• 1928 lectures
  • 1re Parution: 17 février 2017

  • 4.94  /5
Guide de lecture.
 

Réforme des données personnelles : comment se mettre en conformité ?

Le règlement européen 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données :

- abroge la directive 95/46/CE ;

- est applicable le 25 mai 2018 ;

- bouleverse la gestion des traitements de données personnelles au sein de l’entreprise, les règles sont plus simples mais plus contraignantes ;

- prévoit des plafonds d’amende de 10 ou 20 millions d’euros ou, si plus élevés, de 2 ou 4% du CA mondial (au lieu des 3 millions d’euros actuels) ; outre les possibilités d’action collective et d’indemnisation du préjudice moral et matériel, et de poursuites pénales ;

Une seule solution pour l’entreprise qui traite des données personnelles : se mettre rapidement en conformité (par exception les fichiers sensibles restent soumis à déclaration à l’autorité).

Recommandations :

  • Effectuer, en ce qui concerne les données sensibles, une analyse d’impact et de risque pour les personnes avant la mise en place du traitement ;
  • Documenter ses process : il n’y a plus en principe de déclaration préalable ou de demande d’autorisation à faire à la CNIL mais l’entreprise doit documenter son process pour établir comment elle a pris en compte la réglementation dans la conception et dans l’opération de l’outil qui traite les données (principe de “privacy by design” ou de “minimisation”) et dans la protection des données ; cette documentation devra être mise à disposition de la CNIL ou de ses homologues européennes sur demande ;
  • Tenir un registre de l’ensemble des traitements mis en place ;
  • Permettre à la personne fichée de paramétrer la diffusion des données qui la concerne, et de les retirer, le consentement des parents est requis pour un mineur ; accord préalable en principe requis ;
  • (Pour les fichiers importants ou sensibles, ou publics) =>Mettre en place un “délégué à la protection des données” ou DPO (pour “Data Protection Officer”) successeur du “CIL” (pour “Correspondant Informatique et Libertés”), en désignant une personne en interne, ou en externe ;
  • Sécuriser ses contrats de sous-traitance de traitement ;
  • Préparer ses process d’alerte et de notification permettant de notifier rapidement à la CNIL les failles de sécurité, ainsi qu’à la personne concernée si la faille présente un risque élevé pour elle ;
  • Actualiser ses “Binding Corporate Rules” (règles d’entreprise contraignantes) sur les transferts de données à l’étranger et assurer la sécurité technique et juridique des données même transférées ; adhérer éventuellement, à cette fin, à des codes de conduite et à des certifications ;
  • (Entreprises étrangères, dont les géants du web : elles sont concernées quand leurs traitements concernent des personnes qui sont dans l’UE) => Désigner un représentant au sein de l’UE.

Le règlement est applicable le 25 mai 2018.

Pierre de Roquefeuil, Avocat, Paris, spécialisé propriété intellectuelle, technologies de l’information
https://roquefeuil.avocat.fr/

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

63 votes

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit, certifié 4e site Pro en France: Avocats, juristes, fiscalistes, notaires, huissiers, magistrats, RH, paralegals, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 149 110 membres, 23082 articles, 126 575 messages sur les forums, 4 300 annonces d'emploi et stage... et 2 000 000 visites du site par mois en moyenne. *


FOCUS SUR >

Suite du Legal Design Sprint 2022-2023 ! (Angers, Bruxelles, Rennes, Lyon et Paris...)

A LIRE AUSSI >

Suivez le Village sur les Réseaux sociaux... Et pourquoi pas avec une Alerte mail sur nouveaux articles ?




LES HABITANTS

Membres

PROFESSIONNELS DU DROIT

Solutions

Formateurs