i [Avis d’experts] Protection des données personnelles et sécurité numérique : quoi de neuf ? | MediaTic Info
protection-donnees-legal-illegal

[Avis d’experts] Protection des données personnelles et sécurité numérique : quoi de neuf ?

Nombreux sont ceux qui ont entendu parler de la loi informatique et liberté qui, transposant notamment une directive communautaire d’octobre 1995, régissait la protection des données personnelles, à savoir les droits et obligations des entreprises et les droits des personnes concernées par la collecte et le traitement de ces données.

Soucieuse de renforcer la protection des personnes afin notamment de renforcer la confiance des internautes, et de faciliter le développement du numérique, l’Union européenne a adopté le 14 avril 2016 un texte qui vient remplacer le texte de la directive, « le règlement général sur la protection des données », n° 2016/679.

Ce règlement intervient après deux arrêts importants de la Cour de Justice de l’Union européenne[1] qui ont souligné la nécessité de prévoir des garanties effectives et concrètes pour la protection des données. Il manifeste également la volonté claire de l’Union européenne de garantir les droits des personnes sur leurs données personnelles comme des droits fondamentaux conformément à l’article 16 du Traité FUE[2].

Ce règlement a également pour effet d’instaurer un droit totalement unifié dans l’ensemble des pays membres de l’Union Européenne.

Que contient ce texte ?

1./ Il énumère les droits de la personne concernée, c’est-à-dire de la personne dont les données à caractère personnel font l’objet d’un traitement en leur permettant d’exercer un contrôle renforcé sur les données à caractère personnel les concernant. Il prévoir notamment :

  • la nécessité d’obtenir de la personne qu’elle indique clairement qu’elle consent au traitement des données à caractère personnel article 7), notamment le consentement parental pour les mineurs
  • un accès plus facile de la personne concernée aux données à caractère personnel qui la concernent
  • les droits à la rectification, à l’effacement des données et à l’oubli (article 17)
  • l’encadrement des activités de profilage et notamment la possibilité de s’opposer à l’utilisation de ses données personnelles à des fins de profilage (article 20)
  • La mise en place d’un mécanisme élargi de notification des failles de sécurité (articles 31 et suivants).
  • le droit à la portabilité des données d’un prestataire de services à un autre.

Le règlement précise les obligations générales des responsables du traitement et des personnes qui effectuent le traitement de données à caractère personnel pour leur compte (sous-traitants). Parmi ces obligations figure celle, essentielle, consistant à mettre en œuvre les mesures de sécurité appropriées et adaptées aux risques liés aux opérations de traitement de données réalisées Cette approche basée sur le risque suppose d’analyser chaque traitement et d’être en mesure de mesurer le risque que le traitement peut faire courir, notamment au regard de la confidentialité des données.

Les responsables du traitement ont l’obligation de notifier les violations de données à caractère personnel dans certaines hypothèses. Quant aux pouvoirs publics et aux entreprises qui effectuent des traitements de données présentant des risques, ils sont astreints à désigner un délégué à la protection des données.

Par ailleurs plusieurs dispositions de ce règlement constituent des nouveautés :

Ainsi, le chapitre V, qui traite des transferts de données personnelles vers des Etats tiers ou des organisations internationales (articles 40 et suivants) constitue un point majeur de ce règlement. Il institue notamment un recours quasi systématique au binding corporate rules, ce qui doit inciter les entreprises à se doter d’outils de compliance.

De plus, le règlement instaure un « mécanisme de cohérence » (article 57), ainsi que des dispositions relatives aux  autorités de contrôle (chapitre VI et VII) destinées à renforcer la coopération entre ces dernières et à développer un véritable marché intérieur des données.

Les articles 78 et suivants traitent des sanctions, qui se voient renforcées (jusque 4% du chiffre d’affaires annuel total mondial) afin d’assurer une meilleure efficacité.

Mais surtout, le règlement invite les entreprises à mettre en place étude d’impact sur la vie privée, avant tout lancement d’un nouveau produit ou service, faisant ainsi la promotion de la Privacy by design. Le respect de la vie privée et des données personnelles doit être pris en compte dès la conception du produit ou du service.

Si les obligations des entreprises en matière de sécurité et notamment de sécurisation de leur environnement numérique et d’adoption de règles de compliance sont renforcées, le règlement prévoit également un allègement de nombreuses obligations administratives.

La gestion du risque constitue donc un des aspects majeurs de ce règlement et incombe aux entreprises et aux  autorités qui gèrent des données personnelles. Cela ne sera pas sans conséquence sur la responsabilité civile des entreprises qui doivent a minima suivre quelques recommandations :

Faire auditer les traitements de données de l’entreprise sous l’angle technique, juridique et managerial et mettre en place les études d’impact (Privacy Impact Assesment).

Faire auditer leur système d’information afin de s’assurer de la sécurisation effective des données (il ne s’agit pas seulement de s’assurer de l’existence d’un firewall).

Adopter des règles de compliance.

S’assurer qu’elles sont bien couvertes par leurs assurances responsabilité civile pour les risques concernés.

jp-gasnier-2

Par Jean-Pierre Gasnier

Avocat associé

Cabinet AKHEOS

Spécialiste en droit de la propriété intellectuelle et droit du numérique

 

[1] Arrêt de la CJUE du 8 avril 2014. Cette décision invalide la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications dans les affaires jointes C-293/12 et C-594/12 Digital Rights Ireland et Seitlinger e.a ; arrêt de la CJUE du 6 octobre 2015, qui invalide la décision de la Commission constatant que les Etats-Unis assurent un niveau de protection adéquat aux données à caractère personnel transférées (Safe Harbor) dans l’affaire C-362/14 Maximillian Schrems / Data Protection Commissioner.

[2] Article 16 TFUE : 1. Toute personne a droit à la protection des données à caractère personnel la concernant. 2. Le Parlement européen et le Conseil statuant conformément à la procédure législative ordinaire, fixent les règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union, ainsi que par les Etats-membres dans l’exercice d’activités qui relèvent du champ d’application du droit de l’Union, et à la libre circulation de ces données. Le respect de ces règles est soumis au contrôle d’autorités indépendantes. Les règles adoptées sur la base du présent article sont sans préjudice des règles spécifiques prévues à l’article 39 du traité sur l’Union européenne

 

Ce contenu a été publié dans Avis d'Experts, _slider, avec comme mot(s)-clé(s) , , . Vous pouvez le mettre en favoris avec ce permalien.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *