Constatant une perte de contrôle croissante des données à caractère personnel transitant sur la « toile » par le biais des nouvelles technologies (réseaux sociaux, objets connectés,…), le Parlement européen a adopté un Règlement destiné à renforcer la protection des droits et libertés des personnes à l’ère du numérique, par l’imposition de règles strictes aux autorités publiques et aux entreprises susceptibles de traiter des données à caractère personnel, afin qu’elles s’assurent de la sécurité de leurs systèmes informatiques.
Le champ d’application de ce Règlement s’avère extrêmement vaste :
– S’agissant d’un Règlement, à la différence d’une Directive, il sera d’application immédiate dans tous les pays membres de l’Union Européenne à compter du 25 mai 2018, sans nécessiter l’adoption d’une Loi de transposition nationale ;
– Le Règlement s’appliquera dès que le traitement aura un lien géographique avec l’Union Européenne (une entité dont le lieu d’établissement est dans l’Union Européenne, une offre de biens ou de services à destination des ressortissants de l’Union Européenne,…) ;
– Le Règlement s’appliquera également aux sous-traitants, de sorte que le donneur d’ordres pourra voir sa responsabilité engagée en cas de manquement du sous-traitant au Règlement, s’il n’a notamment pas vérifié préalablement que celui-ci présentait des garanties suffisantes en termes de mise en œuvre de mesures techniques et organisationnelles appropriées ;
– Les entreprises de toutes tailles seront soumises au Règlement, à partir du moment où elles traitent (c’est-à-dire collectent, enregistrent, transmettent,…) des données se rapportant à une personne physique identifiée ou identifiable (nom, adresse, numéro de carte bancaire, données de géolocalisation,…).
L’évolution majeure de ce texte tient au fait que les entreprises devront abandonner l’ancien système simplement déclaratif auprès de la CNIL de la Loi du 6 janvier 1978 dite « Informatique et Libertés », pour un système d’autocontrôle.
L’autocontrôle n’est cependant pas nouveau, puisqu’il est d’ores et déjà bien connu des établissements bancaires, qui sont soumis à des règles de conformité (« compliance ») destinées à prévenir des risques de crises systémiques en matière financière, par l’introduction de normes de contrôle et d’audit interne, et ce depuis la première crise économique américaine de 1929.
Appliquée à l’informatique et aux libertés, la conformité a pour but d’éviter toute faille de sécurité dans les systèmes informatiques des entreprises et des autorités publiques, qui entraînerait une divulgation involontaire de données à caractère personnel susceptibles de porter plus ou moins gravement atteinte à la vie privée des personnes concernées.
Ce faisant, le Règlement du 27 avril 2016 a créé deux principes fondamentaux de protection des données, que chaque entreprise devra nécessairement intégrer dans son process :
– une protection dite « by design » : elle consiste à anticiper les contraintes « informatiques et libertés » lors de la détermination du traitement pour que celles-ci soient intégrées de manière effective lors de la mise en œuvre du traitement,
– une protection dite « by default » : elle consiste à prendre des mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données qui sont nécessaires au regard de la finalité spécifique du traitement seront connectées et utilisées.
En exécution de ces principes, le Règlement impose aux entreprises de plus de 250 salariés et/ou traitant des données comportant un risque pour les droits et libertés des personnes concernées de tenir un registre des activités de traitement répertoriant plusieurs informations obligatoires, susceptibles d’intéresser la CNIL (identité du responsable du traitement, finalité du traitement, catégories de données traitées, durée de conservation des données, mesures de sécurité mises en œuvre,…).
De même, lorsque les données traitées présentent un risque particulier pour les personnes concernées du fait de leur nature, leur portée, ou leur finalité, le Règlement exige la réalisation d’une analyse d’impact avant d’initier le traitement concerné.
Certaines données seront particulièrement surveillées. Il s’agit notamment des données dites « sensibles », relatives à l’origine raciale ou ethnique, aux opinions politiques, convictions religieuses, à la santé, à l’orientation sexuelle,… De telles données ne pourront par principe être traitées, sauf exceptions prévues au Règlement, à commencer par l’obtention du consentement explicite de la personne concernée. Les données relatives aux condamnations pénales et aux infractions devront quant à elles être traitées sous le strict contrôle des autorités publiques.
Pour toutes les autres catégories de données à caractère personnelles, le Règlement impose à l’entreprise de respecter plusieurs principes généraux lors de leur traitement : loyauté, transparence, limitation, exactitude, pertinence…
Le principe directeur du Règlement reste celui de la licéité du traitement, laquelle est reconnue dès lors que l’une des conditions suivantes est remplie :
– la personne concernée a consenti au traitement des données à caractère personnel ;
– le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ;
– le traitement est nécessaire au respect d’une obligation légale, à laquelle le responsable du traitement est soumis,
– le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée,
– le traitement est nécessaire à l’exécution d’une mission d’intérêt public,
– le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Ainsi, dans cette logique d’autocontrôle, l’entreprise devra opérer au cas par cas une balance entre les intérêts légitimes poursuivis par le traitement et les droits et libertés des personnes concernées, pour déterminer si le traitement qu’elle entend opérer répond bien aux prescriptions du Règlement général sur la protection des données.
Un second petit-déjeuner relatif au Règlement général sur la protection des données sera organisé par le cabinet VIVALDI-Avocats le 18 octobre prochain, lequel traitera des sujets suivants :
– les mécanismes à mettre en place au sein de l’entreprise pour assurer aux personnes dont les données sont collectées le respect des droits qui leur sont conférés par le Règlement (droit d’information, droit d’accès aux données, droit à la portabilité des données,…),
– les mesures de sécurité des données à mettre en place au sein de l’entreprise et les obligations déclaratives en cas d’identification d’une faille de sécurité,
– la désignation facultative ou obligatoire, selon les cas, d’un Délégué à la protection des données,
– le régime propre au transfert de données hors de l’Union Européenne,
– les pouvoirs étendus de la CNIL et la nature des sanctions qu’elle pourra prononcer à l’encontre des entreprises en cas de violation du Règlement.
Nous vous invitons à vous inscrire à chronos@vivaldi-avocats.com, en laissant vos coordonnées. Nous vous confirmerons votre inscription par retour.
Virginie PERDRIEUX
Vivaldi-Avocats
