Après quatre années de dur labeur, l’adoption définitive du règlement européen sur la protection des données personnelles, suite au feu vert des députés européens le 14 avril, marque un tournant décisif pour la protection des données en Europe.
La directive de 1995 sur la protection des données – dont la concomitance avec l’émergence du World Wild Web lui confère un certain caractère archaïque – et le patchwork de législations nationales qui en est résulté laissera désormais place à un cadre juridique unique, applicable dans l’ensemble des États-membres de l’Union européenne.
Gage de sécurité juridique et de protection élevée des données personnelles, le règlement européen ne néglige aucun acteur :
Au citoyen, le règlement octroie une maîtrise plus effective de ses données personnelles au moyen d’un renforcement de ses droits.
Au sein du catalogue des droits des individus consacré par le règlement européen figurent ainsi l’incontournable droit à l’oubli – c’est-à-dire le droit de l’individu à l’effacement de ses données personnelles lorsqu’il ne souhaite plus que celles-ci soient traitées, sauf existence d’un motif légitime à leur conservation – ainsi que le droit de transmettre facilement ses données personnelles à un autre fournisseur de services (par exemple, pour changer de fournisseur de messagerie sans perdre ses précédents courriels), mieux connu sous le vocable « droit à la portabilité ».
Mais le règlement européen permettra aussi aux personnes de mieux contrôler leurs données en leur donnant le droit d’être informés préalablement au traitement de leurs données, en des termes clairs, accessibles et précis – ce qui devrait mettre fin aux politiques de confidentialité en caractères illisibles – et en imposant préalablement à tout traitement le recueil de leur consentement clair et explicite, c’est-à-dire donné de manière active (une case à cocher par exemple).
L’élargissement des droits des individus repose enfin sur la reconnaissance du droit d’être informé en cas de piratage de ses données (via l’obligation de notification des failles de sécurité imposée aux entreprises), l’établissement de limitations claires au recours au profilage (les techniques de profilage ne sont autorisées que si la personne y consent, la loi le permet, et si elles ne se basent pas uniquement sur un traitement automatique de données mais implique une évaluation menée par l’homme), ou encore la consécration d’une protection spécifique pour les mineurs (nécessité d’une autorisation parentale préalable à l’ouverture d’un compte sur les réseaux sociaux).
Les entreprises, quant à elles, bénéficieront du système centralisé mis en place par le règlement européen, qui simplifiera leurs échanges intra-communautaires en leur permettant de n’avoir à faire face qu’à une autorité de surveillance unique, et non 28.
Elles se réjouiront, par ailleurs, de la simplification des formalités et de la mise à disposition d’une boîte à outils de conformité (code de conduite, certifications), mises en place par le règlement.
Elles sont enfin encouragées à faire preuve d’innovation, en développant des technologies dont les fonctionnalités sont conçues de manière à protéger les droits des individus et notamment à ne collecter que les données indispensables au regard des finalités poursuivies, conformément au principe de Privacy by Design (« protection de la vie privée dès la conception ») consacré par le règlement.
Aux autorités de protection, le règlement européen confère un pouvoir de sanction plus important, en leur donnant la possibilité de prononcer des sanctions administratives pouvant atteindre 4% du chiffre d’affaires mondial de l’entreprise en cause.
Le règlement européen entend également renforcer l’intégration et la coopération entre les autorités de protection. Pour ce faire, il prévoit que ces dernières pourront prendre des décisions conjointes (visant par exemple, à prononcer une sanction, ou à déclarer un organisme conforme). Mais surtout, il instaure un nouvel organe européen indépendant, successeur du G29, chargé d’arbitrer les différends entre les autorités et d’élaborer une doctrine européenne : le Comité européen de la protection des Données (CEPD).
L’entrée en vigueur du règlement, qui interviendra 20 jours après sa publication - prochaine - au Journal officiel de l’Union européenne, sonnera le début d’un compte à rebours de deux ans, durée dont disposent les entreprises pour se mettre en conformité avec le règlement. A l’issue de cette période de deux ans, les dispositions du règlement seront effectivement directement applicables dans les États-membres de l’Union. Les entreprises confrontées au défi de la mise en conformité sont donc encouragées à amorcer, dès aujourd’hui, le processus de transition.
Discussions en cours :
Le délégué est une évolution du Correspondant à la protection des données à caractère personnel, plus connu sous l’appellation de Correspondant Informatique et Libertés (CIL).
La loi informatique et libertés – dont le contenu va être totalement remanié – devant probablement conserver son appellation (ainsi que la Commission du même nom), il est probable que l’expression « correspondant informatique et libertés » (CIL) perdure et s’impose naturellement.
La désignation d’une personne en charge de la conformité à la loi informatique et libertés et aux futures dispositions du règlement général sur la protection des données présente plusieurs bénéfices, dont un renforcement de la sécurité juridique et de la sécurité informatique. C’est également un vecteur de confiance avec les parties prenantes : la mise en place d’un CIL, et d’un délégué à la protection des données en 2018, est de nature à rassurer les personnes concernées. C’est enfin la preuve d’un engagement éthique et citoyen et un outil de valorisation du patrimoine informationnel.
Nous allons donc sans doute observer une pénurie de professionnels formés (les premières estimations vont de 28.000 personnes au niveau européen à ... 33.000 rien que pour un pays comme l’Angleterre).
Le niveau des salaire devrait probablement également évoluer, car il est corrélé au niveau de sanctions.
L’étude « Privacy Professional’s – Role, Function and Salary Survey 2011 » réalisée par l’IAPP indiquait que les professionnels américains de la protection de la vie privée gagnent plus de 300.000 $ par an pour 1% d’entre eux, entre 200.000 et 300.000 et $ par an pour 5 % d’entre eux, entre 150.000 et 200.000 $ pour 13 % et entre 100.000 et 150.000 $ pour 37%. L’étude similaire de l’IAPP Europe pour 2010, indiquait que les professionnels européens de la protection de la vie privée gagnent entre 150.000 et 200.000 $ par an pour 9 % d’entre eux, entre 100.000 et 150.000 $ pour 26% et entre 50.000 et 100.000 $ pour 49 %. En sus, 30 % de ces professionnels reçoivent en plus des stocks options et 60 % des bonus.
A titre de comparaison, et selon l’étude réalisée par l’AFCDP en 2012, le salaire moyen d’un CIL (France) n’était que de 47.000 € brut par an.
Voir :
"Le Correspondant Informatique et Libertés bientôt quasiment obligatoire"
"Règlement européen Données personnelles : du CIL au Data Protection Officer, une transition naturelle"
"J’ai désigné un CIL et je m’en félicite" - Dix responsables de traitement témoignent
Bruno Rasle - Délégué général - delegue.general chez afcdp.net - Tel. 06 1234 0884 - www.afcdp.net
Pour résoudre cette pénurie de professionnels formés et atteindre le niveau de compétence exigé, il est essentiel d’exiger des formations de haut niveau qui devront les produire. En effet, l’article 38 du règlement européen indique que le délégué à la protection des données est désigné à partir de ses qualités professionnelles, plus précisément de ses connaissances spécialisées du droit et des pratiques en matière de protection des données et de sa capacité à accomplir ses missions.
La question n’est donc plus de savoir s’il faut suivre ou non une formation, mais qu’elle est son niveau ? En effet, avec des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, le responsable de traitement doit s’assurer que son délégué à la protection des données est à la hauteur, donc en capacité de réduire réellement son exposition aux risques ! Le Guide du CIL de la CNIL indique d’ailleurs que « Lorsque le CIL ne dispose pas de l’ensemble des qualifications requises à la date de sa désignation, il devra les acquérir » !
Le métier exige des compétences juridiques, techniques (pour pouvoir interagir avec les informaticiens et garder un esprit critique), organisationnelles et en communication. Il requière une résistance au stress et une capacité à défendre son indépendance. Il doit aussi avoir les connaissances spécifiques à son domaine d’activité.
Le CIL a fêté ces 10 ans l’an dernier. Il est déjà suivi par un cursus de haut niveau d’exigence qui va fêter ces 10 ans l’an prochain, qui intègre déjà certaines évolutions annoncées dans le projet de Règlement. Plusieurs de ses diplômés ont même été embauchés par la CNIL. Il va continuer à intégrer ces exigences de haut niveau.
Dans l’ordre, il faut donc s’assurer que le niveau d’exigence des formations proposées soit élevé, afin que le délégué à la protection des données puisse être formé pour répondre aux exigences de son métier, afin que le responsable de traitement, pour le compte duquel il travaille, puisse s’assurer que le risque qu’il gère est couvert dans les meilleurs conditions, afin que les données personnelles de la personne concernée soient bien protégées au final !
Voir :
l’article "Données personnelles : quelle articulation entre ce qui est licite et ce qui est faisable techniquement ?"
un "mastère informatique & libertés" qui existe depuis bientôt 10 ans couvre déjà les exigences du règlement
Denis Beautier, Responsable Pédagogique à l’ISEP (école du numérique), Tel. 01.49.54.52.20, www.isep.fr