Les Etats membres de l’Union européenne se sont accordés sur l’harmonisation des législations sur le traitement, la gestion et la protection des données personnelles.

Le nouveau Règlement européen sur la protection des données personnelles a été adopté par le Parlement européen le 14 avril 2016 et sera effectivement applicable sur le territoire de l’Union le 25 mai 2018. Autant dire que les travaux sont importants, dans un lapse de temps limité et que les impacts pourront être importants pour les entreprises.
Ce Règlement fait peser de nouvelles obligations à la charge des entreprises et implique de mettre en place de nouvelles mesures organisationnelles, techniques et de protection pour les personnes. Concrètement, il met en place les trois dispositifs suivants :

1° La nomination d’un DPO (Data Protection Officer)

La nomination d’un DPO au sein des entreprises est obligatoire dans trois cas principaux :

(1) lorsque le traitement est effectué dans le secteur public, (2) lorsque les activités de base du responsable de traitement (ou du sous-traitant) consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées et (3) lorsque les activités principales du responsable de traitement (ou du sous-traitant) consistent en des traitements à grande échelle de données sensibles ou de données relatives à des condamnations et infractions pénales.

Bien qu’elle soit encore à préciser, l’hypothèse n°2 peut viser un grand nombre d’entreprises ! Le G29 devrait se prononcer dans les prochains mois sur cette question. A noter qu’il est précisé dans le Règlement que pour les entreprises privées, les activités de base d’un responsable de traitement ont trait à ses activités principales et ne concernent pas le traitement des données à caractère personnel en tant qu’activité auxiliaire.

Les missions du DPO seront plus larges que celles actuellement confiées au Correspondant Informatique et Libertés (CIL). En plus des missions déjà accomplies par le CIL, le DPO sera en charge de notifier et d’enregistrer les violations de la règlementation sur les données personnelles, ainsi que de procéder à des analyses d’impact de ces violations.

2° L’obligation d’alerte en cas de violation de données personnelles

Le Règlement étend l’obligation de notifier à l’autorité de contrôle les violations de données à caractère personnel, actuellement applicable fournisseurs d’accès à Internet, opérateurs de téléphonie fixe ou mobile. Sous peine de sanction, chaque violation de données à caractère personnel (divulgation, perte, destruction, etc.) devra être notifiée, à la CNIL, dans les 72h après que le responsable de traitement en ait eu connaissance.

La notification qui n’aurait pas été faite dans un délai de 72h, devra être accompagnée d’un motif de retard.

Par ailleurs, le responsable de traitement devra également avertir les personnes concernées en cas de violation de données personnelles qui pourrait s’avérer leur être gravement préjudiciable.

3° Le renforcement du « droit à l’oubli » numérique et de l’information des personnes

Concernant le « droit à l’oubli », le Règlement introduit une règle selon laquelle le responsable de traitement, qui aurait rendu des données publiques et auprès duquel une personne concernée a exercé son droit de suppression, à en informer les autres responsables de traitement traitant les données concernées.

Concernant l’information des personnes, le Règlement précise, qu’en vertu du principe de transparence, les informatives relatives au traitement doivent être aisément accessibles, faciles à comprendre, et formulés en des termes clairs et simples, et lorsqu’il y a lieu, illustrées à l’aide d’éléments visuels.

A noter que le Règlement créé, au bénéfice des personnes concernées, un droit à la portabilité leur permettant de recevoir, dans un format interopérable, leurs données personnelles afin notamment de les transmettre à un autre responsable de traitement. Les personnes concernées pourront également demander à ce que le responsable de traitement initial se charge de ce transfert.

Au regard de ce renforcement des droits des personnes sur leurs données, les contrats d’externalisation de données, par exemple auprès d’acteurs de solutions Cloud, doivent être revus pour s’assurer de leur conformité à la nouvelle règlementation.

Les entreprises ont jusqu’au 25 mai 2018 pour assurer leur mise en conformité avec cette nouvelle règlementation.
Cette mise en conformité ne doit pas être prise à la légère, une défaillance pouvant coûter jusqu’à 4% du chiffre d’affaires annuel mondial, dans la limite de 20 millions d’euros.

2018 étant tout aussi proche que les prochains congés d’été, il convient, pour les entreprises, quelle que soit leur activité, de s’interroger dès à présent sur les dispositifs en place, mesurer l’écart par rapport à la législation et surtout mettre en place des mesures avant 2018.

David LUPONIS – Partner MAZARS

Jacob Avocats et Mazars s’associent sur de nombreux projets afin d’aider les entreprises à sécuriser leur patrimoine informationnel avec des prestations de conseils juridiques, de conformité, de contrôle interne et de sécurité des systèmes.