Changement legislatifPour le Règlement européen sur la protection des données personnelles (GDPR/RGPD), le compte à rebours a commencé.

Le 15 décembre 2015, un accord a été conclu entre les représentants de la Commission européenne, du Parlement européen et du Conseil des Ministres de l’Union européenne à l’issue des négociations finales entre les trois institutions (réunions dites de «trilogue») sur le projet de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ». Le Conseil a également confirmé cet accord le 12 février 2016, en dégageant un accord politique sur le texte.

Le texte sera soumis en vue de l’adoption au Conseil en première lecture, qui sera ensuite transmis au Parlement pour approbation. Le règlement sera publié au journal officiel au cours du mois de Mai 2016, et entrera en vigueur deux ans à compter de sa date de publication, en 2018.

25 changements importants

Le Règlement redéfinit le régime de protection des données en Europe avec des changements importants:

1. Le même cadre législatif au sein des 28 pays de l’Union européenne : d’application directe, le Règlement s’appliquera de manière uniforme dans les 28 États membres, sans devoir être transposé dans le droit national. Dans certains domaines, les États membres pourront toutefois prévoir des dérogations ou mettre en place des règles supplémentaires.

2. Effet extra-territorial de la loi – Champ d’application étendu (Article 3) : les entreprises ayant leur siège en dehors de l’Europe devront appliquer les mêmes règles lorsqu’elles proposeront des biens ou des services sur le marché de l’UE, dès lors que le traitement de données à caractère personnel concerne des résidents de l’UE.

3. Augmentation des amendes, applicables (aussi) aux sous-traitants (Article 83): en cas de manquement, les sanctions administratives pourront désormais aller jusqu’au 20 millions d’euros ou 4% du chiffre d’affaire annuel mondial d’une entreprise, les responsables de traitement et les sous-traitants étant responsables solidairement.

4. Renforcement des autorités et contrôle accru de l’application de la réglementation (Article 51 et suivants): Le projet de règlement a également pour objectif d’instaurer des mécanismes visant à assurer une application cohérente de la législation en matière de protection des données dans l’ensemble de l’UE. Les autorités de contrôle ont leurs pouvoirs renforcés, échangent des informations, peuvent mener des actions conjointes et agissent en cohérence.

5. Création du Comité européen de la protection des données (Article 68 et suivants): Le règlement prévoit la création d’un comité (EDPB – European Data Protection Board) composé de représentants des 28 autorités de contrôle indépendantes ainsi que du Contrôleur Européen à la protection des données et remplacerait l’actuel Groupe de travail de l’article 29 – G29. Ce Comité sera compétent pour assurer une application cohérente du règlement.

Responsabilisation des acteurs

6. Les sous-traitants deviennent responsables (Article 28): les prestataires assumeront une responsabilité directe ce qui aura un impact significatif sur de très nombreuses sociétés agissant en qualité de sous-traitants. Il doit désormais obtenir l’accord du responsable de traitement avant d’engager un autre prestataire. Le texte détaille les obligations de chacun à prévoir dans un contrat.  Lorsqu’un sous-traitant fait lui-même appel à un prestataire qui ne respecte pas les engagements du contrat initial, le sous-traitant initial en sera pleinement responsable devant le responsable de traitement.

Les responsables conjoints du traitement (Article 26): Désormais, plusieurs entreprises peuvent se voir reconnaitre conjointement la qualité de responsable de traitement.

7. Guichet unique (one-stop-shop) (Article 60): le Règlement permettra à une entreprise ayant des filiales dans plusieurs États membres de n’avoir à traiter qu’avec l’autorité de contrôle de l’État membre dans lequel elle a son établissement principal, les autorités des différents États Membres devant ensuite coopérer entre elles. L’autorité de contrôle correspondant à l’établissement principal ou unique de l’entreprise agira à titre d’ « autorité de contrôle chef de file », cependant d’autres autorités de contrôle nationales pourront également traiter des réclamations déposées par les personnes dans leur État et les faire suivre à l’autorité chef de file. En cas de désaccord, le Comité européen de la protection des données (EDPB) sera consulté.

8. L’exigence d’un représentant situé dans l’Union (Article 27): Les entreprises non européennes qui traitent des données personnelles de ressortissants de l’UE, auront l’obligation de nommer un représentant.

9. Analyse d’impact relative à la protection des données (PIA) obligatoire (Article 35) : lorsque les technologies mises en œuvre présenteront un risque pour le respect de la vie privée des personnes concernées, les responsables de traitements devront évaluer eux-mêmes leurs traitements de données personnelles et les risques en résultant pour les personnes concernées au moyen d’études d’impact, puis mettre en place des mesures appropriées en conformité avec le Règlement. Les analyses d’impact seront obligatoires pour le profiling et la surveillance des personnes à grande échelle.

La CNIL aura la charge de définir une liste de traitements pour lesquels l’analyse d’impact sera obligatoire. Pour ces traitements nécessitant une analyse d’impact, le responsable de traitement devra consulter la CNIL avant d’effectuer le traitement.

10. Notification des failles de sécurité dans les 72h (Article 33 et 34): Il devient désormais obligatoire à toute société de notifier à l’autorité de contrôle compétente toute faille de sécurité concernant les données personnelles dans un délai de 72 heures après sa découverte. Il est également obligatoire de notifier les personnes concernées lorsqu’il existe un risque élevé pour leurs droits et libertés. Cette communication n’est toutefois pas obligatoire lorsque toutes les mesures techniques et organisationnelles appropriées ont été mises en place (ex : cryptage des données). Cette obligation a un périmètre d’application assez large et s’accompagne d’une obligation d’informer les personnes affectées par la faille si la violation présente un risque élevé pour elles.

11. “Privacy by Design”, « Privacy by Default » (Article 25): Dès la conception ou la création de produits ou services et par défaut, le responsable du traitement devra implémenter des mesures organisationnelles et techniques appropriées au traitement en cours et aux objectifs du traitement – y compris la minimisation et la pseudonymisation des données – de manière que le traitement soit conforme aux prescriptions du règlement et garantisse la protection des droits des personnes concernées.

Privacy by default permet d’imposer au responsable de traitement l’application de « mesures appropriées afin d’assurer que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement, ces données n’étant, en particulier, pas collectées ou conservées au-delà du minimum nécessaire à ces finalités… » et que ces mécanismes garantissent un accès aux données limité qu’aux seules personnes habilitées.

12. Accountability – Fin des formalités préalables mais obligation de documenter le respect du Règlement (Article 5. 2, Chapitre IV): les responsables de traitement de données n’auront plus l’obligation de déclarer leurs traitements de données aux autorités de contrôle. Les responsables et sous-traitants devront en revanche (dans certaines conditions) établir et conserver un enregistrement interne des traitements de données et des éléments attestant du respect des principes posés par le Règlement.

13. Désignation d’un délégué à la protection des données – DPO (Article 37 et s.): les organismes publiques, les entreprises traitant des données sensibles à grande échelle ainsi que les entreprises dont les principales activités impliquent le traitement de grands volumes de données, régulièrement et systématiquement (profiling), auront désormais l’obligation de désigner un délégué à la protection des données.

14. Le registre des traitements désormais obligatoire (Article 30): Le règlement généralise à toutes les entreprises de plus de 250 salariés l’obligation d’établir un registre de l’ensemble des traitements. Cette obligation s’applique à tout responsable de traitement mais aussi, à tout sous-traitant.

Les entreprises de moins de 250 salariés effectuant des traitements pouvant comporter des risques pour les droits et obligations des personnes, les traitements des données personnelles ne représente pas une activité occasionnelle ou comportant des données sensibles, doivent également établir un registre.

Ce registre doit être à la disposition des autorités de contrôle.

15. La promotion des codes de conduite (Article 40): Le texte encourage à la mise en place de codes de conduite par secteur d’activité afin de conseiller et d’orienter les acteurs à se conformer au règlement européen.

16. Des procédures de certification et de labellisation (Article 42): Le comité européen de la protection des données (EDPB exG29) et les institutions de l’UE devront proposer des certifications et des labels afin d’attester de la conformité au règlement des traitements effectués par une entreprise donnée.

17. Des nouvelles règles concernant le transfert de données hors UE (Article 44): le Règlement prévoit la possibilité de se fonder sur un  code de conduite (Binding Corporate Rules) par secteur d’activité contribuant à l’application du Règlement ou sur un label/certificat. Le Règlement affirme par ailleurs expressément qu’un transfert hors UE ne peut être imposé par les lois et règlements d’un pays tiers à l’UE.

Le transfert de données vers des États tiers ne nécessitera plus d’autorisation de transfert par la CNIL mais exigera la signature d’un contrat de transfert de données.

Le renforcement des droits des personnes

18. De nouvelles définitions (Article 4) :

  • Profilage
  • Faille de sécurité
  • Données biométriques
  • Données de santé

19. Obligation d’information renforcée (article 12) : Le Règlement prévoit un renforcement de l’information des personnes qui doit désormais être concise, transparente, intelligible et facile d’accès. Les entreprises seront également tenues d’informer les personnes concernées par les traitements du droit d’introduire une réclamation auprès de l’autorité de contrôle et les coordonnées de cette autorité, des détails de tout transfert de données hors de l’UE et des mesures de protection y afférentes, ainsi que des coordonnées du délégué à la protection des données désigné.

Le texte précise de façon détaillée les mentions à apporter lorsque les données sont collectées auprès des personnes mais aussi lorsqu’elles sont collectées de façon indirecte.

20. Nouveaux droits des personnes (Article 17, 18 et 20): À côté des droits – d’accès, de rectification ou d’opposition – existants, le texte consacre plusieurs autres droits :

  • Un droit à l’effacement des données
  • Un droit à la limitation du traitement
  • Un droit à la portabilité des données: le Règlement prévoit de faciliter les transferts de données personnelles d’un prestataire de services à un autre, sans toutefois en préciser les modalités.

Il est a noter que le règlement consacre un droit d’opposition spécifique pour les traitements de marketing direct.

21. Renforcement du consentement (Article 7): Le Responsable de traitement doit être en mesure de prouver que le consentement a été donné et il est désormais prévu que la personne concernée puisse retirer son consentement. Le consentement doit être “indubitable” pour les traitements de données sensibles et “explicite” dans tous les cas où il est exigé et non plus seulement lorsque le traitement est mis en œuvre sur la base du consentement de la personne concernée. Les entreprises doivent en outre solliciter un consentement séparément pour les différentes opérations de traitement.

22. La protection spécifique des mineurs (Article 8) : Entre 13 et 16 ans selon les États, le consentement des parents est requis pour procéder au traitement des données.

23. L’encadrement du “profiling” (Article 21): Le Règlement prévoit le droit de s’opposer aux traitements aboutissant à une prise de décision entièrement automatisée et susceptibles d’avoir des effets juridiques ou d’affecter de manière significative les droits des personnes concernées. Les décisions automatisées impliquant le traitement de données sensibles sont encore plus strictement encadrées.

24. Des voies recours nouvelles (Article 78, 79): La personne concernée par un traitement peut désormais exercer un recours en justice sur la base du non-respect du règlement. Ce recours peut être effectué parallèlement au dépôt d’une plainte auprès de la CNIL. Le texte prévoit désormais un droit à réparation du préjudice subi du fait du non-respect des obligations du règlement.

25. Des exceptions (Article 85 et s.): Le texte prévoit des exceptions aux règles générales pour les traitements de données journalistiques, l’accès aux documents officiels, l’utilisation du numéro national d’identification et les traitements effectués dans le cadre des relations de travail.

Comment être conforme au Règlement ?

Avec le Règlement, les entreprises doivent apporter la preuve qu’elles respectent les exigences du GDPR et d’être capables de démontrer le respect de ces exigences.  La protection des données personnelles devra être pleinement intégrée à l’ensemble des activités des entreprises ciblant des résidents de l’UE qui doivent dès à présent réfléchir à la transformation de leur organisation, de leur processus et de leur stratégie. Voici quelques mesures à mettre en place:

  • Évaluez la situation actuelle au sein de votre entreprise
  • Mettre en place une équipe et lui allouer un budget
  • Nommer un Data Protection Officer
  • Réaliser un audit des traitements de données
  • Prendre en considération le Privacy by design et by default pour tous vos projets
  • Faire une analyse d’impact pour les traitements qui pourraient engendrer des risques importants pour les libertés et droits des personnes
  • Évaluer l’ensemble des contrats existants dans lesquels votre entreprise est responsable du traitement des données ou sous-traitant
  • Désigner un représentant en France si votre entreprise est établie en dehors de l’UE mais met en œuvre des traitements des données sur le territoire français.
  • Mettre en place des procédures
  • Se préparer à des éventuelles failles de sécurité
  • Réviser vos politiques en matière de vie privée
  • Sensibiliser le personnel et mettre en place des sessions de formation
  • Documenter vos traitements de données à caractère personnel (accountability)

ACTECIL reste à votre disposition pour toute question et vous accompagne dans vos démarches de mise et maintien en conformité avec les nouvelles obligations afin de répondre aux exigences de ce nouveau cadre juridique.

MàJ: 13/04/2016

2 Responses to Protection des données personnelles : comment vous préparez-vous aux nouvelles obligations ?

  1. [...] Pour le Règlement européen sur la protection des données personnelles (GDPR/RGPD), le compte à rebours a commencé. Le 15 décembre 2015, un accord a été conclu entre les représentants de la Commission européenne, du Parlement européen et du Conseil des Ministres de l’Union européenne à l’issue des négociations finales entre les trois institutions (réunions dites de «trilogue») sur le projet de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ». Le Conseil a également confirmé cet accord le 12 février 2016, en dégageant un accord politique sur le texte. Le texte sera soumis en vue de l’adoption au Conseil en première lecture, qui sera ensuite transmis au Parlement pour approbation. Le règlement sera publié au journal officiel au cours du mois de Mai 2016, et entrera en vigueur deux ans à compter de sa date de publication, en 2018.  [...]

  2. [...] Protection des données à caractère personnel, règlement européen : Comment vous préparez-vous …Un digest pratique [...]