Partager ce contenu

Règlement européen sur la protection des données : du nouveau pour les professionnels

Alors que la CNIL vient de lancer une nouvelle consultation sur trois thèmes inscrits au plan d’actions du premier semestre 2017 du G29(1) (notification de violations de données personnelles, consentement, profilage), les lignes directrices sur la portabilité et concernant le délégué à la protection des données sont en voie d’adoption définitive (version finalisée attendue au printemps 2017). Ces sujets, jugés prioritaires en 2016 tout comme les analyses d’impact sur la vie privée (PIA) et la certification, avaient été soumis à une première consultation organisée par la CNIL qui souhaitait déjà proposer une interprétation du règlement européen plus proche des préoccupations des acteurs. La CNIL s’inscrit ainsi dans la poursuite des objectifs du plan d’actions du G29 qui sont d’unifier et de clarifier l’interprétation de dispositions essentielles du règlement.

Protection de données - CNIL

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des données, applicable à compter du 25 mai 2018, constitue une réforme majeure dans la protection des données afin de :

  • Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
  • Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
  • Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.

Les principaux changements que les professionnels auront à intégrer à leurs dispositifs sont :

1) Garantir le droit à la portabilité des données qui permet à une personne de récupérer les données qu’elle a fournies sous une forme facilement réutilisable, et, le cas échéant, de les transférer ensuite à un tiers.

2) Mettre en place des conditions particulières pour le traitement des données des mineurs de moins de 16 ans en rédigeant l’information sur les traitements les concernant en un langage clair et simple, accessible à cette population.

3) Mettre en œuvre de nouveaux outils de conformité :
a. La tenue d’un registre des traitements.
b. La notification de failles de sécurité (aux autorités et personnes concernées).
c. La certification de traitements.
d. L’adhésion à des codes de conduites.
e. Le DPO (délégué à la protection des données).
f. Les études d’impact sur la vie privée (EIVP ou PIA).

Plusieurs conséquences à la mise en place de ces outils. Tout d’abord un allègement des obligations déclaratives qui seront supprimées pour les traitements sans risque pour la vie privée des personnes. Le processus d’autorisation par la CNIL pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure basée sur l’étude d’impact sur la vie privée. Cette dernière repose sur une étude d’impact complète menée par le responsable du traitement jugé à risques, faisant apparaître les caractéristiques, les risques et les mesures adoptées. Sont visés notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.

Si le risque est considéré comme fort, l’entité devra consulter la CNIL qui pourrait s’opposer au traitement compte tenu de ses caractéristiques et des conséquences sur les personnes concernées.

De plus le rôle de Correspondant Informatique et Libertés (fonctionnalité facultative jusqu‘à présent) est remplacé par la désignation obligatoire d’un délégué à la protection des données pour les entreprises du secteur public, ou si les activités principales amène ces entreprises à réaliser un suivi régulier et systématique des personnes à grande échelle, ou encore si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.

Les professionnels devront également s’adapter aux nouvelles échelles de sanctions prononcées par les autorités de protection, notamment les amendes administratives qui peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

Découvrez les formations relatives à ce sujet.

 

(1) Le G29 représente le groupe des Commissions Informatique et Libertés des pays européens et formera prochainement le « comité européen de la protection des données ».

Restons-en contact !

Abonnez- vous à notre newsletter pour recevoir les articles d'analyse de nos experts et les actualités de nos formations.