modern background abstract

Nouvelle réglementation sur la protection des données personnelles

Réforme sur la protection des données

Le Règlement Général sur la Protection des Données, qui contient les nouvelles dispositions européennes sur la protection des données, a été publié le 4 mai 2016.

Son objectif est d’harmoniser les règles relatives à la protection des données au sein de l’Union européenne en la dotant d’un cadre juridique unique sur ce sujet. Toutefois, certaines dérogations sont possibles et sont renvoyées aux lois nationales.

Le règlement entre en vigueur le 25 mai 2016. Il est directement applicable à compter du 25 mai 2018 à toutes les entreprises, publiques comme privées, des 28 Etats membres.

 Quels sont les principaux impacts de ce nouveau règlement ?

Le règlement introduit le principe de responsabilité : l’entreprise doit être en mesure de démontrer la conformité de son traitement au règlement en adoptant des règles internes et en mettant en œuvre les mesures appropriées. Le responsable du traitement doit identifier et documenter les mesures mises en œuvre pour se conformer aux exigences issues du règlement.

Beaucoup d’entreprises privées et tous les organismes publics devront désigner un délégué à la protection des données chargé de contrôler la conformité de l’entreprise à la réglementation en matière de protection des données.

Les entreprises dont les traitements mis en œuvre sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques devront également mettre en place une étude d’impact.

Les contrats avec les prestataires ou sous-traitants (par exemple les hébergeurs de données personnelles) devront être aménagés pour être mis en conformité avec les nouvelles exigences du texte.

En cas d’atteinte à la sécurité des données, les entreprises devront en informer l’autorité de contrôle (la CNIL en France), ainsi que la personne concernée lorsqu’il existe un risque élevé pour ses droits et libertés.

Le règlement consacre également le principe de « Privacy by design » qui impose aux entreprises de prendre en compte des exigences relatives à la protection des données dès la conception des produits, services et systèmes exploitant des données à caractère personnel.

Le règlement généralise à toutes les entreprises de plus de 250 salariés l’obligation d’établir un registre de l’ensemble des traitements. Les entreprises de moins de 250 salariés effectuant des traitements pouvant comporter des risques pour les droits et obligations des personnes, ou comportant des données sensibles, doivent également établir un registre.

Quels sont les nouveaux droits dont bénéficient les personnes ?

Le droit à la protection des données personnelles est un droit fondamental. De nouveaux droits sont consacrés par le règlement :

  • Le droit d’opposition est élargi avec notamment le droit d’opposition des consommateurs au profilage ;
  • Le droit à l’information est renforcé : les politiques relatives à la vie privée doivent être expliquées dans un langage clair et compréhensible ; la liste des informations à fournir est complétée par rapport à l’ancienne législation ; les données doivent être traitées de manière transparente ;
  • Création d’un droit à l’effacement des données (droit à l’oubli) qui n’est toutefois pas absolu ;
  • Consentement clair et explicite de la personne concernée quant à l’utilisation de ses données personnelles ;
  • Création d’un droit à la portabilité: droit de transférer ses données vers un autre fournisseur de services ;
  • Protection spécifique pour les mineurs: l’accord des parents est nécessaire lorsque l’enfant est âgé de moins de 16 ans pour ouvrir un compte sur les services en ligne (ce qui couvre les réseaux sociaux), la loi nationale pouvant toutefois abaisser cet âge à 13 ans.

Quelles sont les garanties prévues pour une mise en œuvre effective de la législation?

Les formalités préalables sont allégées, mais en contrepartie le devoir de transparence vis-à-vis des autorités de contrôle ou des personnes concernées est renforcé.

Les sanctions que pourront prononcer les autorités de contrôle sont plus dissuasives : elles peuvent s’élever jusqu’à 10 millions d’euros d’amende ou 2% du chiffre d’affaires mondial de l’entreprise visée.

Les entreprises et administrations ont deux ans pour se mettre en conformité, ce qui est en réalité assez court, car ce texte complexe risque de donner lieu à des difficultés d’application.

Consulter le règlement :

Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données

Par Valérie Sédallian

Valérie Sédallian, avocat au Barreau de Paris depuis 1992, est spécialiste en droit de l’informatique. N’hésitez pas à nous contacter.