Le règlement européen sur la protection des données à caractère personnel vient d’être adopté en première lecture par le Conseil européen. Ce règlement, très attendu, a pour but de réformer la directive 95/46/CE et d’uniformiser les règles en vigueur dans les différents pays de l’Union européenne et parvenir à la création d’un marché unique du numérique.

Ce vote confirme l’accord politique adopté en trilogue entre la Commission, le Parlement et le Conseil le 15 décembre 2015. Le texte voté ne présente pas de différences majeures par rapport à la version ayant fait l’objet de l’accord tripartite le 15 décembre 2015.

Contrairement à la directive 95/46/CE, le règlement sera directement applicable, sans passer par des lois nationales de transposition, dans tous les Etats de l’Union européenne à l’issue d’un délai de deux ans.

Approche fondée sur les risques

Sans attendre, les entreprises doivent dès maintenant anticiper en intégrant les nouvelles obligations en terme de « privacy by design », d’« accountability » ou d’études d’impact et élaborer les procédures et les outils adéquats.

En effet, les différents projets informatiques et logiciels devront intégrer plusieurs paramètres, tels que l’anonymisation, afin d’être conformes, dès le début de la conception, aux exigences de la nouvelle réglementation. Les entreprises devront également structurer leur documentation afin d’être en mesure de prouver que toutes leurs obligations ont bien été respectées.

Suppression des formalités préalables et auto-évaluation

Si les déclarations préalables auprès des autorités sont supprimées, les entreprises devront être en mesure de démontrer que les traitements mis en œuvre sont conformes au nouveau règlement via notamment l’adoption de codes de conduite ou de mécanismes de certification.

Consécration de la responsabilité conjointe

Le règlement européen consacre la coresponsabilité (art.26). Désormais, lorsque deux responsables de traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont responsables conjoints du traitement.

Les sous-traitants peuvent désormais assumer une responsabilité directe au même titre que les responsables de traitements Les entreprises agissant en qualité de sous-traitants devront donc s’y préparer en formalisant leurs obligations et leurs rôles dans des conventions, notamment en ce qui concerne l’exercice des droits des personnes concernées.

Les prestataires Cloud et les développeurs de logiciels sont également concernés puisqu’ils seront tenus de respecter les dispositions du règlement.

Notification de violations de données à la CNIL et aux personnes concernées

Alors que l’obligation de notification de violations de données pesait uniquement sur les FAI (fournisseurs d’accès à internet) au titre de l’article 34 bis de la loi « Informatique et Libertés » du 6 janvier 1978, le règlement européen généralise cette obligation à tous les responsables de traitement.

Ainsi, en application de l’article 33 du règlement, toute entreprise, devra en cas de violation de données, notifier celle-ci 72 heures au plus tard à l’autorité de contrôle. Toute violation devra être documentée de même que les mesures prises pour y remédier. Il s’agit de la simple perte d’un smartphone par un salarié ou de l’intrusion d’un pirate informatique dans le système informatique de l’entreprise.

Les personnes concernées devront également être informées, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, dans les meilleurs délais. Face à l’augmentation des menaces (programmes malveillants, hameçonnage, intrusions etc.), les entreprises doivent d’ores et déjà amorcer une réflexion quant à un renforcement de la sécurité informatique et à l’élaboration d’une procédure interne pour faire face à d’éventuelles violations de données.

Désignation d’un DPO (Data Protection Officer)

Les autorités ou organismes publics ainsi que les entreprises traitant des données à caractère personnel de manière régulière et à une échelle importante, et celles dont les activités consistent en un traitement à grande échelle des données visées à l’article 9 et 10 devront désigner un délégué à la protection des données personnelles (DPO) (article 37). Ce dernier pourra ou non être un employé du responsable de traitement mais impérativement désigné sur la base de ses connaissances du droit et des pratiques en matière de protection de données personnelles. Il convient de noter qu’un groupe d’entreprises pourra désigner un seul DPO sous conditions. Dans tous les cas, le DPO, devra exercer ses activités en toute indépendance.

Les entreprises doivent dès lors d’une part, évaluer si elles entrent dans le champ d’application de l’obligation de désigner un DPO et d’autre part, identifier l’employé ou le tiers qui répondra aux exigences de qualification. Si l’entreprise n’est pas soumise à l’obligation de désigner un DPO, il n’en demeure pas moins qu’elle a tout intérêt à identifier un responsable de la protection des données à caractère personnel.

Désignation d’un représentant

Les entreprises établies en dehors de l’Union européenne et dont les activités sont liées à l’offre de biens ou de services dans un ou plusieurs pays de l’Union devront désigner un représentant qui constituera un point de contact unique pour les autorités et pour les personnes dont les données sont traités par ces sociétés. Cette obligation n’est néanmoins pas applicable lorsque le traitement est occasionnel et n'implique pas un traitement, à grande échelle, de catégories particulières de données à caractère personnel et peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques (article 27). Cette désignation ne porte pas atteinte aux responsabilités du responsable du traitement ou du sous-traitant au titre du règlement.

Le renforcement de la protection des individus

Outre le renforcement des droits déjà consacrés par la loi « Informatique et libertés », le projet de règlement crée de nouveaux droits pour les personnes physiques. Il s’agit essentiellement du droit à l’effacement ou droit à l’oubli numérique (art. 17), du droit à la limitation du traitement des données personnelles (art. 18), du droit à la portabilité des données (art. 20) et du droit de ne pas faire l’objet d’une décision résultant exclusivement d’un traitement automatisé , y compris le profilage, produisant des effets juridiques ou l’affectant de manière sensible (art. 22).

L’article 7 du règlement renforce les conditions applicables au consentement : désormais, les responsables de traitement seront tenus de démontrer que les personnes concernées ont donné leur consentement aux traitements les concernant. Le consentement devra désormais être une indication positive et ne pourra être déduit du silence de la personne concernée, ni même de simples cases cochées. Ces changements peuvent d’ores et déjà être pris en compte par les entreprises qui devront s’atteler à une mise à jour des différents supports d’information, formulaires, procédures d’obtention du consentement etc.

Sanctions plus lourdes applicables aux responsables et aux coresponsables de traitement

Au titre de la directive de 1995, les sanctions applicables varient d’un État membre à l’autre.

En France, les entreprises encourent des sanctions pécuniaires au titre de l’article 47 de la loi « Informatique et libertés » qui ne peuvent excéder 300 000 euros ou 5 % du chiffre d’affaires hors taxes du dernier exercice dans la limite de 300 000 euros.

Des sanctions pénales au titre de l’article 226-16 du Code pénal (5 ans d’emprisonnement et 300 000 euros d’amende) sont également encourues, à condition de ne pas violer le principe de non bis in idem tel qu’interprété par la CJUE.

Le règlement (article 83) établit un régime de sanctions maximales, chaque autorité de protection nationale pouvant déterminer la sanction adéquate à appliquer dans un cas donné :

  • 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (en cas de violation notamment des obligations prévues par les articles 8, 11, 25, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 42 et 43) ;
  • 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu (en cas de violation notamment des obligations prévues par les articles 5 , 6 , 7 , 9 12 à 22 , 44 à 49, 58 et chapitre IX).

Outre ces sanctions, une non-conformité expose les entreprises à des risques en terme de réputation et de perte de chiffre d’affaires, les avertissements de la CNIL étant publiés sur le site internet de l’autorité et dans le Journal Officiel , et souvent relayés par les médias. Autant d’éléments qui militent en faveur d’une anticipation par rapport à l’entrée en vigueur du règlement afin que celui-ci constitue une opportunité pour les entreprises et non une contrainte.

Le texte devrait être examiné les 27 et 28 avril prochain par le parlement lors d’une session intermédiaire. Le vote en session plénière devrait, quant à lui, intervenir au début du mois de juin 2016.

Pour lire la dernière version du projet de règlement, cliquez ici.