Après quatre années de négociations, le Règlement européen sur la protection des données personnelles a été adopté par le Parlement européen le 14 avril 2016. Ce texte d’application directe à compter du 24 mai 2016, vise à améliorer la protection des personnes en tenant compte de l’évolution technologique depuis la Directive de 1995.

Parmi les évolutions que le texte devrait apporter en droit français, à compter du 24 mai 2016, on peut citer l’extension de l’obligation de nommer un Data Protection Officer (équivalent du CIL) (A), et la disparition de l’obligation de déclaration préalable de certains traitements de données à caractère personnel (ci-après « Traitement ») auprès de la CNIL (B).

A/ Le texte fixe trois cas dans lesquels la désignation d’un DPO sera rendue obligatoire :

• lorsque le Traitement est effectué par une autorité ou un organisme public, à l’exclusion des juridictions agissant dans le cadre de leur compétence judiciaire ;
• lorsque les activités de base du responsable de Traitement ou du sous-traitant consistent en des Traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ; Cette hypothèse pourrait concerner de nombreuses entreprises. Sauf précision du G29 dans les mois à venir, la désignation d’un DPO dans chaque entreprise faisant un usage régulier de ses bases de données clients/prospects semble obligatoire.
• lorsque les activités de base du responsable de Traitement ou du sous-traitant consistent en des Traitements à grande échelle de données sensibles ou de données relatives à des condamnations et infractions pénales. Ex : hôpitaux, assureurs.

L’hypothèse n°2 concerne de nombreuses entreprises, y compris les PME, ce qui conduit les professionnels du secteur à conclure à l’obligation systématique de désigner un DPO.

Le DPO devra être doté de connaissances spécialisées de la législation et des pratiques en matière de protection des données ; et devra être capable d’accomplir les missions qui lui sont confiées à savoir, notamment : sensibilisation des travailleurs à la protection des données, contrôle de la conformité du Traitement, correspondance avec l’autorité nationale de contrôle.

Enfin, le Règlement prévoit également qu’un groupe d’entreprises, entendu « comme une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle » (art. 4, 19), pourra nommer un DPO unique.

B/ Le Règlement européen va permettre d’alléger les formalités administratives incombant au responsable de Traitement.

En effet, ce nouveau Règlement fait disparaitre l’obligation existant en droit français de déclaration préalable à la mise en œuvre du Traitement auprès de la CNIL.

La question de la protection des données à caractère personnel devra néanmoins être prise en compte dès la conception d’un projet. Le responsable de Traitement devra s’assurer que les mesures techniques et organisationnelles nécessaires à la protection des données sont mises en place.

Pour cela, les responsables de Traitement et les sous-traitants devront réaliser une analyse d’impact pour déterminer si le Traitement envisagé présente des risques particuliers d’atteintes aux droits des personnes concernées.

De plus, les responsables de Traitement devront tenir un registre, à la disposition des personnes concernées et des autorités de contrôle, précisant :

• les coordonnées du responsable de Traitement et du DPO,
• les finalités du Traitement,
• les destinataires, y compris dans des pays tiers,
• les transferts des données,
• les catégories de données et de personnes concernées,
• les durées de conservation,
• une description générale des mesures de sécurité techniques et organisationnelles.

Le responsable de Traitement devra être en mesure de démontrer que ses activités de Traitement respectent les obligations du Règlement et que des mesures techniques et organisationnelles, régulièrement réexaminées et actualisées, sont bien mises en place pour assurer la protection des données. A noter que les sanctions prononcées par la CNIL pourront aller jusqu’à 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial total.