Alors que nous vivons dans un monde de plus en plus connecté, où toute information peut traverser la planète en une demi-seconde et où les internautes multiplient les publications sur les réseaux sociaux, se pose, de façon récurrente, la question de la protection de nos données personnelles. Plus particulièrement, les responsables du traitement s’interrogent massivement sur leurs obligations et leurs rôles dans un tel transfert.
Il s’agit d’un sujet déjà maintes fois abordé dans ce blog juridique, mais les nouveautés législatives se multiplient en la matière, profitons-en pour analyser en détail ce qui va changer au cours des prochaines années. Le cadre juridique vient d’être renforcé avec l’adoption du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après « Règlement sur la protection des données »).
Bien que les dispositions du règlement ne s’appliquent pas avant mai 2018, le G29 (en référence à l’article 29 de la Directive 95/46/Ce) a déjà proposé de nombreuses lignes directrices, en décembre 2016, afin de faciliter la compréhension du règlement, concernant notamment la certification, le Délégué à la Protection des Données et les traitements à risque.
Face à cette avalanche de lois et de régulations, les entreprises européennes se sentent perdues! Vous, chers lecteurs, vous sentez perdus ! Ainsi, certains d’entre vous ont décidé d’agir en interne, en adoptant des codes de bonne conduite ou en s’astreignant à ne plus vendre les données personnelles de leurs consommateurs. Mais, la question demeure :
Concrètement, que change le Règlement pour les entreprises ?
Avant toute chose, il ne faut pas oublier qu’il s’agit d’un règlement ! Contrairement à la directive, il s’applique directement sur l’ensemble du territoire européen, sans passer par une loi de transposition dans l’ordre interne. Décider d’adopter un tel texte, c’est avant tout opter pour l’harmonisation, l’unification et la coopération au sein de l’Union européenne. Comprendre qu’un tel but est recherché permet d’appréhender plus facilement les mesures principales, que nous allons développer.
Un interlocuteur unique pour les entreprises – Le règlement assure une simplification des échanges entre les entreprises et les Autorités de surveillance, par la création d’un guichet unique vers lequel le responsable de traitement doit se tourner.
Le « one-stop-shop » permettra au responsable de traitement possédant un établissement sur le territoire de l’Union de désigner comme interlocuteur unique l’une des Autorités de surveillance européennes, lorsque le traitement a lieu dans plusieurs Etats membres. Attention, cela ne signifie pas que cette Autorité prendra, seule, toutes les décisions, sans en référer aux autres.
Dans ce contexte, le Groupe de l’article 29 sera remplacé par le Comité européen de la protection des données qui sera doté de la personnalité juridique et composé des Autorités nationales et du Contrôleur européen à la protection des données.
Vous vous demandez maintenant comment déterminer l’autorité « leader » ?
Sachez que les lignes directrices du G29 sont très claires et distinguent 3 options :
- Si l’entreprise considérée n’a qu’un établissement dans l’UE, alors l’autorité compétente est celle du lieu de cet établissement
- Si l’entreprise a plusieurs établissements dans l’UE, il conviendra alors de regarder lequel de ces établissements constitue le centre de décision/administration de la société.
- Cependant si l’établissement qui prend les décisions concernant le but et la signification du traitement diffère de l’administration centrale alors c’est le lieu de établissement qui sera pertinent.
Et avant le règlement? : Avec la directive, les Autorités de surveillance deviennent garantes de l’harmonisation des législations européennes. Seule limite : la directive laisse une marge de manœuvre à chaque Autorité. N’imposant aucune obligation de résultat, chaque Etat reste libre des moyens mis en place pour atteindre les objectifs de la directive. Aucune obligation donc, de désigner l’Autorité « leader », toute Autorité nationale pouvant être concomitamment saisie, lorsque le traitement a lieu simultanément dans plusieurs Etats membres. |
Un contrôle a posteriori – Le règlement, en offrant aux entreprises une souplesse dans le traitement, que n’offrait pas la directive, cherche également à les responsabiliser. Si l’obligation de déclaration préalable disparaît, c’est au profit d’une obligation de mise en conformité permanente et de l’adoption de mesures de protection des données appropriées. Quant aux traitements actuellement soumis à autorisation, cette dernière pourra être maintenue par le droit national ou remplacée par une nouvelle procédure.
Vous vous demandez comment assurer cette conformité permanente ? Ne vous inquiétez pas, de nombreux outils s’offrent à vous, tels que :
- la tenue d’un registre des traitements mis en œuvre
- la notification de failles de sécurité aux autorités et personnes concernées
- la certification de traitement
- l’adhésion à des codes de conduite
- la nomination d’un Délégué à la Protection des Données (que nous évoquerons un peu plus bas)
Et avant le règlement ? : C’est le contrôle a priori -en amont du traitement- qui prévaut. Le principe est celui de la déclaration préalable par les entreprises à l’Autorité de surveillance nationale compétente. Il s’agit uniquement d’informer cette dernière du traitement de données effectué. Lorsqu’il s’agit de traiter des données plus sensibles, c’est l’autorisation préalable qui prévaut, l’accord de l’Autorité doit être obtenu avant de réaliser tout traitement. |
Privacy by design – A traduire en français par « protection des données dès la conception », et largement inspirée par la protection de la vie privée des personnes, cette nouvelle mesure prévue par le règlement impose aux responsables de traitement de prendre en compte, dès la conception des projets de traitement, le respect de la vie privée des personnes dont les données seront traitées. Ainsi, il convient de s’interroger sur la pertinence du traitement et des données traitées, sur les risques d’un tel traitement pour les personnes concernées et sur le respect de leurs droits. Le but est de limiter la quantité de données traitées dès le début du traitement, il s’agit du principe dit de « minimalisation ».
Pour le traitement des données à risque, données sensibles ou de profilage, les entreprises auront l’obligation de réaliser un Privacy Impact Assessment (PIA), ou étude d’impact sur la vie privée (EIVP). Ce PIA repose sur 2 points forts : le respect des principes et droits fondamentaux « non négociables » fixés par la loi et la gestion des risques sur la vie privée des personnes concernées.
Comment réaliser une telle étude ? La CNIL prévoit 4 étapes :
- Etude du contexte : délimiter et décrire les traitements considérés
- Etude des mesures : identifier les mesures existantes ou prévues
- Etudes des risques : apprécier les risques liés à la sécurité des données et vérifier que le traitement est proportionné
- Validation : valider la manière dont il est prévu de mener le projet, à défaut recréer un nouveau projet
Et avant le règlement ? : La Loi Informatique et Libertés du 6 janvier 1978 prévoyait déjà l’obligation, pour le responsable de traitement, de « prendre toute précautions utiles (…) pour préserver la sécurité des données ». Il ne s’agit là que d’une obligation de moyen, l’obligation n’était donc pas aussi lourde que ce qui est désormais prévu par le Règlement. |
Délégué à la Protection des Données – Ce Délégué est l’une des grandes nouveautés du règlement. Il aura pour mission d’assurer, au sein de l’entreprise dans laquelle il est nommé, la conformité au règlement sur la protection des données personnelles. Dans certains cas, sa nomination sera obligatoire. Si elle ne l’est pas, elle reste vivement conseillée par le G29. D’ailleurs, les lignes directrices de ce dernier sont très claires, la nomination sera obligatoire pour:
- les autorités ou les organismes publics
- les organismes dont les acticités de base aboutissent à réaliser un suivi régulier et systématique des personnes à grande échelle
- les organismes dont les activités de bases conduisent à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.
Le Délégué à la Protection des Données (DPD) peut être interne à l’entreprise mais il peut également être un prestataire externe. Dans certains cas, il peut même être mutualisé, c’est à dire « partagé » par plusieurs entreprises, pour assurer, à chacune d’elle indépendamment, la conformité au règlement. Il devient ainsi l’interlocuteur privilégié, le lien entre l’entreprise et l’Autorité de surveillance. D’un point de vue pratique, il doit impérativement être en mesure de communiquer dans une langue compréhensible par l’ensemble des différentes Autorités.
Attention, le DPD ne sera pas responsable personnellement d’une absence de mise en conformité avec le Règlement. Seule la responsabilité du responsable de traitement pourra être engagée.
Et avant le règlement ? : Suite à la modification de la loi de 1978, en 2004, la fonction de Correspondant Informatique et Libertés (CIL) voit le jour. Bien qu’il ne soit pas obligatoire, ce CIL a pour mission d’assurer, au sein de l’entreprise, la protection des données personnelles traitées. Il peut, tout comme le DPD, être salarié au sein de l’entreprise ou prestataire externe. Dans les entreprises où un CIL est déjà nommé, il a vocation à devenir, avec le règlement, le DPD. |
Sanction – Cette autonomie et cette responsabilité acquises par les entreprises, en matière de traitement de données personnelles, sont contrebalancées par un renforcement des pouvoirs de sanction des Autorités de surveillance. Elles disposent notamment d’un nouvel outil de conformité. Il permet, à la CNIL, de retirer, à l’entreprise, la certification qu’elle lui avait délivrée ou d’ordonner à l’organisme qui avait certifié l’entreprise de retirer cette certification.
Quant au montant des amendes administratives pouvant être prononcées par les Autorités de surveillance, il a été revu à la hausse. En effet, elles pourront désormais s’élever, en fonction de l’infraction commise, à 10 ou 20 millions d’euros ou, s’il s’agit d’une entreprise, à 2% jusqu’à 4% du chiffre d’affaires annuel. Cette augmentation du montant s’explique par le fait que l’amende prononcée, le sera conjointement par l’ensemble des Autorités concernées. Cela signifie qu’une seule et même sanction sera prononcée pour l’ensemble de l’Union.
Et avant le règlement ? : La CNIL dispose déjà de nombreux pouvoirs de sanction. En effet, elle peut prononcer un avertissement, procéder à une mise en demeure de l’entreprise, limiter un traitement, suspendre le flux de données ou encore ordonner la rectification ou l’effacement des données. Concernant le montant de l’amende, il est actuellement plafonné à 3 millions d’euros. |
Si le règlement peut vous paraître effrayant, au regard de toutes les nouveautés qu’il recèle, force est de constater qu’il se contente de renforcer les dispositions posées par les textes juridiques antérieurs, afin d’assurer l’harmonisation européenne. Pas de panique donc, se conformer au règlement est une mission qui vous prendra du temps, mais qui aboutira !
Camille Rideau & Marion Corvée