Dix points-clés du règlement européen sur les données à caractère personnel

Publié le 16/05/2016 - CIO Online - S. Foulgoc

Pour lire l’article de Stéphanie Foulgoc et d’Etienne Papin du 16 mai 2016 pour CIO Online.

Pour en savoir plus sur nos compétences en Données Personnelles et Vie Privée.

Les réponses aux 10 questions qui se posent après l’adoption du règlement européen sur les données à caractère personnel

Il y eut la loi du 6 janvier 1978, celle du 6 août 2004 qui réforma la première, il y a maintenant le Règlement du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Ce règlement européen est un texte à effet direct, c’est-à-dire qu’il n’y a pas besoin de loi nationale pour le transposer. Il sera directement applicable sur l’ensemble du territoire de l’Union européenne le 25 mai 2018. Les entreprises ont donc deux années entières pour s’y préparer.

Voici les réponses aux 10 principales questions que pose le règlement.

1°/ Avec l’adoption du nouveau règlement, quelles sont les formalités obligatoires pour les entreprises pour traiter des données personnelles ?

La logique du nouveau règlement est la suppression des formalités préalables auprès des autorités de contrôle (la CNIL en France). Sauf exception, il n’y a donc plus de déclaration ou de demandes d’autorisation préalable à la mise en place de traitements de données à caractère personnel.

Mais les entreprises restent tenues de mettre en place un formalisme important dans la mise en œuvre des traitements de données à caractère personnel.

Le concept nouveau de « privacy by design » introduit par le Règlement impose aux entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées aux enjeux et aux droits des personnes dont les données sont traitées dès la détermination des moyens du traitement, puis pendant le traitement.

Concrètement, les spécifications mêmes des applications qui traitent les données et leurs procédures d’exploitation devront prendre en compte les règles de protection des données personnelles édictées par le Règlement. Cette documentation devra exister et être mise à disposition de la CNIL en cas de contrôle.

De plus, chaque responsable de traitements doit mettre en place un « registre des activités de traitement » contenant un certain nombre d’informations sur les traitements mis en place.

Avant la mise en œuvre de traitements recourant à de « nouvelles technologies » et susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, les responsables de traitement doivent également effectuer une analyse d’impact. Les autorités de contrôle devront publier une liste de types de traitement pour lesquels une telle analyse d’impact est requise et le règlement précise les actions à diligenter dans le cadre d’une telle analyse.

2°/ Est-ce que les conditions de licéité de la collecte de données personnelles changent ?

Les principes posés depuis la loi Informatique et Libertés du 6 janvier 1978 restent les mêmes : proportionnalité des données collectées par rapport à la finalité du traitement, loyauté de la collecte, droit d’opposition des personnes concernées, interdiction de principe de la collecte de données sensibles.

En revanche, le devoir d’information des personnes concernées et les cas dans lesquels leur consentement est nécessaire avant la collecte de leurs données ont été renforcés.

3°/ Que va devenir la CNIL ?

La CNIL ne disparaît pas mais la fonction des autorités nationales de contrôle est totalement réinventée.

La CNIL ne sera plus destinataire de formalités préalables telles que les déclarations et autorisation, sauf rares exceptions, mais aura en revanche toujours pour mission de contrôler la bonne mise en œuvre du règlement.

Le règlement insiste également sur les missions de sensibilisation du public et d’information, ainsi que de conseil auprès des gouvernements, parlements et autres autorités nationales, ainsi que sur le devoir de coopération des autorités de contrôle entre elles.

Les autorités de contrôle seront ainsi le relai national garant de la bonne mise en œuvre de la politique européenne en matière de traitement des données à caractère personnel. Si une entité est présente dans plusieurs Etats-Membres, le règlement prévoit que l’autorité de contrôle de l’établissement principal est « autorité de contrôle chef de file » s’agissant du contrôle des traitements, même transfrontaliers, mis en place par cette entité.

La CNIL conservera par ailleurs d’importants pouvoirs d’enquête ainsi que de sanction (amendes administratives ou mise en place de mesures de mises en conformité avec le règlement).

4°/ L’entreprise doit-elle désigner un délégué à la protection des données ?

Le « Délégué à la protection des données » est le nouveau Correspondant Informatique et Libertés (CIL).

La désignation d’un tel délégué à la protection des données est obligatoire :

  • lorsque le responsable de traitement est un organisme public ;
  • lorsque l’activité du responsable de traitement ou du sous-traitant « exige un suivi régulier et systématique à grande échelle des personnes concernées » ;
  • ou encore lorsque l’activité du responsable de traitement ou du sous-traitant consiste en un « traitement à grande échelle » de données particulières telles que des données de santé, données sur l’opinion politique ou religieuse, l’orientation sexuelle, etc.

Au sein d’un groupe d’entreprise, il est possible de ne désigner qu’un seul délégué à la protection des données.

Le délégué à la protection des données peut être un membre du personnel de l’entité pour laquelle il est désigné ou être un prestataire externe.

5°/ Quelles sont les obligations lorsque l’entreprise a recours à un sous-traitant ?

Le règlement indique que le responsable de traitement doit faire uniquement appel à des sous-traitants qui présentent des garanties suffisantes.

Le contrat de sous-traitance devra contenir un certain nombre de dispositions impératives et notamment prévoir que le sous-traitant ne traite des données personnelles que sur instruction documentée du responsable de traitement, y compris s’agissant des transferts de données hors Union européenne et qu’il prenne toutes les mesures appropriées en matière de sécurité, qu’il restitue ou supprime toutes les données au terme de la prestation, etc. Le sous-traitant devra en outre répercuter ses obligations sur ses propres sous-traitants.

6°/ Quelles sont les obligations d’une entreprise en cas de fuite de données personnelles ?

Le règlement met en place un mécanisme de notification à l’autorité de contrôle compétente (en France la CNIL) des violations de données à caractère personnel par le responsable de traitement dans les 72 heures après avoir eu connaissance d’une telle violation. Tout retard devra être justifié.

Une violation peut consister en la destruction, la perte, l’altération, la divulgation ou l’accès non-autorisé à des données.

Le sous-traitant doit, quant à lui, notifier au responsable de traitement toute violation dont il a connaissance, et ce, dans les meilleurs délais.

Lorsque la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour la personne concernée, le responsable de traitement doit l’informer de cette violation dans les meilleurs délais.

7°/ Comment devront être opérés les transferts de données à l’étranger ?

Sur ce point, le règlement européen n’apporte aucun bouleversement : au sein des groupes d’entreprises, les transferts hors Union européenne devront être encadrés par des règles d’entreprises contraignantes approuvées par l’autorité de contrôle compétente (« Binding Corporate Rules »).

Certains pays peuvent se voir reconnaître par la Commission européenne un niveau de protection adéquat.

Les transferts vers les Etats-Unis peuvent se faire dans le cadre du Privacy Shield (voir notre précédent article à ce sujet).

Dans les autres cas, le responsable de traitement ou le sous-traitant qui souhaite transférer des données vers des pays tiers doit prévoir des garanties appropriées, qui sont décrites par le règlement, et prévoir que les personnes concernées disposent de droits opposables et de voies de droit effectives. Dans de tels cas, une autorisation préalable d’une autorité de contrôle compétente n’est pas requise.

8°/ Une société hors de l’Union Européenne a-t-elle des obligations en application du règlement ?

L’application territoriale du règlement est sans limite, et les entreprises établies hors Union européenne doivent elles aussi s’y conformer lorsque les traitements de données à caractère personnel qu’elles mettent en œuvre sont relatifs à l’offre de biens ou de services à des personnes qui sont dans l’Union européenne ou lorsque les traitements sont liés au suivi du comportement de personnes « dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union européenne ».

Dans de tels cas, ces responsables de traitement établis hors de l’Union européenne devront désigner un représentant au sein de l’Union européenne. Ce représentant devra notamment tenir à jour le registre des activités de traitement susmentionné.

Il s’agit clairement, par cette disposition du règlement, de soumettre les géants américains du web à la loi européenne.

9°/ Quelles sont les sanctions pour les entreprises en cas de manquement ?

En cas de violation du règlement, les autorités de contrôle ont le pouvoir de prononcer des amendes administratives qui doivent être « effectives, proportionnées et dissuasives ».

Les sanctions prononcées pourront s’élever jusqu’à 20 000 000 d’euros, voire, pour une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Le règlement ajoute que chaque Etat membre peut définir les règles dans lesquelles des amendes administratives peuvent également être imposées à des autorités ou organismes publics établis sur son territoire.

Ces sanctions administratives sont sans préjudice du droit à réparation des personnes dont les droits ont été violés.

10°/ Quels sont les droits de recours des personnes concernées ?

Une personne peut exercer ses droits tels que ses droits d’accès, de rectification, le cas échéant son « droit à l’oubli » et à la portabilité de ses données, directement auprès du responsable de traitement.

Une personne qui considère que les données la concernant sont traitées en violation de ses droits peut saisir l’autorité de contrôle de l’état membre dans lequel elle est établie ou celle de l’état membre dans lequel est établi le responsable de traitement qu’elle considère agir en violation de ses droits.

Une personne dispose en outre toujours de la faculté de saisir toute juridiction compétente pour obtenir réparation des dommages subis.

*   *   *

Autres publications