Règlement général sur la protection des données : ce qui change pour les professionnels
Le nouveau règlement européen sur la protection des données personnelles est entré en application le 25 mai 2018.
La réforme de la protection des données poursuit trois objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Un cadre juridique unifié pour l’ensemble de l’UE
Le texte adopté est un règlement européen, ce qui signifie que, contrairement à une directive, il est directement applicable dans l’ensemble de l’Union sans nécessiter de transposition dans les différents États membres. Le même texte s’applique donc à partir du 25 mai 2018 dans toute l’Union. Dès lors, les traitements déjà mis en œuvre à cette date doivent d’ici là être mis en conformité avec les dispositions du règlement.
Un champ d’application étendu
Le critère du ciblage
Le règlement s’applique dès lors que le responsable de traitement Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la pers...> En savoir plus Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Les sous-...> En savoir plusresponsable de traitement
sous\-traitant
En pratique, le droit européen s’applique chaque fois qu’un résident européen est directement visé par un traitement de données, y compris par Internet.
La responsabilité des sous-traitants
Par ailleurs, alors que le droit de la protection des données actuel concerne essentiellement les « responsables de traitements », c’est-à-dire les organismes qui déterminent les finalités et les modalités de traitement de données personnelles Un traitement de données personnelles est une opération, ou ensemble d’opérations, portant sur des données personnelles, quel que soit le procédé utilisé (collecte, enregistrement organisation, conservation, adaptation, modification, extraction consu...> En savoir plustraitement de données personnelles
En savoir plus sur les obligations des sous-traitants
Un guichet unique : le « one stop shop »
Les entreprises sont désormais en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre où se trouve leur « établissement principal », désignée comme l’autorité « chef de file ». Cet établissement est soit le lieu de leur siège central dans l’Union, soit l’établissement au sein duquel sont prises les décisions relatives aux finalités et aux modalités du traitement. Les entreprises bénéficient ainsi d’un interlocuteur unique pour l’Union européenne en matière de protection des données personnelles, lorsqu’elles mettent en œuvre des traitements transnationaux.
En savoir plus sur le guichet unique
Une coopération renforcée entre autorités pour les traitements transnationaux
Toutefois, dès lors qu’un traitement est transfrontalier – donc qu’il concerne les citoyens de plusieurs États membres –, les autorités de protection des données des différents États concernées sont juridiquement compétentes pour s’assurer de la conformité des traitements de données mis en œuvre.
Afin d’assurer une réponse unique pour l’ensemble du territoire de l’Union, l’autorité « chef de file » coopére avec les autres autorités de protection des données concernées dans le cadre d’opérations conjointes. Les décisions sont adoptées conjointement par l’ensemble des autorités concernées, notamment en termes de sanctions.
Les autorités de protection nationales sont réunies au sein d’un Comité européen de la protection des données (CEPD), qui veille à l’application uniforme du droit sur la protection des données. Il remplace l’ancien G29 L’article 29 de la directive du 24 octobre 1995 sur la protection des données et la libre circulation de celles-ci a institué un groupe de travail rassemblant les représentants de chaque autorité indépendante de protection des données nationale. Cett...> En savoir plusg29
En pratique, l’autorité « chef de file » propose les mesures ou décisions (constatant la conformité d’un traitement ou proposant une sanction À l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL ou son président peuvent prononcer des sanctions ...> En savoir plussanction
Que le CEPD soit ou non saisi, l’autorité « chef de file » porte la décision ainsi partagée par ses homologues. Il y a donc une décision conjointe, susceptible de recours devant le juge des décisions de l’autorité « chef de file ».
Par exemple, dans le cas d’une entreprise dont l’établissement principal est en France, la CNIL est le guichet unique de cette entreprise et lui notifie les décisions adoptées dans le cadre de ce mécanisme de cohérence. Ses décisions sont ensuite, si elles sont défavorables, susceptibles de recours devant le Conseil d’État.
Ce mécanisme permet ainsi aux autorités de protection des données de se prononcer rapidement sur la conformité d’un traitement ou sur un manquement au règlement et garantit une sécurité juridique élevée aux entreprises en leur assurant une réponse unique sur l’ensemble du territoire de l’Union.
Un renforcement des droits des personnes
Le règlement européen renforce les droits des personnes et facilite l’exercice de ceux-ci.
En savoir plus sur les droits des personnes
Consentement renforcé et transparence
Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données.
En savoir plus sur la transparence et l'obligation d'information
L’expression du consentement est définie : les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. La charge de la preuve du consentement incombe au responsable de traitement Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la pers...> En savoir plusresponsable de traitement
De nouveaux droits
Le droit à la portabilité des données : ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.
En savoir plus sur le droit à la portabilité
Des conditions particulières pour le traitement des données des enfants : Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l'enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans.
En France par exemple, l’âge retenu est de 15 ans. En deçà, la loi française prévoit que le consentement conjoint de l’enfant et du titulaire de l’autorité parentale doit être recueilli.
Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.
Introduction du principe des actions collectives : Tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données ont la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
Un droit à réparation des dommages matériel ou moral : Toute personne ayant subi un dommage matériel ou moral du fait d'une violation du présent règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Les sous-...> En savoir plussous\-traitant
Une conformité basée sur la transparence et la responsabilisation
Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables Ensemble des formalités déclaratives à effectuer auprès de la CNIL avant la mise en œuvre d’un traitement de données personnelles ; selon les cas, il peut s’agir d’une déclaration ou d’une demande d’autorisation.formalités préalables
Une clé de lecture : la protection des données dès la conception et par défaut (privacy by design)
Les responsables de traitements doivent mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils doivent veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation Le principe de minimisation prévoit que les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées.
Exemple : Collecter et conserver le...> En savoir plusminimisation
Un allègement des formalités administratives et une responsabilisation des acteurs
Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment (accountability L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.accountability
La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Quant aux traitements soumis actuellement à autorisation, le régime d’autorisation est maintenu dans certains cas par le droit national (par exemple en matière de santé) ou est remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.
De nouveaux outils de conformité :
- la tenue d’un registre des traitements mis en œuvre
- la notification de failles de sécurité (aux autorités et personnes concernées)
- la certification de traitements
- l’adhésion à des codes de conduites
- le DPO (délégué à la protection des données)
- les analyses d’impact relatives à la protection des données (AIPD)
Les « analyses d’impact relatives à la protection des données » (AIPD ou PIA)
Pour tous les traitements à risque, le responsable de traitement Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la pers...> En savoir plusresponsable de traitement
En cas de risque élevé, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les « CNIL » pourront s’opposer au traitement à la lumière de ses caractéristiques et conséquences.
En savoir plus sur l'analyse d'impact relative à la protection des données (AIPD)
Une obligation de sécurité et de notification des violations de données personnelles pour tous les responsables de traitements
Les données personnelles doivent être traitées de manière à garantir une sécurité et une confidentialité appropriées.
Lorsqu’il constate une violation de données Une violation de la sécurité se caractérise par la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données,...> En savoir plusviolation de données
En savoir plus sur les violations de données
Le Délégué à la Protection des données (Data Protection Officer)
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
- s’ils appartiennent au secteur public,
- si leurs activités principales les amène à réaliser un suivi régulier et systématique des personnes à grande échelle,
- si leurs activités principales les amène à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.
Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe.
Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
sous\-traitant
Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation. Les sous-...> En savoir plus
- de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’une analyse d'impact (AIPD) et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci
Des responsabilités partagées et précisées
Le règlement européen sur la protection des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations pesant sur les responsables de traitements et les sous-traitants.
Le représentant légal
C’est le point de contact de l’autorité. Il a mandat pour « être consulté en complément ou à la place du responsables de traitement sur toutes les questions relatives aux traitements »
Le sous-traitantsous\-traitant
Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation.
Les sous-...> En savoir plus
sous\-traitant
Le sous-traitant est la personne physique ou morale (entreprise ou organisme public) qui traite des données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation. Les sous-...> En savoir plus
Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability L’accountability désigne l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données.accountability
Il est tenu de maintenir un registre et de désigner un DPO dans les mêmes conditions qu’un responsable de traitement Le responsable de traitement est la personne morale (entreprise, commune, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la pers...> En savoir plusresponsable de traitement
Le cadre des transferts hors de l’Union mis à jour
Les responsables de traitement et les sous–traitants peuvent transférer des données hors UE seulement s’ils encadrent ces transferts avec des outils assurant un niveau de protection suffisant et appropriés des personnes.
Par ailleurs, les données transférées hors Union restent soumises au droit de l’Union non seulement pour leur transfert, mais aussi pour tout traitement et transfert ultérieur.
Ainsi, et hormis les transferts fondés sur une décision d’adéquation de la Commission Européenne, les responsables de traitement et les sous-traitants peuvent mettre en place :
- des règles d’entreprises contraignantes (BCR) ;
- des clauses contractuelles typesapprouvées par la Commission Européenne ;
clauses contractuelles types
Il s’agit de modèles de clauses contractuelles adoptés par la Commission européenne permettant d’encadrer les transferts de données personnelles effectués par des responsables de traitement vers des destinataires situés hors de l’Union européenne. El...> En savoir plus
- des clauses contractuelles adoptées par une autorité et approuvées par la Commission européenne.
En savoir plus sur les transferts
De nouveaux outils sont également prévus :
- pour les sous-traitants : la possibilité de mettre en place des règles d’entreprises contraignantes ;
- pour les autorités publiques : le recours à des accords contraignants ;
- pour les responsables de traitement et les sous-traitants : l’adhésion à des codes de conduite ou à un mécanisme de certification. Ces deux outils doivent contenir des engagements contraignants.
Enfin, une autorisation spécifique de l’autorité de protection basée sur ces outils n’est plus requise.
Des sanctions encadrées, graduées et renforcées
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement.
Les autorités de protection peuvent notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d'exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l'effacement des données.
S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction À l'issue de contrôle ou de plaintes, en cas de méconnaissance des dispositions du RGPD ou de la loi de la part des responsables de traitement et des sous-traitants, la formation restreinte de la CNIL ou son président peuvent prononcer des sanctions ...> En savoir plussanction
Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.
