• Données personnelles

    Données Personnelles : L’impact de la Loi Lemaire pour les Entreprises

    La loi pour une République Numérique, dite loi « Lemaire », a été adoptée le 7 octobre 2016[1]. La loi adoptée est finalement moins ambitieuse que le projet initial. Retour sur les principaux changements pour les entreprises.

    1. Des nouveaux droits pour les personnes

    La section relative aux droits des personnes est celle qui a été le plus impactée par la loi « Lemaire ». Si les traditionnels droits d’accès, de rectification et d’opposition existent toujours, deux nouveaux droits ont été créés par le législateur. Désormais, les personnes sont donc titulaires de cinq droits différents.

                    1.1 Le droit à l’oubli pour les mineurs

    Désormais, l’article 40 prévoit un droit à l’effacement des données lorsque la personne concernée était mineur au moment de la collecte des données.

    Contrairement aux autres, ce droit est soumis à une procédure accélérée. Le responsable de traitement dispose d’un mois pour répondre (au lieu de 2 mois) et la CNIL doit instruire les plaintes dans un délai maximum de 3 semaines.

                    1.2 Le droit d’organiser le sort de ses données après le décès

    L’article 40-1 permet aux personnes concernées de formuler des directives anticipées sur le sort des données personnelles après le décès. Les personnes peuvent formuler des directives générales qui concernant l’ensemble des traitements de données ou des directives particulières ciblées à seulement certain traitements.

    Ces directives peuvent être confiées à un tiers de confiance qui sera certifié par la CNIL ou aux responsables de traitements concernés.

    Il est a noté que les acteurs du numérique (site de e-commerce, hébergeur…) devront informer les personnes sur la possibilité de formuler auprès d’eux ces directives.

    En l’absence de directive, la loi prévoit que les héritiers du défunt auront la faculté d’accéder sous certaines conditions aux données à caractère personnel.

    En essayant de trouver une réponse au sujet de la mort numérique, ce dispositif est intéressant. Cependant sa mise en œuvre concrète semble contraignante pour les entreprises qui doivent un mécanisme de recueil des directives particulières.

    1. Un exercice des droits électroniquement

    Le nouvel article 43bis de la loi informatique et libertés indique si les données ont été collectées électroniquement, le responsable du traitement doit prévoir une faculté d’exercice des droits en ligne par les personnes.

    Il convient donc aux sites de e-commerces et autres plateformes d’intermédiation en ligne, de prévoir une page dédiée permettant aux personnes d’exercer leurs droits informatique et libertés en ligne.

    1. Une information renforcée des personnes

    L’information des personnes, qui figure à l’article 32 de la loi a, elle aussi été complétée. Outre l’obligation d’informer sur les deux nouveaux droits (droit à l’effacement pour le mineur et droit de formuler des directives anticipées), chaque responsable de traitement doit également informer de la durée de conservation des données collectées ou des critères permettant de la calculer.

    La révision des mentions d’information dans les formulaires de collecte et dans la page « données personnelles » est donc à prévoir.

    1. Un pouvoir de sanction accrue

    Il s’agit ici de la modification la plus impactante pour les entreprises. Les sanctions administratives prononçables par la CNIL passent de 150 000 d’euros à trois (3) millions d’euros.

    Les sanctions augmentent donc de façon significative, ce qui n’est pas négligeable pour les entreprises. Il s’agit d’un palier transitoire avant les sanctions du règlement européen qui entreront en vigueur le 25 mai 2018 et qui s’élèveront à 4% du chiffre d’affaire mondial réalisé pendant l’exercice précédant.

    1. Une procédure de sanction accélérée

    Enfin, le dernier changement qui peut apparaitre technique mais qui aura un impact non négligeable, concerne les règles de procédure de sanction devant la CNIL.

    Avant la loi « Lemaire », la CNIL devait systématiquement mettre en demeure le responsable de traitement pour prononcer une sanction pécuniaire ou une injonction de cesser le traitement. Cette procédure avait un avantage pour le responsable de traitement qui, s’il se mettait en conformité avant le délai de mise en demeure, échappait à la sanction.

    Désormais, si la CNIL considère que : « le manquement ne peut faire l’objet d’une mise en conformité dans le cadre d’une mise en demeure », l’autorité pourra prononcer directement une sanction pécuniaire.

    En prenant en compte le fait que la sanction est désormais de 3 millions d’euros, cet ajustement procédural aura sans doute un impact non négligeable dans les futures procédures.

     

    Edouard VERBECQ

    Avocat

    [1] LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique