« Une adoption n’est pas envisagée avant mars 2014 »

6640564215_717f282f2c_o

CNIL par mr.paille

Le 17 juillet 2013, la CNIL a publié sur son site Web un article faisant le point sur l’avancement du projet européen (« Projet de règlement européen : agir vite dans un calendrier contraint« ).

Annoncé initialement fin 2013-début 2014, le projet définitif ne serait finalement pas adopté avant mars 2014. Ce retard doit être vu comme une opportunité de mieux se préparer à un régime imposant des sanctions plus draconiennes et une documentation plus lourde.

Quelques points importants à retenir :

  • Montant des amendes : 2% du CA global d’un groupe – soit l’équivalent d’1.2 Milliard de dollars pour Microsoft en 2008 –  et 1.000.000 d’euros pour un organisme public ;
  • Des études d’impact sur les risques pour les personnes concernant certains traitements sensibles ;
  • Obligation de notifier les failles de sécurité à la CNIL ;
  • Obligation d’informer sur les durées de conservation, respect du droit à l’oubli
  • Une nette tendance à aller vers plus d’opt-in

La CNIL liste les sujets les plus débattus :

  • La définition des données personnelles dans le contexte de l’explosion du numérique, où l’on peut cibler une personne sans l’identifier directement, et les risques associés à l’application d’un régime allégé pour les données pseudonymes;
  • Le renforcement des droits des individus avec la consécration du droit à l’oubli numérique et de la portabilité des données ;
  • La nécessaire mise en place, en contrepartie de la simplification des formalités administratives, d’instruments de responsabilisation des responsables de traitement et sous-traitants, tels que les analyses d’impact, les correspondants Informatique et Libertés, et l’obligation de documentation ;
  • La faiblesse de l’encadrement des transferts de données hors UE reposant sur des instruments juridiques non contraignants ou sur une auto-évaluation des risques et des garanties par l’exportateur de données, sans référentiel établi ni contrôle des autorités de protection ;
  • La difficile conciliation entre la compétence exclusive d’une autorité de protection dont la désignation est laissée au choix de l’entreprise et le droit à un recours effectif pour les citoyens concernés dans leur pays de résidence.

Un retard expliqué par l’affaire PRISM ?

Le 19 juillet 2013 à Vilnius, la Vice Présidente Vivian Reding a ré-affirmé l’importance du projet de révision (Mémo de la Commission Européenne) : « l’ensemble des institutions de l’UE sont d’accords pour joindre leur force afin de doter notre continent d’une législation forte en matière de protection des données personnelles (…) PRISM a sonné comme un réveille : la réforme de la protection des données et la réponse de l’Europe ».

Elle annonce d’ailleurs réévaluation du Safe Harbour par la Commission, dont les résultats seront présentés d’ici la fin de l’année.

 

 

 

 

Comments are closed.