Le Règlement général a pour vertu de restaurer un droit de contrôle effectif des personnes sur l’utilisation des données les concernant. A cet effet, il fait peser sur les entreprises et les autorités publiques une obligation d’information auprès des personnes concernées par un traitement de données, sous deux formes :
– une obligation d’information à délivrer au moment de la collecte de données à caractère personnel, de manière concise, transparente, compréhensible et aisément accessible, selon une liste précise d’informations établie par le Règlement ;
– une obligation de répondre sous un délai d’un mois à toute demande d’information sur le traitement des données par la personne concernée ou, à défaut, de motiver le refus d’informer.
Plusieurs droits d’ores et déjà consacrés par la Loi informatique et des libertés de 1978 sont repris dans le Règlement, soit notamment le droit pour la personne concernée d’accéder à ses données, d’en obtenir la rectification ou l’effacement (consécration du droit à l’oubli) et le droit de limiter ou de s’opposer à l’exploitation de ses données. A cette liste, le Règlement a ajouté le droit à la portabilité, lequel permettra, à compter du 25 mai 2018, à toute personne concernée par un traitement de données à caractère personnel de demander à ce que les données collectées à son sujet lui soient restituées sous un format facilement réutilisable.
De manière surprenante, le Règlement n’apporte aucune définition au principe de protection des données, instaurant un principe de sécurité adapté, au regard du type de données collectées, du contexte et des finalités du traitement, mais également de l’état de la connaissance. Dans la logique d’autocontrôle irriguant l’ensemble du texte, il revient encore une fois à l’entreprise de faire un audit de ses risques et de mettre en place des mécanismes sécuritaires adaptés pour éviter que des tiers non autorisés aient accès aux données collectées.
La pseudonimisation est un mécanisme parmi tant d’autres susceptible d’assurer une certaine sécurité, puisque celle-ci permet de ne plus pouvoir associer des données à une personne précise sans avoir recours à des informations supplémentaires, les rendant en apparence inaccessibles.
La CNIL devrait, comme elle l’a d’ores et déjà fait dans le cadre de la Loi informatique et libertés de 1978, publier des recommandations techniques pour aider les entreprises à mettre en place de mesures de sécurité, dont certaines sont d’ores et déjà bien connues : identification par mot de passe, limitation au sein de l’entreprise des personnes habilitées à avoir accès à certaines données, échange d’informations sur un portail sécurisé, chiffrement des données…
Seulement, le Règlement prévoit que lorsqu’une faille de sécurité sera identifiée par l’entreprise, celle-ci devra :
– notifier cette faille à la CNIL dans un délai maximum de 72 heures après en avoir pris connaissance ;
– mais également la notifier à la personne concernée, s’il existe un risque élevé pour ses droits et libertés.
A noter que cette obligation de « dénonciation » n’empêchera pas la CNIL de prononcer des sanctions à l’encontre de l’entreprise.
Dans la ligne droite du Correspondant Informatique et Libertés (CIL) qui a vu le jour en 2005, le Règlement crée un nouveau métier : le Délégué à la Protection des Données (DPO). Tout comme le CIL, il constituera l’intermédiaire privilégié entre le responsable du traitement et la CNIL et il bénéficiera à ce titre d’un accès personnalisé aux services de la CNIL. Soumis à un principe d’indépendance, le DPO ne pourra être tenu responsable à la place de son employeur pour le traitement des données à caractère personnel réalisé.
La désignation d’un tel délégué devient obligatoire à compter du 25 mai 2018 dans les trois cas suivants :
– pour les autorités publiques,
– pour les entreprises dont l’activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
– pour les entreprises dont l’activité principale les amène à traiter à grande échelle des données dites particulières ou relatives à des condamnations pénales, ou des infractions.
Le caractère particulièrement indéterminé des termes susvisés nous oblige à recommander la désignation d’un délégué dès lors que l’activité de leur entreprise implique de manière usuelle la collecte de données à caractère personnel.
Le Délégué pourra être désigné en interne, cependant il ne pourra s’agir d’une personne cumulant la qualité de responsable de traitement, à raison du conflit d’intérêt qui pourrait ainsi exister. Il est donc recommandé d’externaliser ce poste, notamment auprès d’un cabinet d’avocats, celui-ci ayant la particularité d’être soumis au secret professionnel et à une obligation de confidentialité, de sorte qu’il ne pourra dénoncer son client.
Les missions du délégué consisteront principalement à informer et conseiller le responsable de traitement concernant les obligations résultant du Règlement, contrôler le respect du traitement aux normes en vigueur, mais également coopérer avec l’autorité de contrôle.
Les entreprises devront également faire preuve de prudence lorsqu’elles souhaiteront transférer des données à caractère personnel à l’étranger, puisque le Règlement impose dans de tels cas que les Etats destinataires soient reconnus par la Commission européenne comme assurant un niveau adéquat de protection.
Enfin, il convient particulièrement de noter les pouvoirs très importants octroyés à la CNIL par ce Règlement, celle-ci pouvant mener des enquêtes sur place ou sur pièce à première demande, ordonner des mesures correctrices allant du simple avertissement au retrait de certification, mais également saisir la formation des sanctions, laquelle pourra, selon le manquement constaté, prononcer des amendes administratives susceptibles de se chiffrer à hauteur de 10 à 20 millions d’euros, ou de 2 à 4 % du chiffre d’affaires mondial concernant les sociétés.
Les entreprises devront d’autant plus être vigilantes qu’à la différence d’une sanction pénale, ces amendes administratives pourront être prononcées, dès lors que la CNIL constate que le responsable de traitement n’a pas mis en place des mesures suffisantes pour se conformer aux dispositions du règlement, quand bien même aucun préjudice n’en serait résulté.
Virginie PERDRIEUX
Vivaldi-Avocats
