le Règlement européen sur la protection des données personnelles du 27 avril 2016

europe-drapeaux-1900L’adoption du règlement européen sur la protection des données personnelles marque un tournant majeur dans la régulation des données personnelles. Ce règlement européen, contrairement à une directive, est directement applicable à partir du 25 mai 2018 dans l’ensemble de l’Union sans transposition dans les États membres.

Chronologiquement :

  • En janvier 2012, la Commission européenne présentait sa réforme sur la protection des données dans l’UE
  • 14 avril 2016 : Adoption par le Parlement européen du règlement sur la protection des données (RPDP)
  • 27 avril 2016 : Promulgation du règlement européen
  • 4 mai 2016 : Publication au Journal officiel de l’UE et entrée en vigueur le 20èmejour suivant celui de sa publication
  • A partir du 25 mai 2018 : Règlement applicable et «obligatoire dans tous ses éléments et directement applicable dans tout Etat membre»
  1. Les notions clés
  • Données à caractère personnel: toute information se rapportant à une personne physique identifiée ou identifiable (identification directe ou indirecte par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne etc.)
  • Traitement de données personnelles: toute opération effectuées ou non à l’aide de procédés automatisés et appliquées à des données telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation etc.)
  • Responsable de traitement: personne qui détermine les finalités et les modalités de traitement de données personnelles
  • Sous-traitant: personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.
  1. Un champ d’application étendu

L’objet du règlement est de garantir la protection des droits et libertés de l’individu face au traitement de données personnelles et la libre circulation des données personnelles au sein de l’Union.

  • Application matérielle: Le Règlement s’applique à tout traitement de données à caractère personnel automatisé ou non automatisé.
  • Application extraterritoriale : les sociétés établies dans les États tiers mais actives sur le marché européen doivent être soumises aux mêmes règles que les sociétés européennes. Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler ». En pratique, le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.
  1. Pour le citoyen : Un renforcement de ses droits
  • Un consentement clair, explicite et non ambiguë du citoyen quant à l’utilisation de ses données personnelles
  • Des informations exprimées de façon claire, intelligible et accessible sur le traitement effectué de ses données
  • Un renforcement du droit d’accès, de rectification et d’opposition
  • Le droit à la limitation du traitement
  • Le droit à l’oubli (droit à l’effacement des données personnelles dans des conditions strictes)
  • Le droit à la portabilité (transférer ses données vers un autre fournisseur de services)
  • Le droit d’être informé en cas de piratage des données ou d’accès non autorisé aux données personnelles
  • Le droit d’obtenir une indemnité en cas de dommage matériel ou immatériel de la part du responsable de traitement ou du sous-traitant
  1. Les obligations des responsables de traitement et sous-traitants

Les responsables de traitements et les sous-traitants doivent respecter de nombreuses obligations et mettre en place des mesures de protection des données appropriés afin de pouvoir démontrer leur conformité à tout moment (principe d’accountability).

  • Une simplification des formalités administratives : Le système actuel de déclarations systématiques à l’autorité de contrôle sera supprimé. A la place, les responsables de traitement et les sous-traitants devront tenir des registres internes sur les traitements mis en œuvre.
  • La certification de traitements : attestant de la conformité du traitement aux règles de l’Union.
  • L’adhésion à des codes de conduites: l’engagement contraignant et exécutoire du responsable ou de son sous-traitant d’appliquer dans le pays de destination les garanties appropriées, y compris en ce qui concerne les droits de la personne concernée.
  • La désignation d’un Délégué à la Protection des données (DPO) :
    Il est le « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est chargé d’informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations à respecter, de contrôler le respect du règlement européen et du droit national etc.
    Ce délégué devra obligatoirement être désigné dans plusieurs cas énumérés (ex : traitement à grande échelle de données sensibles ou en cas de suivi régulier et systématique de personnes à grande échelle).
  • Les « études d’impact sur la vie privée » (EIVP ou PIA) pour tout traitement à risque. Ex : traitement de données sensibles (origine ethnique, opinions politiques, religieuses) ou le profilage (évaluation systématique et approfondie d’aspects personnel de la personne physique)
  • la protection des données dès la conception et par défaut (privacy by design) : Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut (quantité, accessibilité, période de conservation). Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).
  • Une obligation de sécurité et une obligation de notification des violations de données personnelles pour tous les responsables de traitement.
    Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.
    En cas de violation de données personnelles, le responsable de traitement doit notifier la violation à l’autorité de protection des données dans les 72 heures et à la personne concernée sans délai en cas de risque élevé pour ses droits et libertés.
  1. Un principe de responsabilité élargi

Le système actuel selon lequel les responsables de traitement sont responsables des actes de leurs sous-traitants, est conservé. Cependant, dans certains domaines les sous-traitants assumeront désormais une responsabilité directe (par exemple dans le cas des transferts de données). Les sous-traitants seront tenus de respecter :

  • Des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability
  • Une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations sur règlement (étude d’impact, failles, sécurité, destruction des données, contribution aux audits)
  • Création d’un registre et désignation d’un délégué à la protection des données personnelles (DPO) dans les mêmes conditions qu’un responsable de traitement.
  1. Un guichet unique

Le règlement prévoit la mise en place d’un «guichet unique» pour les entreprises et les citoyens.

  • Les entreprises :Actuellement, un responsable du traitement exerçant une activité sur plusieurs territoires de l’UE doit se conformer aux obligations applicables au sein de chaque Etat concerné. Pour éviter la multiplication des procédures auprès des autorités nationales, le règlement européen permet au responsable de traitement de centraliser l’ensemble de ses démarches auprès d’une autorité unique, celle du lieu de son établissement principal pour l’intégralité des traitements mis en œuvre. Ex : un groupe dont le siège est en France, avec des filiales dans plusieurs autres pays européens, sera soumis au seul contrôle de la CNIL pour l’ensemble de ses traitements européens.
  • Les particuliers :Ils n’auront plus qu’un seul interlocuteur, l’autorité nationale chargée de la protection des données dans leur pays d’origine, et ce même si leurs données à caractère personnel sont traitées en dehors de leur pays d’origine.  Concernant la gestion des plaintes des victimes, ce dispositif offrira la possibilité pour les résidents européens d’enregistrer une seule plainte auprès de l’autorité de leur pays d’origine (résidence habituelle ou son lieu de travail). Ce système permettra d’uniformiser les procédures entre les pays européens et favorisera leur coopération.
  1. Le cadre des transferts de données personnelles hors de l’union

Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement grâce à des outils spécifiques assurant un niveau de protection suffisant et appropriés des personnes :

  • Transferts fondés sur une décision d’adéquation de la Commission Européenne
  • Des règles d’entreprises contraignantes (BCR)
  • Des clauses contractuelles types approuvées par la Commission Européenne
  • Des clauses contractuelles adoptées par une autorité et approuvées par la Commission européenne
  • L’adhésion à des codes de conduite ou à un mécanisme de certification (comprenant des engagements contraignants pour la mise en œuvre de garanties appropriées)
  1. Les autorités de protection
  • Une affirmation de leurs compétences dès lors qu’il existe un établissement sur le territoire de l’Union ou que leurs citoyens sont affectés par le traitement.
  • Un renforcement de leurs pouvoirs, notamment répressifs (sanctions administratives).
  • Les «CNIL» européennes pourront prononcer des décisions conjointes (ex : constater la conformité ou sanctionner).
  • Création d’un nouvel organe européen : le Comité Européen de la Protection des Données (CEPD) en charge d’arbitrer les différends entre les autorités et également d’élaborer une doctrine « européenne ». Cette entité, qui prend la suite du G29, verra son indépendance renforcée et pourra rendre des avis contraignants, notamment dans le cadre de procédures de sanction
  1. Des sanctions encadrées, graduées et renforcées

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Les autorités de protection peuvent notamment :

  • Prononcer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l’effacement des données
  • Retrait de la certification délivrée
  • Amendes administratives s’élevant, selon la catégorie de l’infraction, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise et à 10 ou 20 millions d’euros pour les autres organismes.

 

Pauline Berdah

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>