1 La réforme du droit des données à caractère personnel Adoption
Transcription
1 La réforme du droit des données à caractère personnel Adoption
La réforme du droit des données à caractère personnel Adoption du règlement n°2016/679 du 27 avril 2016 1. CONTEXTE Ce nouveau règlement, aboutissement de quatre années de réflexion et de travaux, opère une réforme complète des dispositions européennes relatives à la protection des données à caractère personnel. Entré en vigueur le 25 mai 2016, il abroge la directive n°95/46 du 24 octobre 1995. Ses dispositions seront applicables dès le 25 mai 2018, ce qui laisse deux ans seulement aux entreprises pour se mettre en conformité avec ces nouvelles règles. Le Règlement concerne tous les traitements de données à caractère personnel, qu’ils soient automatisés ou non, dès lors que le responsable de traitement ou son sous-traitant dispose d’un établissement au sein de l’UE. Quelles en sont les principales nouveautés ? 2. ETUDES D’IMPACT, REGISTRES ET PROCEDURES Désormais, les traitements de données susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques sont obligatoirement précédés d'une analyse d'impact et le cas échéant de la consultation de la CNIL. Seuls les traitements qui ne présentent pas un tel risque y échappent. Sont notamment concernés par l’étude d’impact préalable, la vidéosurveillance des lieux publics, le profilage ainsi que les traitements de données de santé. Le règlement supprime toute obligation de déclaration ou d'autorisation préalable. Ce qui ne signifie bien sûr pas que les entreprises peuvent s'en dispenser jusqu'en mai 2018. Les formalités préalables prévues par la loi du 6 janvier 1978 modifiée sont donc toujours obligatoires et durant deux années. Le responsable de traitement et son sous-traitant devront impérativement tenir un registre des traitements effectués, qui sera mis à la disposition de la CNIL, et qui comprendra toutes les caractéristiques des traitements concernés. Seules les entreprises de moins de 250 salariés sont exemptées de cette obligation, à moins que les traitements effectués soient susceptibles de présenter un risque pour les droits et libertés des individus, ou qu’ils ne soient pas seulement occasionnels ou encore qu’ils comportent des données sensibles. Tout responsable de traitement doit par ailleurs mettre en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer que les traitements de données interviennent conformément au Règlement. Il doit également être en mesure de le démontrer, le cas échéant par un code de bonne conduite ou des procédures internes. 1 Toute entreprise est donc concernée par la mise en place de process visant à la fois à garantir le respect du texte et permettre la démonstration de cette conformité. 3. LES CONTRATS Le Règlement consacre la notion de responsables conjoints de traitement, c’est à dire deux ou plusieurs responsables de traitement qui déterminent ensemble les finalités et les moyens du traitement. Il prévoit que l'accord de tous les responsables de traitement doit définir de manière transparente leurs rôles et leurs obligations respectives aux fins d'assurer le respect du texte notamment quant aux droits des personnes dont les données sont traitées. Celles-ci auront d'ailleurs communication des « grandes lignes » de l'accord en question, ce qui ne manquera pas d’impacter de manière significative sa rédaction. Le Règlement toilette le rôle et les obligations du sous-traitant, qui désormais devra lui aussi tenir un registre des traitements. Il précise que le responsable de traitement doit impérativement choisir un opérateur qui présente toutes les garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du règlement. Toute sous-traitance en chaîne devra par ailleurs recevoir l'accord préalable du responsable du traitement. Le contrat qui lie le responsable du traitement et le sous-traitant comporte impérativement l'énonciation des caractéristiques du traitement et fait figurer parmi les obligations nombreuses du sous-traitant, celle de permettre la réalisation d'audits de conformité. 4. LE DELEGUE A LA PROTECTION DES DONNEES Le Règlement rend obligatoire la désignation d'un délégué de protection des données (DPO) - qui n'est pas le Correspondant Informatique et Libertés de la loi française - par tout responsable de traitement et tout sous-traitant placés dans l’un des cas suivants : être un acteur public ou ; exercer une ou des « activités de base » qui consistent en des opérations de traitement supposant un suivi régulier et systématique « à grande échelle » des personnes ou ; mettre en œuvre « un traitement à grande échelle » de données particulières, telles que les données de santé. Sa désignation est facultative dans les autres cas mais est parfois recommandée. Par ailleurs un même groupe d’entreprises est autorisé à ne désigner qu’un seul DPO. Celui-ci, soumis au secret professionnel ou à une obligation de confidentialité, est au moins chargé des cinq missions suivantes : informer et conseiller le responsable traitement et le sous-traitant sur leurs obligations découlant du règlement, contrôler son respect, vérifier l'exécution des études d'impact, coopérer avec la CNIL et constituer son point de contact. 2 5. DROITS DES PERSONNES/OBLIGATIONS DES ENTREPRISES Les droits des personnes sont considérablement renforcés par le Règlement sur plusieurs points. Tout d'abord, la liste des informations qui doivent impérativement être portées à leur connaissance est très nettement allongée : base juridique du traitement, durée de conservation, informations sur leurs droits découlant du Règlement, informations sur un profilage éventuel… Ensuite, les droits des personnes sont aménagés (droit d'opposition) ou complétés, notamment par l’introduction d’un droit à l'effacement (droit à l'oubli) lorsque les données ne sont plus nécessaires à la poursuite de la finalité initiale ou lorsque le consentement au traitement est retiré, ou encore lorsque le fondement juridique du traitement disparu. Le droit à la portabilité des données fait son apparition, qui oblige concrètement les entreprises à transmettre le moment venu à un autre responsable de traitement et dans un format adéquat, toutes les données se rapportant à une personne physique déterminée. Elles sont également tenues informées en cas de piratage des données qui les concernent. Le règlement prévoit aussi que tout individu pourra être représenté par un organisme ou une association pour introduire en son nom une réclamation, ce qui ne peut que les faciliter et les encourager. 6. DES SANCTIONS PECUNIAIRES AGGRAVEES Les sanctions encourues en cas de non-respect de la réglementation de protection des données à caractère personnel sont considérablement aggravés. Elles pourront s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaire mondial si cette seconde valeur est supérieure. Elles peuvent bien sûr être accompagnées de tous dommages et intérêts qui répareraient le préjudice subi. * * * 3