• Données personnelles

    par , Avocat associé
    par , Avocat

    Le règlement européen sur la protection des données proche de l’adoption

    Trois ans après la publication du premier projet de texte, le règlement européen sur la protection des données (GDPR) a fait l’objet d’un accord politique lors des trilogues entre les institutions européennes.

    Il ne reste plus qu’un vote solennel de confirmation par le Parlement et le Conseil en début d’année.

    Ce texte sera applicable dans tous les Etats membres dans un délai de 2 ans après son adoption soit à l’horizon 2018.

    De nouvelles définitions (Article 4) :

    –          Profilage

    –          Faille de sécurité

    –          Données biométriques

    –          Données de santé

    Renforcement du consentement (Article7)

    Ce point devient central dans le texte. Le Responsable de traitement doit être en mesure de prouver que le consentement a été donné et il est désormais prévu que la personne concernée puisse retirer son consentement.

    Droits des enfants (Article 8)

    Entre 13 et 16 ans selon les Etats, le consentement des parents est requis pour procéder au traitement des données.

    Information des personnes (Article 12)

    Le texte prévoit un renforcement de l’information des personnes qui doit désormais être concise, transparente, intelligible et facile d’accès. Le texte précise de façon détaillée les mentions à apporter lorsque les données sont collectées auprès des personnes mais aussi lorsqu’elles sont collectées de façon indirecte.

    Droit des personnes (Article 12 et suivants)

    A côté des droits d’accès, de rectification ou d’opposition existants, le texte consacre plusieurs autres droits :

    – Un droit à l’effacement des données

    – Un droit à la limitation du traitement

    – Un droit à la portabilité des données

    Il est a noté que le règlement consacre un droit d’opposition spécifique pour les traitements de marketing direct.

    La notion de Profiling (Article 19)

    Le texte prévoit une interdiction des décisions basées exclusivement sur un traitement automatisé et qui produit des effets juridiques ou significatifs. Ce texte, assorti d’exceptions, a pour objectif d’encadrer le profiling. Le règlement réserve aux Etats d’édicter des règles différentes.

    Notions de Privacy by design et Privacy par défaut (Article 23)

    Il est prévu que les entreprises implémentent dès la conception et par défaut les mesures organisationnelles et techniques appropriées comme la minimisation et l’anonymisation afin de respecter les principes du règlement.

    Les responsables conjoints du traitement (Article 24)

    Il s’agit d’une innovation importante par rapport à la directive de 1995 qui ne prévoyait qu’un responsable de traitement et un sous-traitant.

    L’évolution des technologies et notamment l’essor des solutions clés en main  (ex : solutions en Saas) ont montré qu’il pouvait parfois exister un partage de responsabilité. Désormais, plusieurs entreprises peuvent se voir reconnaitre conjointement la qualité de responsable de traitement.

    L’exigence d’un représentant situé dans l’Union (Article 25)

    Pour les entreprises non européennes qui traitent des données personnelles de ressortissants de l’UE, elles auront l’obligation de nommer un représentant.

    La responsabilité accrue du sous-traitant (Article 26)

    Il doit désormais obtenir l’accord du responsable de traitement avant d’engager un autre prestataire. Le texte détaille les obligations de chacun à prévoir dans un contrat.  Lorsqu’un sous-traitant fait lui-même appel à un prestataire qui ne respecte pas les engagements du contrat initial, le sous-traitant initial en serra pleinement responsable devant le responsable de traitement.

    Des clauses contractuelles types applicables aux relations avec les sous-traitants seront publiées par la Commission.

    Un registre des traitements désormais obligatoire (Article 28)

    Le règlement généralise à toutes les entreprises de plus de 250 salariés l’obligation d’établir un registre de l’ensemble des traitements. Cette obligation s’applique à tout responsable de traitement mais aussi, à tout sous-traitant.

    Les entreprises de moins de 250 salariés effectuant des traitements pouvant comporter des risques pour les droits et obligation des personnes ou comportant des données sensibles, doivent également établir un registre.

    Ce registre doit être à la disposition des autorités de contrôle.

    Sur la notification des failles de sécurité dans les 72h (Article 31)

     

    Il devient désormais obligatoire à toute société de notifier à l’autorité de contrôle une faille de sécurité concernant les données personnelles dans un délai de 72h.

    La communication de faille aux personnes concernées est obligatoire lorsqu’il existe un risque élevé pour les droits et libertés des individus. Cette communication n’est toutefois pas obligatoire lorsque toutes les mesures techniques et organisationnelles appropriées ont été mises en place (ex : cryptage des données).

    La création des analyses d’impact (Article 33)

     

    Pour les traitements nouveaux et sollicitant des technologies nouvelles ou innovantes, le règlement impose d’établir une analyse d’impact s’il s’avère qu’il peut exister un risque important pour les droits et les libertés des individus.

    Les analyses d’impact seront obligatoires pour le profiling et la surveillance des personnes à grande échelle.

    La CNIL aura la charge de définir une liste de traitements pour lesquels l’analyse d’impact sera obligatoire.

    Pour ces traitements nécessitant une analyse d’impact, le responsable de traitement devra consulter la CNIL avant d’effectuer le traitement.

    Un délégué à la protection des données obligatoire dans certains cas (Article 35)

     

    Le DPO est désormais obligatoire pour :

    –          les administrations publiques

    –          les entreprises pour lesquelles les traitements mis en œuvre consistent à surveiller les personnes de façon régulière ou systématique à grand échelle

    –          Les entreprises traitant des données sensibles

    Il s’agit des termes précis du règlement. Nous comprenons que le DPO n’est donc pas obligatoire pour toutes les entités.

    La promotion des codes de conduite (Article 38)

     

    Le texte encourage à la mise en place de codes de conduite par secteur d’activité afin de conseiller et d’orienter les acteurs à se conformer au règlement européen.

    Des procédures de certification et de labellisation (Article 39)

     

    Le comité européen de la protection des données (ex G29) et les institutions de l’UE devront proposer des certifications et des labels afin d’attester de la conformité au règlement des traitements effectués par une entreprise donnée.

    Des nouvelles règles concernant le transfert de données hors UE (Article 40)

     

    Le transfert de données vers des Etats tiers ne nécessitera plus d’autorisation de transfert par la CNIL mais exigera la signature d’un contrat de transfert de données.

    Renforcement des autorités et naissance du Comité européen de la protection des données. (Article 46 et suivants)

     

    Les autorités de contrôle ont leurs pouvoirs renforcés, échangent des informations, peuvent mener des actions conjointes et agissent en cohérence.

    La cohérence est assuré par le Comité européen de la protection des données qui a désormais la personnalité juridique.

    Des voies recours nouvelles (Article 75)

     

    La personne concernée par un traitement peut désormais exercer un recours en justice sur la base du non respect du règlement. Ce recours peut être effectué parallèlement au dépôt d’une plainte auprès de la CNIL.

    Le texte prévoit désormais un droit à réparation du préjudice subit du fait du non respect des obligations du règlement.

     

    Des sanctions considérablement renforcées (Article 78)

     

    Le texte prévoit désormais des amendes administratives d’un montant maximum de 4% du Chiffre d’Affaire mondial dans la limite de 20 millions d’euros.

    Cette amende maximum peut être prononcée en cas de non respect des droits des personnes, de transfert de données non conformes

    Des exceptions (Article 80 et suivants)

    Le texte prévoit des exceptions aux règles générales pour les traitements de données journalistiques, l’accès aux documents officiels, l’utilisation du numéro national d’identification et les traitements effectués dans le cadre des relations de travail.

    Martine RICOUART MAILLET

    Avocat Associé

    Edouard VERBECQ

    Avocat