1 La réforme du droit des données à caractère personnel Adoption

La réforme du droit des données à caractère personnel
Adoption du règlement n°2016/679 du 27 avril 2016
1.
CONTEXTE
Ce nouveau règlement, aboutissement de quatre années de réflexion et de travaux, opère
une réforme complète des dispositions européennes relatives à la protection des données à
caractère personnel.
Entré en vigueur le 25 mai 2016, il abroge la directive n°95/46 du 24 octobre 1995. Ses
dispositions seront applicables dès le 25 mai 2018, ce qui laisse deux ans seulement aux
entreprises pour se mettre en conformité avec ces nouvelles règles.
Le Règlement concerne tous les traitements de données à caractère personnel, qu’ils soient
automatisés ou non, dès lors que le responsable de traitement ou son sous-traitant dispose
d’un établissement au sein de l’UE.
Quelles en sont les principales nouveautés ?
2.
ETUDES D’IMPACT, REGISTRES ET PROCEDURES
Désormais, les traitements de données susceptibles d'engendrer un risque élevé pour les
droits et libertés des personnes physiques sont obligatoirement précédés d'une analyse
d'impact et le cas échéant de la consultation de la CNIL.
Seuls les traitements qui ne présentent pas un tel risque y échappent. Sont notamment
concernés par l’étude d’impact préalable, la vidéosurveillance des lieux publics, le profilage
ainsi que les traitements de données de santé.
Le règlement supprime toute obligation de déclaration ou d'autorisation préalable. Ce qui ne
signifie bien sûr pas que les entreprises peuvent s'en dispenser jusqu'en mai 2018. Les
formalités préalables prévues par la loi du 6 janvier 1978 modifiée sont donc toujours
obligatoires et durant deux années.
Le responsable de traitement et son sous-traitant devront impérativement tenir un registre
des traitements effectués, qui sera mis à la disposition de la CNIL, et qui comprendra toutes
les caractéristiques des traitements concernés.
Seules les entreprises de moins de 250 salariés sont exemptées de cette obligation, à moins
que les traitements effectués soient susceptibles de présenter un risque pour les droits et
libertés des individus, ou qu’ils ne soient pas seulement occasionnels ou encore qu’ils
comportent des données sensibles.
Tout responsable de traitement doit par ailleurs mettre en œuvre des mesures techniques et
organisationnelles appropriées pour s'assurer que les traitements de données interviennent
conformément au Règlement. Il doit également être en mesure de le démontrer, le cas
échéant par un code de bonne conduite ou des procédures internes.
1
Toute entreprise est donc concernée par la mise en place de process visant à la fois à garantir
le respect du texte et permettre la démonstration de cette conformité.
3.
LES CONTRATS
Le Règlement consacre la notion de responsables conjoints de traitement, c’est à dire deux
ou plusieurs responsables de traitement qui déterminent ensemble les finalités et les moyens
du traitement.
Il prévoit que l'accord de tous les responsables de traitement doit définir de manière
transparente leurs rôles et leurs obligations respectives aux fins d'assurer le respect du texte
notamment quant aux droits des personnes dont les données sont traitées. Celles-ci auront
d'ailleurs communication des « grandes lignes » de l'accord en question, ce qui ne manquera
pas d’impacter de manière significative sa rédaction.
Le Règlement toilette le rôle et les obligations du sous-traitant, qui désormais devra lui aussi
tenir un registre des traitements.
Il précise que le responsable de traitement doit impérativement choisir un opérateur qui
présente toutes les garanties suffisantes quant à la mise en œuvre de mesures techniques et
organisationnelles appropriées de manière à ce que le traitement réponde aux exigences du
règlement. Toute sous-traitance en chaîne devra par ailleurs recevoir l'accord préalable du
responsable du traitement.
Le contrat qui lie le responsable du traitement et le sous-traitant comporte impérativement
l'énonciation des caractéristiques du traitement et fait figurer parmi les obligations
nombreuses du sous-traitant, celle de permettre la réalisation d'audits de conformité.
4.
LE DELEGUE A LA PROTECTION DES DONNEES
Le Règlement rend obligatoire la désignation d'un délégué de protection des données (DPO)
- qui n'est pas le Correspondant Informatique et Libertés de la loi française - par tout
responsable de traitement et tout sous-traitant placés dans l’un des cas suivants :

être un acteur public ou ;

exercer une ou des « activités de base » qui consistent en des opérations de
traitement supposant un suivi régulier et systématique « à grande échelle » des
personnes ou ;

mettre en œuvre « un traitement à grande échelle » de données particulières, telles
que les données de santé.
Sa désignation est facultative dans les autres cas mais est parfois recommandée. Par ailleurs
un même groupe d’entreprises est autorisé à ne désigner qu’un seul DPO.
Celui-ci, soumis au secret professionnel ou à une obligation de confidentialité, est au moins
chargé des cinq missions suivantes : informer et conseiller le responsable traitement et le
sous-traitant sur leurs obligations découlant du règlement, contrôler son respect, vérifier
l'exécution des études d'impact, coopérer avec la CNIL et constituer son point de contact.
2
5.
DROITS DES PERSONNES/OBLIGATIONS DES ENTREPRISES
Les droits des personnes sont considérablement renforcés par le Règlement sur plusieurs
points.
Tout d'abord, la liste des informations qui doivent impérativement être portées à leur
connaissance est très nettement allongée : base juridique du traitement, durée de
conservation, informations sur leurs droits découlant du Règlement, informations sur un
profilage éventuel…
Ensuite, les droits des personnes sont aménagés (droit d'opposition) ou complétés,
notamment par l’introduction d’un droit à l'effacement (droit à l'oubli) lorsque les données
ne sont plus nécessaires à la poursuite de la finalité initiale ou lorsque le consentement au
traitement est retiré, ou encore lorsque le fondement juridique du traitement disparu.
Le droit à la portabilité des données fait son apparition, qui oblige concrètement les
entreprises à transmettre le moment venu à un autre responsable de traitement et dans un
format adéquat, toutes les données se rapportant à une personne physique déterminée.
Elles sont également tenues informées en cas de piratage des données qui les concernent.
Le règlement prévoit aussi que tout individu pourra être représenté par un organisme ou une
association pour introduire en son nom une réclamation, ce qui ne peut que les faciliter et les
encourager.
6.
DES SANCTIONS PECUNIAIRES AGGRAVEES
Les sanctions encourues en cas de non-respect de la réglementation de protection des
données à caractère personnel sont considérablement aggravés. Elles pourront s'élever
jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaire mondial si cette seconde valeur est
supérieure. Elles peuvent bien sûr être accompagnées de tous dommages et intérêts qui
répareraient le préjudice subi.
*
*
*
3