nouveauté : dans certains cas, responsables de traitement et sous-traitants devront désigner un responsable de la protection des données. Notamment si les principales activités de l’entreprise incluent la surveillance régulière ou systématique de personnes, ou le traitement de données sensibles à grande échelle.

 

En matière de violation de données personnelles, le règlement généralise une obligation de notification de ces violations à l’autorité de protection des données dans les 72 heures et aux personnes concernées en cas de risque significatif pour leur vie privée. Enfin, en cas de non-respect des dispositions du règlement, les amendes administratives seront désormais conséquentes – jusqu’à 20 millions d’euros, et jusqu’à 4 % du chiffre d’affaires mondial pour les entreprises.

 

Il est donc urgent pour ces dernières d’adapter dès à présent leur stratégie de conformité en matière de traitement des données personnelles et de préparer l’entrée en vigueur au règlement.

 

Par Olivier Haas, avocat chez Jones Day

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

Publicité

à la une

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale