Le 15 décembre 2015, le Conseil de l’Union européenne a publié le texte de compromis relatif au Règlement européen sur la protection des données personnelles.
CIL CONSULTING revient sur les principaux points de ce Règlement dont le vote définitif interveindra au prinyemps de cette année.
– Pourquoi fallait-il remplacer la Directive 95/46/CE ?
La Directive 95/46/CE a été adoptée il y a plus de 20 ans. Depuis, l’usage d’internet s’est considérablement développé favorisant la circulation de l’information dans un monde globalisé, de nouvelles technologies sont apparues, à la fois plus perfomantes et plus intrusives pour la vie privée.
De plus, la directive de 1995 a due être transposée dans le droit national des États membres, qui ont eu le choix des moyens et de la forme pour atteindre les objectifs qu’elle fixait. À contrario, un Règlement est directement applicable dans l’ordre juridique des États membres, ce qui devrait favoriser une harmonisation de la réglementation.
– Sur quels point la Directive de 95/46/CE diffère du Règlement européen sur la protection des données ?
Le Règlement s’appliquera dès lors que la personne concernée par le traitement des données se trouvera au sein de l’UE, qu’il s’agisse d’une offre de biens et services ou d’une activité de suivi en ligne et d’analyse des comportements.
Dans un contexte de Big Data qui se caractérise souvent par une grande opacité, la principale innovation de ce texte repose probablement sur l’oblligation de transparence et sur les nouveaux droits des personnes.
Les exigences en matière de consentement sont renforcées ;
Les personnes bénéficieront d’un droit à la portabilité qui lui permettra de changer de prestataire plus facilement;
Le texte prévoit aussi un droit à l’oubli numérique.
Le règlement encadre l’utilisation du profilage en prévoyant un droit d’opposition pour la personne et le droit de ne pas être soumis à un traitement automatisé qui aurait des conséquences significatives pour la personne.
Le texte consacre l’existence du « Data Protection Officer » ou DPO. Les administrations, les entreprises dont l’activité principale repose sur des traitements réguliers et systématiques à grande échelle de données à caractère personnel sensibles ou dont l’activité porte sur l’analyse de données, auront l’obligation de désigner un Délégué à la Protection des Données. En France, le Correspondant à la protection des Données devrait donc tout naturellement devenir DPO.
Les entreprises, y compris les sous-traitants, auront aussi de nouvelles obligations. Elle devront notamment documenter et être capables de prouver leur conformité au règlement.
La gestion des risques est au coeur de la philisophie qui sous tend ce nouveau texte. Ainsi, les organisations devront mener des études d’impacts sur la vie privée en cas de risques élevés; elle auront aussi une pbigation d’intégré les principes de protection des données dès la conception des projets (Privacy ou Data Protection by Design).
L’article 30 du Règlement va même jusqu’à donner des détails sur les types de mesures de sécurité sont susceptibles de limiter les risques, à savoir le chiffrement et la pseudonymisation.
En cas de violation des données à caractère personnel, elles devront adresser une notification « sans retard injustifié » à la CNIL. Surtout, en cas de risques d’impacts pour la vie privée des personnes, ces dernières devront être informées de cette faille.
Enfin, le règlement encourage la co-régulation du marché. Les responsables de traitement et les sous-traitants qui respecteront un Code conduite ou des mécanismes de certification approuvés par les autorités pourront ainsi démontrer leur conformité au nouveau Règlement.
Ces nouvelles dispositions prennent enfin un nouveau sens au regard de l’augmentation du montant des amendes pouvant aller jusqu’à 4% du chiffre d’affaire annuel global d’un groupe.
– Quand le Règlement européen sera-t-il pleinement effectif ?
Une fois adopté, les entreprises auront jusqu’en 2018 pour se mettre en conformité avec la nouvelle législation. Ce délai ne sera pas de trop face à l’ampleur de la tâche qui demande de documenter les politiques et procédures mais qui exige aussi un changement de mentalités dans les organisations avec la prise en compte du Data Protection by Design.
