Actualité web & High tech sur Usine Digitale

En attendant le règlement européen sur les données personnelles... "l’essentiel fait vertu"

|
Twitter Facebook Linkedin Google + Email
×

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, regard sur le nouveau réglement européen  sur la protection des données personnelles.

En attendant le règlement européen sur les données personnelles... l’essentiel fait vertu
En attendant le règlement européen sur les données personnelles... "l’essentiel fait vertu" © cc Roiji Ikeda - Flickr

On pourrait aujourd’hui dire que "Nul n’est censé ignorer... les principes de protection des données personnelles !".

Le sujet "données personnelles" est au cœur de débats sociétaux (écoutes NSA/Affaire Snowden, invalidation du Safe Harbor), économiques (big data) et juridiques avec la refonte du cadre de protection quelque peu obsolète et donc inadapté.

 

Un réglement à transcire en 2018

Le remplacement de l’actuelle directive (Directive 95/46/CE du 24 octobre 1995) par un nouveau Règlement européen sur la protection des données (sous l’acronyme glamour de RGPD) a pris un tour nouveau après quatre années de débats et travaux et, enfin… le voilà ! C’est en effet le 15 décembre 2015 que la version finale du texte de compromis du Règlement européen sur la protection des données a été rendue publique. On parle de l’adoption définitive du texte pour juin 2016 et de son entrée en vigueur sous 2 ans … Cela signifie pour la France la fin de la loi "Informatique et Libertés" et de son décret d’application. Le RGDP s’appliquera à l’identique dans tous les Etats membres.

 

Décrire le règlement par le menu n’a actuellement pas d’intérêt, au risque d’une bonne indigestion… mais un guide de lecture de ses exigeantes dispositions pourra vite s’imposer, notamment afin de déterminer les priorités du chantier conformité au RGPD. La nouvelle réglementation est complexe. Alors voici donc quelques changements à anticiper :

 

Le responsable de traitement n’est plus seul

Le cadre actuel de la protection des données personnelles (Loi "Informatique et Libertés" pour la France) ne connaît que le responsable de traitement qui porte bien son nom puisqu’il engage seul sa responsabilité (pénale, administrative) en cas de manquement avéré aux exigences posées. Le RGPD ouvre la voie du partage ce qui signifie que de nouvelles exigences incombent directement au sous-traitant au titre de la conformité légale des traitements dont il assure la mise en œuvre (obligation d’un contrat ou tout acte juridique opposable, désignation d’un délégué…).

 

Le contrôle a priori des traitements ne relève plus de la CNIL

Fini les formalités déclaratives des traitements de données à adresser à la CNIL, c’est désormais au responsable qu’il revient de réaliser le contrôle a priori des traitements. Concrètement, l’entreprise devra procéder à une analyse d’impact préalablement à la mise en œuvre de tout traitement de données personnelles compte tenu de la nature, du contenu, du contexte, des finalités du traitement et surtout s’il existe un risque élevé pour la vie privée des personnes concernées.

 

Le RGPD prévoit que certains traitements nécessiteront d’emblée une analyse d’impact (par exemple pour les données sensibles ou pénales ou en cas de surveillance à grande échelle de zones accessibles au public), la liste des traitements concernés ayant vocation à évoluer dans le temps (au fil des nouvelles inscriptions à l’initiative des autorités de contrôle européennes).

 

Mais de très lourdes sanctions possibles

Alors quel rôle pour la CNIL ? C’est uniquement lorsque l’analyse d’impact révèle un risque élevé pour la vie privée que le responsable de traitement sera tenu de consulter l’autorité de contrôle afin qu’elle le conseille sur les mesures de sécurité. Attention toutefois car cette nouvelle "liberté d’appréciation de la criticité de ses traitements" du responsable de traitement reste très encadrée. De fait, la CNIL pourra toujours interdire le traitement ou ordonner toute mesure de mise en conformité jugée utile … sans oublier, la possibilité de sanctionner. Très lourdement d’ailleurs puisqu’il est question de 10.000.000 d’euros ou 2% du CA mondial du responsable de traitement incriminé (en fonction de la gravité du manquement).

 

Désignation d’un DPO obligatoire dans certains cas

Le RGPD prévoit 3 situations de désignation obligatoire d’un délégué à la protection des données (autorité publique, traitement de données sensibles ou pénales, en cas de surveillance à grande échelle), étant noté que cette liste n’est pas figée … Si des zones d’ombre persistent (fin de la mission et responsabilité), des précisions importantes sont apportées en ce qui concerne les missions confiées et la place stratégique du DPO au sein de l’organisme (rattachement à la direction). Les actuels Correspondants désignés sont bien sûr naturellement pressentis car la fonction évolue très clairement vers l’expertise. Cela étant le nouveau positionnement du DPO au sein de l’entreprise pourrait bien attiser les convoitises.

 

Toute violation des données à notifier à la CNIL

Le RGPD étend l’obligation de notifier les violations de données personnelles à l’ensemble des responsable de traitement (aujourd’hui exclusivement applicable au secteur des communications électroniques). Un premier point de vigilance tient à définition de la violation qui est très large (en ce compris la destruction accidentelle ou la perte des données). La seconde alerte a trait aux délais impartis pour notifier : dans la limite de 72 heures après en avoir eu connaissance à l’autorité de contrôle (CNIL), et, en cas de persistance d’un risque élevé pour la vie privée, sans délai à la personne concernée. Enfin, une attention particulière doit être accordée aux pouvoirs d’appréciation in situ de la CNIL. 

 

Conformité au Règlement = documentation des procédures et mesures de protection

La démarche n’est pas qu’intellectuelle mais bel et bien pratique car le responsable de traitement devra pouvoir rapporter la preuve de la conformité légale de ses traitements avant leur mise en œuvre (Privacy by design, Analyse d’impact) et pendant tout le cycle de vie des données personnelles (registre des traitements, politique de protection des données, contrat de sous-traitance). En une seule phrase : la documentation est le sésame de la conformité au RGPD.

 

Et plus que jamais en hommage  à Jean de la Fontaine : Rien ne sert de courir ; il faut partir à point.

 

Isabelle CANTERO, Avocat, spécialisée en "Vie privée et données personnelles"

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

2 commentaires

Laure MARINO

23/02/2016 11h07 - Laure MARINO

Bonjour, Je me permets de signaler une petite erreur dans l'article : les sanctions pourront aller jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires mondial (et non pas 10 millions ou 2 %).

Répondre au commentaire | Signaler un abus

CANTERO Isabelle

06/05/2016 09h48 - CANTERO Isabelle

Bonjour, Effectivement, les sanctions maximales (jusqu'à 20 millions d'euros ou 4% du CA mondial) sont prévues notamment pour la violation des principes de base, des droits des personnes, des transferts (...). Toutefois, les sanctions maximales prévues pour l'obligation d'analyse d'impact (objet du paragraphe concerné) sont bien de 10 millions d'euros ou 2% du CA mondial. Cela étant, au vu du titre du paragraphe, je vous remercie d'avoir balayé cette possible confusion.

Signaler un abus

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale