Retrouvez-nous sur :

Règlement Général Européen de Protection des Données : Ce n’est pas qu’une affaire de juriste ! Impacts de l’entrée en vigueur du règlement européen de protection des données

 

Capture d’écran 2018-01-22 à 10.41.08

A partir du 25 mai 2018, le règlement n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation (RGPD) est applicable directement dans tous les pays de la zone européenne (1), sans qu’il soit besoin d’une transposition en droit français.

Ce nouveau règlement général de protection des données (RGPD) instaure désormais un régime unité « de protection des personnes physiques à l’égard du traitement des données personnelles » afin d’en favoriser leur libre circulation dans tout le territoire de l’Union européenne. Pour tous les acteurs, privés et publics qui traitent de nombreuses données personnelles dans la gestion administrative de leurs structures, la sécurisation des locaux, la gestion des services publics et des activités dont elles ont la charge, la protection de ces données représente un enjeu important. Cette protection s’impose d’autant plus dans une perspective d’une modernisation de l’action publique ayant pour effet ou pour but d’accroître l’ampleur de la collecte de données. Elle constitue aussi la condition sine qua non pour rassurer administrés et employés avec la multiplication des traitements de données et leur offrir une vraie sécurité pour le respect de leurs droits et de leur vie privée. En France, cette protection a déjà été recherchée et organisée par la loi fondatrice relative à l’informatique et aux libertés (2).

Les principes affichés et développés par le RGPD applicable dans les prochains mois, sont les mêmes que ceux posés par la loi informatique et libertés, avec l’application des principes de proportionnalité (ne peuvent être collectées que des données répondant à des finalités déterminées et explicites et enregistrées) de sûreté et de confidentialité, du droit d’information des personnes intéressées et de leur droit d’opposition, d’accès et de modification.

Le RGPD vient toutefois renforcer ces droits en exigeant de leurs responsables l’obligation de « livrer une information claire et intelligible ». Le règlement précise et encadre désormais l’expression du consentement des personnes concernées à recueillir.

Toutefois, le règlement crée aussi des droits nouveaux : celui de la « portabilité » permettant à une personne de récupérer des données pour les transférer à un autre responsable de traitement, renforcer la protection des mineurs de moins de 16 ans, reconnaître le droit à réparation, par la voie d’une action de groupe et introduit de nouvelles garanties en matière de confidentialité des données. A ces droits correspondent des sanctions. En effet, la notification des violations des données est un dispositif nouveau qui doit être activé en cas de destruction, de perte, d’altération, divulgation, ou accès non autorisé aux données. Il appartient au responsable du traitement de notifier une violation dans les 72 heures à la Commission nationale informatique et libertés (CNIL) et, si elle entraîne un risque élevé d’en informer la personne concernée.

 

NOUVELLES EXIGENCES EN MATIERE DE TRAITEMENT DES DONNEES

En même temps qu’il renforce les droits des personnes concernées, le RGPD accroit également les obligations et les exigences à respecter pour l’élaboration ou l’adaptation des traitements de données. Il opère surtout un changement de culture en substituant une logique de conformité à celle d’une responsabilisation de ses acteurs. L’allègement voire la suppression de formalités administratives ne fait pas disparaître la soumission de certains traitements au système de l’autorisation (défense, santé) qui peut être remplacé par une nouvelle procédure dite de l’analyse d’impact. Cela résulte de la nouvelle logique de responsabilité continue et actualisée de traitement des données, laquelle doit leur permettre, à tout instant de montrer et de prouver qu’elles assurent un niveau optimal de protection des données. Pour faciliter la conformité des traitements de données, le RGPD précise que la protection des données personnelles doit être intégrée dès la conception et par défaut (« privacy by design »).

Par exemple afin de minimiser le traitement effectué, de restreindre au maximum les droits d’accès aux données et les opérations susceptibles d’être réalisés, « pseudonymiser » les données. Ainsi doit être mis en place un registre des activités de traitement, et de formalisation des politiques de confidentialité.

Pour ce faire, et au cœur de la nouvelle gouvernance instaurée par le règlement, succédant au CIL (correspondant Informatique et libertés), avec un statut similaire, mais de création obligatoire, ce délégué doit être désigné par le responsable du traitement et l’éventuel sous-traitant. Ce délégué doit avoir les ressources nécessaires à sa mission (accès, informations, etc.).

Enfin, tout en recentrant la protection des données sur la responsabilité des acteurs publics, le règlement européen confie à la CNIL la mission de contrôler sa bonne mise en œuvre (3). Elle peut traiter des réclamations qui lui sont adressées, diligenter des enquêtes, établir la liste des opérations soumises à une analyse d’impact, fournir des conseils sur les opérations de traitement, limiter temporairement ou définitivement un traitement, retirer une certification, etc. Elle dispose d’un pouvoir de sanction avec amende administrative. En fonction de la nature, de la gravité et de la durée de violation du règlement, du nombre de personnes concernées, il lui appartient d’en fixer le montant pouvant atteindre entre 10 et 20 millions d’euros.

Il ne reste donc que quelques mois aux différents acteurs privés et privés pour qu’à l’échéance de fin mai prochain, elles soient en mesure d’être en conformité avec le règlement européen. L’enjeu que représente pour elles la protection des données est suffisamment fort pour que, même si elles n’y sont pas toutes prêtes et quelle qu’en soit le prix, elles sont ou seront en mesure d’assumer concrètement la responsabilité d’intégrer cette protection dans leurs traitements. Il y va de la sécurité dont doivent bénéficier administrés et employés, mais aussi de leur propre sécurité juridique.

 

Louise JACQUELIN

Notes:
(1) RGPD à consulter en cliquant ici.
(2) Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, version consolidée au 09 janvier 2018.
(3) Site internet de la CNIL : www.cnil.fr et notamment l’outil de diagnostic PIA.

 

Capture d’écran 2018-01-22 à 10.40.58