Après quatre années de négociations, le Règlement européen sur la protection des données personnelles a été adopté par le Parlement européen le 14 avril 2016. Ce texte d’application directe à compter du 24 mai 2016, vise à améliorer la protection des personnes en tenant compte de l’évolution technologique depuis la Directive de 1995.
Parmi les évolutions que le texte devrait apporter en droit français, à compter du 24 mai 2016, on peut citer l’extension de l’obligation de nommer un Data Protection Officer (équivalent du CIL) (A), et la disparition de l’obligation de déclaration préalable de certains traitements de données à caractère personnel (ci-après « Traitement ») auprès de la CNIL (B).
L’hypothèse n°2 concerne de nombreuses entreprises, y compris les PME, ce qui conduit les professionnels du secteur à conclure à l’obligation systématique de désigner un DPO.
Le DPO devra être doté de connaissances spécialisées de la législation et des pratiques en matière de protection des données ; et devra être capable d’accomplir les missions qui lui sont confiées à savoir, notamment : sensibilisation des travailleurs à la protection des données, contrôle de la conformité du Traitement, correspondance avec l’autorité nationale de contrôle.
Enfin, le Règlement prévoit également qu’un groupe d’entreprises, entendu « comme une entreprise qui exerce le contrôle et les entreprises qu’elle contrôle » (art. 4, 19), pourra nommer un DPO unique.
En effet, ce nouveau Règlement fait disparaitre l’obligation existant en droit français de déclaration préalable à la mise en œuvre du Traitement auprès de la CNIL.
La question de la protection des données à caractère personnel devra néanmoins être prise en compte dès la conception d’un projet. Le responsable de Traitement devra s’assurer que les mesures techniques et organisationnelles nécessaires à la protection des données sont mises en place.
Pour cela, les responsables de Traitement et les sous-traitants devront réaliser une analyse d’impact pour déterminer si le Traitement envisagé présente des risques particuliers d’atteintes aux droits des personnes concernées.
De plus, les responsables de Traitement devront tenir un registre, à la disposition des personnes concernées et des autorités de contrôle, précisant :
Le responsable de Traitement devra être en mesure de démontrer que ses activités de Traitement respectent les obligations du Règlement et que des mesures techniques et organisationnelles, régulièrement réexaminées et actualisées, sont bien mises en place pour assurer la protection des données. A noter que les sanctions prononcées par la CNIL pourront aller jusqu’à 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial total.