Publications

Le projet de règlement européen : à quoi faut-il s’attendre?

Publié le 22 mars 2016
fiche-pratique-profilage-et-decisions-individuelles-automatisees-wp251

Un règlement européen est en cours de finalisation et a fait l’objet d’un trilogue (discussion finale entre les 3 instances représentatives de l’UE). Le Projet de Règlement Européen du 25 janvier 2012 relatif aux données personnelles (qui n’est donc pas nouveau puisqu’en projet depuis plus de 3 ans) devrait être entériné au plus tard au cours du second semestre 2016. D’applicabilité directe (c’est à dire sans transposition), les entreprises auront alors entre 18 et 24 mois pour se mettre en conformité.

Ce règlement prévoit de grands changements, notamment concernant le pilotage de la conformité des données personnelles au sein des entreprises. En voici les principaux aspects :

1/ Le champ d’application territorial de la loi est mondial : le règlement s’appliquera dès lors qu’une personne concernée est résidente de l’Union Européenne, peu importe le pays d’établissement de l’entreprise traitant les données.

2/ Principe de responsabilité : le responsable de traitement de données devra établir une documentation permettant de prouver qu’il a mis en oeuvre les procédures nécessaires à la protection des données personnelles. Ces procédures comprennent notamment :

  • la gestion des réclamations des personnes concernées (demande d’accès aux données, de modification, de suppression)
  • les formations dispensées aux personnes accédant aux traitements de données
  • la traçabilité des modifications effectuées sur les traitements (journalisation par exemple)
  • l’information des personnes concernées sur leurs droits et leurs devoirs (politique de protection des données)
  • la sécurisation des systèmes d’information (politique de gestion des accès)
  • la gestion des intrusions et d’accès non autorisé

3/ L’obligation d’effectuer des formalités de déclaration préalable auprès de la CNIL est supprimée. En revanche, la documentation mentionnée au point précédent devra être tenue à sa disposition.

4/ Tenue d’un registre des traitements immédiatement disponible pour quiconque en fait la demande (c’est à dire pour la CNIL bien sûr mais également pour tous consommateurs ou salariés).

5/ Une cartographie des traitements devra être effectuée et mise à jour régulièrement (on imagine assez bien la difficulté dans des entreprises dont le système d’information est décentralisé…)

6/ Des analyses d’impact devront être effectuées sur les traitements présentant un risque potentiel sur la vie privée (renouvelées tous les ans). Des audits des traitements et du respect des procédures devront être effectués afin de contrôler régulièrement la conformité des traitements de données réalisés par l’entreprise.

7/ La nomination d’un Délégué à la Protection des Données (DPO) interne ou externe sera rendu obligatoire pour certaines entreprises (plus spécifiquement pour les entreprises de plus de 250 salariés, pour celles dont l’activité principale est la gestion de données personnelles et pour celles qui traitent des données dites « sensibles »).

8/ Les sanctions administratives en cas de non respect de ces éléments sont alourdies (jusqu’à 4% du chiffre d’affaires mondial de l’entreprise pour les infractions relatives aux données dites sensibles). A noter que les sanctions pénales prévues par la législation française restent inchangées.

Dans le même thème : Les apports de la nouvelle Loi Informatique et Libertés