Imprimer: La réforme des règles de protection des données personnelles : quels changements anticiper au sein de votre entreprise ? Par Betty Sfez, Avocat.

Village de la Justice www.village-justice.com

La réforme des règles de protection des données personnelles : quels changements anticiper au sein de votre entreprise ? Par Betty Sfez, Avocat.

Parution : mercredi 2 mars 2016

Adresse de l'article original :
https://www.village-justice.com/articles/reforme-marche-des-regles,21600.html
Reproduction interdite sans autorisation de l'auteur.

La proposition de règlement européen, en discussion depuis janvier 2012, a débouché sur un accord global entre les institutions, le 15 décembre dernier. Cette nouvelle réglementation, qui remplacera la loi Informatique et Libertés en France, s’appliquera aux entreprises établies au sein de l’Union européenne, mais également à toutes entreprises établies en dehors de l’UE qui, dans le cadre de la fourniture de leurs produits et services, collectent et traitent des données personnelles de personnes résidant dans un pays membre de l’UE.

Nous rappelons ci-après les principales obligations qui s’imposeront aux entreprises :

1. Dresser un registre interne des différents traitements de données personnelles réalisés au sein de l’entreprise. Cette obligation de recensement remplace celle consistant aujourd’hui à devoir réaliser des formalités préalables auprès des autorités de contrôle compétentes, telle la CNIL. A noter toutefois que ce changement ne concerne pas les transferts de données personnelles hors de l’Union européenne soumis à un régime spécifique de demande d’autorisation ;

2. Rédiger une politique de vie privée intégrant le principe de « Privacy by design », consistant notamment à prendre en compte les enjeux liés à la vie privée dès la conception et la création de produits ou services. Il convient ainsi de s’assurer que le traitement de données personnelles est limité à ce qui est nécessaire au regard de ses objectifs et que l’accès aux données est restreint aux seules personnes qui en ont besoin ;

3. Adopter des procédures internes formalisées, diligenter des audits et créer des études d’impact afin de garantir, et pouvoir démontrer en cas de contrôle, la conformité des procédures de l’entreprise à la réglementation ;

4. Répartir et définir contractuellement les obligations et responsabilités des différents intervenants dans la chaîne de traitement des données (responsable de traitement, sous-traitant, destinataire des données) en prenant en compte leurs rôles respectifs et leurs relations avec les personnes concernées par le traitement de leurs données ;

5. Sécuriser les données personnelles contre tout traitement non autorisé ou illégal, mais aussi contre la perte accidentelle, la destruction ou l’altération des données personnelles, en mettant en œuvre des mesures de sécurité physique, technique et organisationnelle appropriées ;

6. Notifier auprès de l’autorité de contrôle compétente les failles de sécurité dans un délai maximum de 72 heures, à compter de la découverte de la violation des données ;

7. Désigner un délégué à la protection des données dès lors qu’une collecte massive de données personnelles est mise en œuvre au sein de l’entreprise.

Les entreprises disposeront de deux ans pour se mettre en conformité avec le nouveau règlement européen, étant précisé que le texte définitif sera, en principe, adopté d’ici juin 2016.
Toutefois, il convient dès à présent d’anticiper en interne la mise en conformité avec cette réforme. Les sanctions financières en cas de manquement à la nouvelle réglementation étant particulièrement lourdes (amendes pouvant atteindre 100 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise).

Betty SFEZ Avocat