05 63 22 26 26

Logo CCI Montauban
Logo Facebook
Logo Facebook

Text Resize

-A +A

RGPD

Nouveau cadre juridique pour la protection des données personnelles

Tout ce qu'il faut savoir sur la RGPD par Maître Florence Verzi, avocat au Barreau de Montauban (article paru dans CCI Infos de Juillet 2017).

 

La protection des données personnelles, un nouveau cadre juridique européen à l’horizon 2018

Le règlement européen du 27 avril 2016 relatif à la protection des données personnelles (RGPD)  entrera en application à compter du 25 mai 2018. Les entreprises ont donc moins d’un an pour se conformer à leurs nouvelles obligations.

Dans cette perspective, il est opportun de revenir sur les principaux apports de ce règlement qui a pour objectif d’harmoniser le cadre juridique applicable à la protection des données dans l’Union européenne, de renforcer les droits des personnes, de responsabiliser les entreprises et de renforcer les sanctions applicables.

L’amélioration des droits des personnes concernées par le traitement de données

Le nouveau cadre européen vient renforcer les droits déjà connus comme le droit d’accès, le droit de rectification, le droit d’opposition ou encore le droit à l’oubli. Il créé par ailleurs un droit à la limitation du traitement et un droit à la portabilité des données. Ce droit à la limitation permet de désigner certaines données dont le traitement futur sera en principe interdit. Quant au droit à la portabilité, il permet à une personne de récupérer les données qu’elle a fournies et de les transmettre ensuite à un tiers.

A l’instar des associations de protection des consommateurs, les associations  actives dans le domaine de la protection des droits et libertés de personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs.

Enfin, toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement aura le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.

Un changement de logique : d’un système déclaratif vers une responsabilisation des responsables de traitement et des sous-traitants

Le règlement européen met fin au régime de déclaration des traitements à la Cnil à compter du 25 mai 2018 pour le remplacer par un système d’ « autocontrôle » visant à responsabiliser non seulement les responsables de traitement mais également les sous-traitants qui sont désormais également visés par le dispositif.

Ainsi, il leur appartiendra désormais de mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, dès la conception du produit ou du service et devront pouvoir justifier de la conformité du traitement à tout moment.

Le responsable de traitement pourrait également être tenu de réaliser une étude d’impact sur la protection des données personnelles dès lors qu’en raison du type de traitement les droits et libertés des personnes seront exposés à un risque élevé. Concrètement sont visées les données sensibles (données révélant l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelle, les données génétiques ou biométriques) et les traitements reposant sur  «  l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment sur le profilage.

Enfin, le règlement impose à chaque responsable de traitement la tenue d’un registre des activités effectuées sous sa responsabilité.
 

La désignation d’un garant de la protection des données en substitution du correspondant informatique et liberté

La désignation d’un délégué à la protection des données est rendue obligatoire par le règlement pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou les amènent à traiter à grande échelle des données sensibles ou relatives aux condamnations pénales et aux infractions.

Le délégué à la protection des données étant le successeur du correspondant informatique et liberté, il pourra reprendre ses attributions mais avec un rôle et des missions élargis. En effet, ce délégué à la protection des données sera principalement chargé d’informer et de conseiller le responsable du traitement ou le sous-traitant,  ainsi que ses employés, de contrôler le respect du règlement européen et du droit national, de conseiller le responsable du traitement dans l’éventuelle réalisation d’une étude d’impact et de coopérer avec l’autorité de contrôle. Il fera ainsi le lien entre l’entreprise et la CNIL.

Le traitement transnational de données

Les deux principales nouveautés issues du règlement visent à faciliter le respect des règles relatives aux traitements des données lorsque celui-ci dépasse le cadre national. Dans un premier temps, les entreprises concernées devront désigner un « établissement principal » en Europe, afin de bénéficier d’un bureau unique auprès des différentes autorités. Ensuite, ces différents organismes adopteront conjointement, sous la direction de l’autorité de contrôle  de l’établissement principal, les décisions relatives au traitement transnational en cause. Concrètement, les entreprises n’auront plus qu’un interlocuteur par traitement.

S’agissant du transfert de données personnelles vers des Etats hors Union européenne, le règlement confirme le principe selon lequel le responsable d’un traitement ne peut procéder au transfert de données personnelles vers un Etat tiers que si ce dernier assure un niveau de protection adéquat des droits et libertés des personnes concernées.

Des sanctions sensiblement renforcées

Outre la possibilité de sanctions jointes en matière de traitements transnationaux, la nouveauté issue du règlement réside dans les montants des sanctions qui pourront désormais s’élever jusqu’à 4% du chiffre d’affaires mondial annuel de l’entreprise ou 20 millions d’euros pour les autres organismes.

Par ailleurs, les missions et les pouvoirs, notamment de sanction, de la Cnil seront sensiblement renforcés.

Télécharger la fiche pratique RGPD