Vie institutionnelle

Le règlement général de l’UE sur la protection des données personnelles du 16 avril 2016 entrera en vigueur dans quelques mois.

Mis en ligne le

En droit français, le domaine de la protection des informations nominatives est principalement encadré par la Loi n°78-17 modifiée relative à l’informatique, aux fichiers et aux libertés qui est la norme de référence. Une modification intervenue en 2004 met en évidence la notion de « données à caractère personnel » qui remplace le concept « d’informations nominatives ».

 

L’Union Européenne prévoit également une mesure de protection qui sera obligatoire et dont les principales dispositions entreront en vigueur au plus tard le 25 mai 2018, il s’agit du Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel (TDCP) et à la libre circulation de ces données, et abrogeant la directive 95/46/CE N°2016/679 du Parlement européen et du Conseil du 27 avril 2016 communément appelé Règlement Général sur la Protection des Données (RGPD).

 

Ce texte concerne aussi bien les acteurs du secteur privé (entreprises, employeurs…) que les administrations de l’Etat ou les collectivités territoriales, et doit assurer un cadre juridique unifié pour l’ensemble de l’Union Européenne. La Commission Nationale de l’Informatique et des Libertés est très impliquée dans les travaux menés par le G29, groupe des "CNIL" européennes, à ce titre Madame Isabelle Falque-Pierrotin, Présidente de la CNIL, préside le groupe de travail article 29 depuis février 2014.

 

Le RGPD vise à adapter le cadre juridique existant aux nouvelles réalités du numérique de l’Internet aux réseaux sociaux, en passant par la vidéosurveillance ou le big data, tout en préservant un haut niveau de protection pour l’individu.

 

Le Règlement recherche un point d’équilibre entre les attentes des individus, les objectifs de politique publique, notamment de sécurité, et ceux des entreprises qui veulent valoriser le potentiel de l’économie numérique.

 

Les droits des personnes physiques sont renforcés et prévoient 4 dispositions nouvelles :

 -    Les conditions applicables au consentement des personnes au traitement des données les concernant sont durcies, le consentement doit être obtenu clairement après avoir reçu une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données,

-    Le droit à l’effacement des données à caractère personnel est un nouveau droit consacré par le règlement européen,

-    Le droit à l’oubli spécifique pour les mineurs. Un internaute âgé de moins de 18 ans au moment de la publication ou de la création d’un compte en ligne peut directement demander au site l’effacement des données le concernant et ce, dans les meilleurs délais…

-    Le droit à la portabilité des données permet aux citoyens des Etats membres de récupérer leurs données personnelles dans un format réutilisable ainsi que leur transmission à un autre responsable de traitement (par exemple, en cas de changement d’opérateur de téléphonie ou de services Internet).

 

Pour les organismes qui collectent les données à caractère personnel, le RGPD prévoit de nouvelles obligations pour les organisations et les entreprises :

-   La conduite d’études d’impact sur la vie privée (EIVP ou PIA) des traitements constitue une nouvelle           

obligation pour les responsables de TDCP, les caractéristiques du traitement, les risques et les mesures adoptées pour les droits et libertés des personnes physiques devront être identifiés. En cas de risque élevé, la CNIL devra être saisie préalablement à la mise en œuvre du traitement.

-   La désignation d’un Délégué à la Protection des Données (DPO) sera obligatoire dans le secteur public et  pour les entreprises qui traitent le suivi régulier et systématique des données à grande échelle et de même que la nomination d’un responsable de traitement.

-   La mise en place d’un registre de traitements qui est un élément central dans la mise en conformité RGPD, ce registre doit documenter tous les traitements de données à caractère personnel mis en œuvre au sein de chaque structure.

-   La notification des violations de données personnelles à l’autorité  de contrôle, ainsi qu’aux personnes concernées, en cas de risque élevé pour leurs droits et libertés, pour les responsables de traitement.

-   Des sanctions administratives et financières renforcées: les autorités de contrôle ont la possibilité de prononcer des amendes à l’encontre des responsables de traitement ou leurs sous-traitants qui peuvent atteindre, en fonction de la catégorie de l’infraction 10 ou 20 millions d’euros ou pour une entreprise, de 2 à 4% du chiffre d’affaires annuel mondial.   

 

Les mesures de protection prévues par la loi Informatiques, des fichiers et des libertés seront ainsi renforcées par le RGPD. Elles engendrent, d’une part, un changement de comportement pour les entreprises et les organisations pour se conformer à la règlementation car dans certains cas, la mise en conformité à la Loi n’était pas respectée; d’autre part, des coûts de fonctionnement supplémentaires qui conduiront probablement les structures à mutualiser leurs actions de mise en conformité (optimiser l’efficacité des traitements par la logique de famille de traitement semblables); enfin de permettre aux Etats membres de l'Union de s'adapter aux nouvelles réalités du numérique pour la sécurité des données des personnes. 

 

Lire aussi le RGPD sur le site officiel de la CNIL :

https://www.cnil.fr/fr/reglement-europeen-protection-donnees