Actualités

RSS

La GDRP (Réglement européen de protection des données personnelles) adoptée le 14 avril 2016

Il s’agit d’un règlement, et non d’une directive : le texte sera donc directement applicable dans chaque état membre, sans les écarts d’interprétation auxquels a donné lieu la Directive de 1995. Ce nouveau texte introduit des réformes de fond dans la façon d’appréhender la question de la protection des données personnelles, dont nous livrons ci-après les principaux aperçus. 

 Le champ d’application territoriale de la réglementation

 A l’heure actuelle, une entreprise située en dehors de l’UE peut traiter les données des citoyens de l’UE sans autres contraintes légales que celles de son pays d’origine, le plus souvent inexistantes ou très limitées. Le futur Règlement s’appliquera à toute entreprise qui traite les données personnelles des citoyens de l’UE, même si celle-ci n’est pas établie dans un état membre de l’UE.

 

 La fin des déclarations/procédures d’autorisation formelles au profit d’une logique d’auto analyse de risques

 Le Règlement, et c’est là une différence fondamentale avec la philosophie actuelle de protection des données personnelles, pose le principe de l’ « accountability ». Difficile à traduire par un seul vocable en français, le principe d’accountability signifie que non seulement l’entreprise est responsable du respect des obligations posées par le Règlement, mais qu’elle doit être en mesure de démontrer qu’elle les respecte et qu’elle a pour cela mis en œuvre les mesures techniques et organisationnelles appropriées. Cette démonstration couvre un spectre très large d’obligations, parmi lesquelles on  peut noter :

 

-          Le respect de la règle du « privacy by design », imposant que tout traitement mis en œuvre par l’entreprise soit conçu dès le départ pour protéger les données personnelles. 

-          La nécessité d’évaluer le niveau de risque correspondant à chaque traitement et mettre en place les mesures proportionnées correspondantes. 

-          Pour les traitements à haut risque, le texte visant expressément ceux qui utilisent les nouvelles technologies ou des techniques de profiling, l’obligation de réaliser une étude d’impact avant la mise en oeuvre du traitement. Une liste des traitements concernés devra être établie par l’autorité de protection locale (en France la CNIL) de chaque pays. L’autorité de protection pourra refuser la mise en œuvre d’un traitement si elle considère que les précautions suffisantes n’ont pas été prises, remplaçant ainsi de façon beaucoup plus différenciée l’actuelle procédure d’autorisation. 

 Pour faciliter cette démonstration, le Règlement prévoit deux possibilités : l’adhésion à des codes de conduite, ou la certification.

 

 L’apparition de deux nouveautés : les codes de conduite et la certification

 Les acteurs représentatifs d’un secteur d’activité particulier pourront d’élaborer des codes de conduite. Ceux-ci seront soumis à l’autorité de contrôle locale pour avis, puis publiés. Les entreprises y adhéreront sur une base volontaire, et auront la possibilité de faire certifier leur conformité au code de conduite par des organismes tiers spécialement accrédités à cet effet par l’autorité de contrôle.

 

 Au cran supérieur, le Règlement encourage la création de véritables labels, qui permettront à toute entreprise de s’en prévaloir dans ses relations avec les tiers, dès lors qu’elle aura été certifiée conforme au référentiel correspondant par un organisme accrédité.

 

 La fin de la dichotomie « responsable de traitement » / « sous-traitant »

 La loi actuelle ne connaît que deux cas de figure : soit l’entreprise est responsable du traitement, tenue alors des déclarations auprès de la CNIL, soit elle est « sous-traitante » et n’est supposée agir que sur ordre du responsable. Cette organisation des responsabilités avait un sens en 1995  m’ais elle n’en a maintenant plus guère. Le fonctionnement des entreprises en réseau et le développement des offres SaaS et Cloud nécessitent une responsabilisation commune à tous les acteurs, étant observé que le « responsable » du traitement n’est souvent plus responsable de grand-chose pour ce qui concerne les modalités opérationnelles de sécurisation des données.

 

 Le Règlement introduit ainsi la notion de « co-responsabilité », les co-responsables déterminant contractuellement leur domaine de responsabilité respectif. Ainsi, de nombreux « sous-traitants » actuels vont devenir co-responsables, reflétant de façon beaucoup plus juste la réalité des situations où une entreprise délègue à des tiers la majeure partie de ses activités impliquant des données personnelles (gestion, comptabilité, archivage, etc.). Enfin, il faut noter que la plupart des obligations posées par le Règlement sont applicables de la même façon au responsable du traitement ("controller") et au « processor », c’est-à-dire celui qui procède effectivement au traitement.

 

 La notification des failles de sécurité pour tout le monde

 Actuellement applicable seulement au secteur des télécoms, l’obligation de notifier les failles de sécurité affectant les données personnelles à l’autorité de contrôle concerne dorénavant toutes les entreprises. La personne concernée devra également en être avertie, dès lors que la faille représente un risque sérieux pour ses droits et libertés. Les entreprises se verront dans l’obligation de mettre en place une organisation ad-hoc pour gérer ce sujet sensible.

 

 Un responsable à la protection des données obligatoire dans certains cas seulement

 Contrairement à ce qui avait été un moment envisagé, la désignation obligatoire d’un responsable à la protection des données ne dépend pas de la taille de l’entreprise, mais de son activité. Elle est ainsi obligatoire dans le secteur public, ou dès lors que l’activité de l’entreprise nécessite des traitements de données personnelles à grande échelle, ou encore qu’elle traite des données sensibles de type origine ethnique, option politique, données biométriques, etc. Mais sur ce point tout n’est pas dit, puisque les Etats Membres disposeront d’une latitude pour étendre le champ des entreprises concernées.

 

 Un droit d’information explicitement renforcé

 Le Règlement pose que les responsables devront informer les personnes du traitement de leurs données même dans le cas où ce n’est pas le responsable lui-même qui les a recueillies. Le cas est en pratique très fréquent, notamment du fait du commerce massif de listes de données personnelles qui s’est développé avec le web. Le respect de cette obligation va donc imposer une vigilance particulière.

 

 Pas de modification majeure dans les transferts de données personnelles hors UE

 Les principes qui gouvernent le transfert de données personnelles hors UE restent globalement inchangés : les transferts sont autorisés vers les pays considérés comme offrant une protection « adéquate » ; ou aux termes d’un contrat ou de règles d’entreprise entre l’entreprise qui transfère les données et celle qui les reçoit. C’est pour l’instant la seule règle restant applicable aux transferts vers les US, en l’absence d’un accord sur un  « safe harbor 2 » et à l'heure où le "privacy shield" vient de se faire retoquer.

 Instauration d’un guichet unique

 Cette disposition met fin au casse-tête des groupes internationaux en Europe, qui devaient déclarer leurs traitements dans chaque pays et gérer le risque d’interprétation divergente d’une même situation auprès des différentes autorités de protection locales. L’autorité de référence sera dorénavant celle où le groupe a son établissement principal, charge à cette autorité leader d’exprimer une vision européenne unique pour la situation qui lui est soumise.

 Il est par ailleurs constitué un Comité Européen de la protection des données, composé de membres des autorités de protection de chaque état membre, investi d’un rôle de coordination, de conseil et de reporting pour l’application du Règlement.

 Des amendes dissuasives

 Le système de sanctions prévu par le Règlement est gradué, ce qui constitue un net progrès par rapport à la situation actuelle, du moins en France, où le décalage entre le niveau de pénalisation de la Loi Informatique et Libertés et l’application quasi inexistante des sanctions nuisait beaucoup à la crédibilité de cette législation. C’est le niveau maximum de ces amendes qui mérite d’être noté, puisque celles-ci pourront atteindre 20 M €, ou 4% du chiffre d’affaire de l’année précédente, pour les violations graves des principales obligations du Règlement.

………

 Cette nouvelle règlementation implique la mise en œuvre d’un véritable chantier au sein des entreprises. Deux ans ne seront pas de trop sachant que par ailleurs, le gouvernement français a annoncé qu’il anticiperait l’application de plusieurs dispositions du Règlement dans le cadre de la future « loi pour une République Numérique ». Il en particulier déjà acquis que les sanctions vont immédiatement rentrer en vigueur...

« Retour


Isabelle Renard

Isabelle Renard est ingénieur de formation. Elle a effectué la première partie de sa carrière dans un grand groupe industriel, dont plusieurs années aux...Lire la suite

Actualités

FNTC

Isabelle Renard est membre expert de la FNTC

Gestion des cookies - ©Cabinet IRenard Avocats - Tous droits réservés Site web avocat Absolute Communication - Réalisation : Agence answeb

Actualités

RSS

La GDRP (Réglement européen de protection des données personnelles) adoptée le 14 avril 2016

Il s’agit d’un règlement, et non d’une directive : le texte sera donc directement applicable dans chaque état membre, sans les écarts d’interprétation auxquels a donné lieu la Directive de 1995. Ce nouveau texte introduit des réformes de fond dans la façon d’appréhender la question de la protection des données personnelles, dont nous livrons ci-après les principaux aperçus. 

 Le champ d’application territoriale de la réglementation

 A l’heure actuelle, une entreprise située en dehors de l’UE peut traiter les données des citoyens de l’UE sans autres contraintes légales que celles de son pays d’origine, le plus souvent inexistantes ou très limitées. Le futur Règlement s’appliquera à toute entreprise qui traite les données personnelles des citoyens de l’UE, même si celle-ci n’est pas établie dans un état membre de l’UE.

 

 La fin des déclarations/procédures d’autorisation formelles au profit d’une logique d’auto analyse de risques

 Le Règlement, et c’est là une différence fondamentale avec la philosophie actuelle de protection des données personnelles, pose le principe de l’ « accountability ». Difficile à traduire par un seul vocable en français, le principe d’accountability signifie que non seulement l’entreprise est responsable du respect des obligations posées par le Règlement, mais qu’elle doit être en mesure de démontrer qu’elle les respecte et qu’elle a pour cela mis en œuvre les mesures techniques et organisationnelles appropriées. Cette démonstration couvre un spectre très large d’obligations, parmi lesquelles on  peut noter :

 

-          Le respect de la règle du « privacy by design », imposant que tout traitement mis en œuvre par l’entreprise soit conçu dès le départ pour protéger les données personnelles. 

-          La nécessité d’évaluer le niveau de risque correspondant à chaque traitement et mettre en place les mesures proportionnées correspondantes. 

-          Pour les traitements à haut risque, le texte visant expressément ceux qui utilisent les nouvelles technologies ou des techniques de profiling, l’obligation de réaliser une étude d’impact avant la mise en oeuvre du traitement. Une liste des traitements concernés devra être établie par l’autorité de protection locale (en France la CNIL) de chaque pays. L’autorité de protection pourra refuser la mise en œuvre d’un traitement si elle considère que les précautions suffisantes n’ont pas été prises, remplaçant ainsi de façon beaucoup plus différenciée l’actuelle procédure d’autorisation. 

 Pour faciliter cette démonstration, le Règlement prévoit deux possibilités : l’adhésion à des codes de conduite, ou la certification.

 

 L’apparition de deux nouveautés : les codes de conduite et la certification

 Les acteurs représentatifs d’un secteur d’activité particulier pourront d’élaborer des codes de conduite. Ceux-ci seront soumis à l’autorité de contrôle locale pour avis, puis publiés. Les entreprises y adhéreront sur une base volontaire, et auront la possibilité de faire certifier leur conformité au code de conduite par des organismes tiers spécialement accrédités à cet effet par l’autorité de contrôle.

 

 Au cran supérieur, le Règlement encourage la création de véritables labels, qui permettront à toute entreprise de s’en prévaloir dans ses relations avec les tiers, dès lors qu’elle aura été certifiée conforme au référentiel correspondant par un organisme accrédité.

 

 La fin de la dichotomie « responsable de traitement » / « sous-traitant »

 La loi actuelle ne connaît que deux cas de figure : soit l’entreprise est responsable du traitement, tenue alors des déclarations auprès de la CNIL, soit elle est « sous-traitante » et n’est supposée agir que sur ordre du responsable. Cette organisation des responsabilités avait un sens en 1995  m’ais elle n’en a maintenant plus guère. Le fonctionnement des entreprises en réseau et le développement des offres SaaS et Cloud nécessitent une responsabilisation commune à tous les acteurs, étant observé que le « responsable » du traitement n’est souvent plus responsable de grand-chose pour ce qui concerne les modalités opérationnelles de sécurisation des données.

 

 Le Règlement introduit ainsi la notion de « co-responsabilité », les co-responsables déterminant contractuellement leur domaine de responsabilité respectif. Ainsi, de nombreux « sous-traitants » actuels vont devenir co-responsables, reflétant de façon beaucoup plus juste la réalité des situations où une entreprise délègue à des tiers la majeure partie de ses activités impliquant des données personnelles (gestion, comptabilité, archivage, etc.). Enfin, il faut noter que la plupart des obligations posées par le Règlement sont applicables de la même façon au responsable du traitement ("controller") et au « processor », c’est-à-dire celui qui procède effectivement au traitement.

 

 La notification des failles de sécurité pour tout le monde

 Actuellement applicable seulement au secteur des télécoms, l’obligation de notifier les failles de sécurité affectant les données personnelles à l’autorité de contrôle concerne dorénavant toutes les entreprises. La personne concernée devra également en être avertie, dès lors que la faille représente un risque sérieux pour ses droits et libertés. Les entreprises se verront dans l’obligation de mettre en place une organisation ad-hoc pour gérer ce sujet sensible.

 

 Un responsable à la protection des données obligatoire dans certains cas seulement

 Contrairement à ce qui avait été un moment envisagé, la désignation obligatoire d’un responsable à la protection des données ne dépend pas de la taille de l’entreprise, mais de son activité. Elle est ainsi obligatoire dans le secteur public, ou dès lors que l’activité de l’entreprise nécessite des traitements de données personnelles à grande échelle, ou encore qu’elle traite des données sensibles de type origine ethnique, option politique, données biométriques, etc. Mais sur ce point tout n’est pas dit, puisque les Etats Membres disposeront d’une latitude pour étendre le champ des entreprises concernées.

 

 Un droit d’information explicitement renforcé

 Le Règlement pose que les responsables devront informer les personnes du traitement de leurs données même dans le cas où ce n’est pas le responsable lui-même qui les a recueillies. Le cas est en pratique très fréquent, notamment du fait du commerce massif de listes de données personnelles qui s’est développé avec le web. Le respect de cette obligation va donc imposer une vigilance particulière.

 

 Pas de modification majeure dans les transferts de données personnelles hors UE

 Les principes qui gouvernent le transfert de données personnelles hors UE restent globalement inchangés : les transferts sont autorisés vers les pays considérés comme offrant une protection « adéquate » ; ou aux termes d’un contrat ou de règles d’entreprise entre l’entreprise qui transfère les données et celle qui les reçoit. C’est pour l’instant la seule règle restant applicable aux transferts vers les US, en l’absence d’un accord sur un  « safe harbor 2 » et à l'heure où le "privacy shield" vient de se faire retoquer.

 Instauration d’un guichet unique

 Cette disposition met fin au casse-tête des groupes internationaux en Europe, qui devaient déclarer leurs traitements dans chaque pays et gérer le risque d’interprétation divergente d’une même situation auprès des différentes autorités de protection locales. L’autorité de référence sera dorénavant celle où le groupe a son établissement principal, charge à cette autorité leader d’exprimer une vision européenne unique pour la situation qui lui est soumise.

 Il est par ailleurs constitué un Comité Européen de la protection des données, composé de membres des autorités de protection de chaque état membre, investi d’un rôle de coordination, de conseil et de reporting pour l’application du Règlement.

 Des amendes dissuasives

 Le système de sanctions prévu par le Règlement est gradué, ce qui constitue un net progrès par rapport à la situation actuelle, du moins en France, où le décalage entre le niveau de pénalisation de la Loi Informatique et Libertés et l’application quasi inexistante des sanctions nuisait beaucoup à la crédibilité de cette législation. C’est le niveau maximum de ces amendes qui mérite d’être noté, puisque celles-ci pourront atteindre 20 M €, ou 4% du chiffre d’affaire de l’année précédente, pour les violations graves des principales obligations du Règlement.

………

 Cette nouvelle règlementation implique la mise en œuvre d’un véritable chantier au sein des entreprises. Deux ans ne seront pas de trop sachant que par ailleurs, le gouvernement français a annoncé qu’il anticiperait l’application de plusieurs dispositions du Règlement dans le cadre de la future « loi pour une République Numérique ». Il en particulier déjà acquis que les sanctions vont immédiatement rentrer en vigueur...

« Retour


Droit des affaires Droit des nouvelles
technologies