Mai 2018 : préparez-vous à la mise en conformité des traitements de données personnelles
Par Julie Jacob, avocat associée. Jacob Avocats
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard des traitements de données à caractère personnel et à la libre circulation des données a été adopté le 27 avril 2016 est entré en vigueur le 24 mai 2016. La date limite de mise en conformité est fixée au 25 mai 2018.
à cette date, tout traitement de données, automatisé ou non, concernant des personnes se trouvant sur le territoire de l’Union Européenne devra être conforme aux prescriptions communautaires. Voici en quelques étapes, les clés de la conformité au nouveau socle juridique des données personnelles en Europe.
Les nouvelles mesures concernant les responsables de traitement
Consentement : les personnes concernées par un traitement de données devront explicitement consentir au traitement par le mécanisme de l’opt-in rendu obligatoire, le silence de la personne ou les cases cochées par défaut ne valant plus consentement. En d’autres termes, la personne concernée doit émettre un acte positif matérialisant son acceptation au traitement.
Failles de sécurité : tout responsable de traitement doit dorénavant faire face à deux obligations. La première consiste à notifier toute violation de données à caractère personnel à l’autorité de protection des données compétente dans les 72 heures (à savoir la Cnil pour la France). La seconde obligation concerne les violations de données à caractère personnel susceptibles d’engendrer un risque élevé au regard des droits et libertés d’une personne physique. Le responsable de traitement doit alors communiquer à la personne concernée la violation de ses données dans les meilleurs délais, la notion de « délais » restant à définir par les autorités de protection.
Ces nouvelles obligations pour le responsable de traitement imposent une vigilance particulière quant à la remontée des informations relatives aux failles et aux incidents de sécurité du prestataire vers le responsable de traitement. La vérification des contrats de sous-traitance devra alors être envisagée pour permettre aux responsables de respecter leurs obligations. À noter que le Règlement introduit désormais une coresponsabilité entre les sous-traitants et les responsables de traitement.
Délégué à la protection des données (DPO) : ce nouvel organe en charge de la gestion des risques et des mesures relatives aux traitements de données personnelles a vocation à remplacer les CIL (Correspondant Informatique et Libertés) mis en place dans le cadre de la loi Informatique et Libertés. Les traitements exécutés par une autorité publique ou par une personne privée mais dont la nature, la portée ou la finalité impliquent une mise en œuvre à grande échelle des données imposent désormais la désignation d’un DPO. Le délégué s’assurera du respect du Règlement en conseillant le responsable de traitement des mesures efficaces de protection des données à concevoir.
Lorsque la présence d’un DPO n’est pas rendue obligatoire par le Règlement, le responsable de traitement devra néanmoins prévoir une véritable organisation fonctionnelle des traitements afin d’exécuter ses obligations. À ce titre, responsables de traitement comme sous-traitants devront tenir un registre des activités de traitement recensant les catégories de données traitées, leurs destinataires, les finalités du traitement, les transferts hors de l’Union Européenne ou encore les mesures techniques et organisationnelles mises en place pour préserver la sécurité et la confidentialité des données.
Portabilité des données : ce nouveau droit accordé aux personnes concernées par un traitement de données engendre l’obligation pour le responsable de traitement de fournir aux personnes en faisant la demande, les données à caractère personnel les concernant dans un format structuré et couramment utilisé. Cette obligation impose aux responsables de traitement de mettre en place des formats de données interopérables d’un responsable à un autre et appellera sûrement l’intervention des autorités de protection sur ce point.
Une nouvelle philosophie portée par le Règlement
L’objectif du Règlement est l’harmonisation et la libre circulation des données. Afin de garantir l’application uniforme du droit et la mise en œuvre effective du nouveau cadre juridique au sein de l’Union européenne, les entreprises devront être en contact avec l’autorité de protection des données de l’État membre où se trouve leur établissement principal et qui sera désignée comme l’autorité « chef de file ».
Le Règlement impose désormais une rationalisation des traitements de données à caractère personnel. Ce qui implique concrètement l’application de deux principes.
Le premier, Privacy by design, contraint le responsable de traitement à intégrer, dès la conception des opérations de traitement, des mesures de protection des données effectives telles que l’anonymisation des données, la stricte délimitation de l’accès aux données, etc.
Le second principe, Privacy by default, correspond à une logique de minimisation des données et appelle à une protection optimale : il ne faut ni collecter ni traiter plus qu’il n’est strictement nécessaire au regard des finalités poursuivies.
Dans la continuité de cet esprit prospectif, le Règlement prévoit la mise en place d’études d’impact sur la vie privée des personnes concernées dès lors que la conception d’un traitement laisse apparaître un risque élevé d’atteinte aux droits et libertés. Le G29 vient d’ailleurs de publier ses lignes directrices éclairant sur la manière dont une analyse d’impact devra être réalisée et les opérations de traitement qui seront concernées.
Enfin, l’augmentation des sanctions financières en cas de défaut de conformité (de trois à vingt millions d’euros ou 4 % du chiffre d’affaires global) inquiète et appellera sûrement à des audits avant de se lancer dans les investissements nécessaires à la mise en conformité du Règlement.
Les points clés :
- De nouvelles actions sont à prévoir pour les responsables de traitement afin de se conformer à leurs obligations : organisez la mise en conformité de vos opérations de traitement par étapes.
- La coresponsabilité des responsables de traitement et des sous-traitants ne décharge pas les premiers de la sécurisation des contrats avec les seconds.
- L’augmentation des sanctions financières inquiète et appelle à une anticipation de la date limite de mise en conformité fixée au 25 mai 2018 afin de gérer le risque juridique engendré par ce nouveau texte.
Sur l’auteur :
Julie Jacob est associée du cabinet Jacob Avocats, dédié à l’entertainment et au digital. Très investie dans le domaine des médias, du gambling et des technologies, elle est inscrite aux Barreaux de Paris et d’Israël.
Elle est également membre du Geste (Groupement des éditeurs de services en ligne) et Secrétaire générale et de l’International Women’s Forum France (IWFF).