Le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données :
abroge la directive 95/46/CE ;
est applicable le 25 mai 2018 ;
bouleverse la gestion des traitements de données personnelles au sein de l’entreprise, les règles sont plus simples mais plus contraignantes ;
prévoit des plafonds d’amende de 10 ou 20 millions d’euros ou, si plus élevés, de 2 ou 4% du CA mondial (au lieu des 3 millions d’euros actuels) ; outre les possibilités d’action collective et d’indemnisation du préjudice moral et matériel, et de poursuites pénales ;
Une seule solution pour l’entreprise qui traite des données personnelles : se mettre rapidement en conformité (par exception les fichiers sensibles restent soumis à déclaration à l’autorité).
Recommandations :
- Effectuer, en ce qui concerne les données sensibles, une analyse d’impact et de risque pour les personnes avant la mise en place du traitement ;
- Documenter ses process : il n’y a plus en principe de déclaration préalable ou de demande d’autorisation à faire à la CNIL mais l’entreprise doit documenter son process pour établir comment elle a pris en compte la réglementation dans la conception et dans l’opération de l’outil qui traite les données (principe de “privacy by design” ou de “minimisation”) et dans la protection des données ; cette documentation devra être mise à disposition de la CNIL ou de ses homologues européennes sur demande ;
- Tenir un registre de l’ensemble des traitements mis en place ;
- Permettre à la personne fichée de paramétrer la diffusion des données qui la concerne, et de les retirer, le consentement des parents est requis pour un mineur ; accord préalable en principe requis ;
- (Pour les fichiers importants ou sensibles, ou publics) =>Mettre en place un “délégué à la protection des données” ou DPO (pour “Data Protection Officer”) successeur du “CIL” (pour “Correspondant Informatique et Libertés”), en désignant une personne en interne, ou en externe ;
- Sécuriser ses contrats de sous-traitance de traitement ;
- Préparer ses process d’alerte et de notification permettant de notifier rapidement à la CNIL les failles de sécurité, ainsi qu’à la personne concernée si la faille présente un risque élevé pour elle ;
- Actualiser ses “Binding Corporate Rules” (règles d’entreprise contraignantes) sur les transferts de données à l’étranger et assurer la sécurité technique et juridique des données même transférées ; adhérer éventuellement, à cette fin, à des codes de conduite et à des certifications ;
- (Entreprises étrangères, dont les géants du web : elles sont concernées quand leurs traitements concernent des personnes qui sont dans l’UE) => Désigner un représentant au sein de l’UE.
Le règlement est applicable le 25 mai 2018.
Pierre de Roquefeuil, Avocat, Paris
https://roquefeuil.avocat.fr