Ce règlement, s’il reste fidèle aux principes fondateurs de la protection des données en Europe, modifie profondément les obligations pesant sur les organismes, publics ou privés, qui traitent des données. Ceux-ci doivent donc s’adapter avant le 25 mai 2018, date d’entrée en application de ce nouveau cadre.
Stéphan Denoyes, avocat associé aux barreaux de Paris et de Lyon. |
Le règlement traduit un renforcement des droits des personnes à l’ère numérique. Il conforte la place de l’individu au cœur du système juridique, technique et éthique de la protection des données en Europe, et lui offre de nouveaux droits ou garanties :
- l’expression du consentement est renforcée, de même que l’information ;
- la protection des enfants est renforcée, le consentement des parents étant nécessaire dans de nombreux cas ;
- les personnes peuvent récupérer leurs données sous un format aisément réutilisable : c’est le droit à la portabilité des données.
Le nouveau cadre applicable repose sur une logique de responsabilisation des organismes qui traitent des données, qu’ils soient responsables de traitements - donneurs d’ordre - ou sous-traitants. Cette notion de responsabilisation (accountability) se traduit tout d’abord par l’affirmation du principe selon lequel la protection des données doit intervenir dès la conception du service ou du produit, et par défaut (souvent connu sous leur nom anglais de "privacy by design et by default").
Les entités qui traitent des données devront ainsi :
- se doter, le plus souvent, d’un délégué à la protection des données, véritable chef d’orchestre de la conformité en interne, qui exercera une mission de conseil et de contrôle interne en la matière. Les administrations devront obligatoirement en désigner un ; de très nombreuses entreprises également.
- tenir un registre des traitements mis en œuvre avec une documentation complète, facilitant ainsi l’information des personnes et l’éventuel contrôle par la CNIL ;
- mener des Études d’Impact sur la Vie Privée (EIVP) pour les traitements à risque, sous le contrôle du régulateur ;
- notifier les failles de sécurité à la CNIL et, le cas échéant, aux personnes concernées.
La prise en compte de la réglementation "Informatique et Libertés" constitue un incontournable pour tout professionnel souhaitant ménager sa responsabilité. En effet, la réforme du 6 août 2004 a eu pour conséquence d’augmenter le risque de non-conformité lié à cette réglementation :
- risque pénal qui pèse sur le responsable du traitement, jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende ;
- risque de sanction administrative prononcée directement par la CNIL, à la faveur des nouveaux pouvoirs de contrôle et de sanction qu’elle tient de la réforme du 6 août 2004 (pouvoirs de mettre en demeure, d’enjoindre de cesser la mise en œuvre d’un traitement, de prononcer une sanction pécuniaire ou un avertissement). Depuis 2004, la CNIL s’est engagée dans une politique sévère de contrôle et de sanction à l’égard des entreprises, mais également des organismes publics (V. par ex. CNIL, Délib. de la formation restreinte n° 2013-420, 3 janv. 2014 prononçant une sanction pécuniaire à l’encontre de la société Google Inc. - CNIL, Délib. de la formation restreinte n° 2013-173, 19 juin 2013 concernant BNP Paribas) ;
- risque d’image et de notoriété, lorsque, par exemple, des clients découvrent dans la presse ou par le biais des actions de communication de la CNIL qu’un responsable de traitement n’a pas respecté certaines règles relatives à la confidentialité ou au respect de la vie privée.
Concernant le nouveau règlement, en cas de manquement, les citoyens pourront requérir un droit à réparation et/ou d’engager une responsabilité. Ainsi, des sanctions administratives pouvant aller jusque 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pourront être appliquées.
Stéphan Denoyes
Avocat associé aux barreaux de Paris et de Lyon
Résonance n°129 - Avril 2017
Suivez-nous sur les réseaux sociaux :