RÈGLEMENT EUROPÉEN SUR LA PROTECTION DES DONNÉES
Le nouveau règlement européen sur la protection des données personnelles entrera en application le 24 mai 2018.
Trois objectifs
- Renforcer les droits des personnes, création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants)
- Crédibiliser la régulation : coopération renforcée entre les autorités de protection des données pour les traitements de données seront transnationaux et sanctions renforcées.
Un cadre juridique unifié pour l’ensemble de l’UE
Le règlement est applicable à partir du 25 mai 2018. Dès lors, les traitements déjà mis en œuvre à cette date devront d’ici là être mis en conformité avec les dispositions du règlement.
UN CHAMP D’APPLICATION
Ciblage
Le règlement s’applique dès lors que le responsable de traitement ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le responsable de traitement ou le sous-traitant met en œuvre des traitements visant à fournir des biens et des services aux résidents européens ou à les « cibler » (en anglais monitor).
Le droit européen s’appliquera donc chaque fois qu’un résident européen sera directement visé par un traitement de données, y compris par Internet.
Responsabilité des sous-traitants
Le règlement étend aux sous-traitants une large partie des obligations imposées aux responsables de traitement.
« One stop shop »
Les entreprises bénéficieront ainsi d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles, lorsqu’elles mettront en œuvre des traitements transnationaux
Coopération renforcée entre autorités pour les traitements transnationaux
Une entreprise dont l’établissement principal est en France, la CNIL sera le guichet unique de cette entreprise et lui notifiera les décisions adoptées dans le cadre de ce mécanisme de cohérence. Ses décisions seront ensuite, si elles sont défavorables, susceptibles de recours devant le Conseil d’État.
RENFORCEMENT DES DROITS DES PERSONNES
Consentement renforcé et transparence
Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.
NOUVEAUX DROITS
Droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers.
Traitement des données des enfants : la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale.
Principe des actions collectives : relatif à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
Réparation des dommages matériel ou moral : toute personne ayant subi un dommage matériel ou moral du fait d’une violation du présent règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
TRANSPARENCE ET RESPONSABILISATION
Le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.
La protection des données dès la conception : les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles
Responsabilisation des acteurs : pour assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability).
La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
DE NOUVEAUX OUTILS DE CONFORMITÉ
- la tenue d’un registre des traitements mis en œuvre
- la notification de failles de sécurité (aux autorités et personnes concernées)
- la certification de traitements
- l’adhésion à des codes de conduites
- le DPO (délégué à la protection des données)
- les études d’impact sur la vie privée (EIVP)
Obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements
En cas de violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures.
DÉLÉGUÉ À LA PROTECTION DES DONNÉES (DATA PROTECTION OFFICER)
– si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.
Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
- de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
DES RESPONSABILITÉS PARTAGÉES ET PRÉCISÉES
Le règlement européen sur la protection des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants.
Pour le représentant légal : il est le point de contact de l’autorité. Il a mandat pour « être consulté en complément ou à la place du responsables de traitement sur toutes les questions relatives aux traitements »
Le sous-traitant : il est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’Ajouter au dictionnaire. Il a notamment une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations sur règlement (PIA, failles, sécurité, destruction des données, contribution aux audits)
Il est tenu de maintenir un registre et de désigner un DPO dans les mêmes conditions qu’un responsable de traitement.
CADRE DES TRANSFERTS HORS DE L’UNION MIS À JOUR
Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et appropriés des personnes
Mis à part les transferts fondés sur une décision d’adéquation de la Commission Européenne, les responsables de traitement et les sous-traitants peuvent mettre en place :
- des règles d’entreprises contraignantes (BCR) ;
- des clauses contractuelles types approuvées par la Commission Européenne ;
- des clauses contractuelles adoptées par une autorité et approuvées par la Commission européenne.
SANCTIONS ENCADRÉES, GRADUÉES, RENFORCÉES
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.
Les autorités de protection peuvent notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données.
S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu
ELITE ADMIN est à votre disposition pour toute demande de renseignement afin de vous délivrer des services d’infogérance normalisés aux nouvelles directives européennes.