[Compte-rendu événemenquable] Protection des données personnelles : ce qui va changer à partir de mai 2018 #RGPD

25/01/2018 par Paul-Antoine EVAIN.
  • Diminuer la taille de la police
  • Agrandir la taille de la police
[Compte-rendu événemenquable] Protection des données personnelles : ce qui va changer à partir de mai 2018 #RGPD

Vendredi 15 Décembre 2017 au Centre Condorcet s’est tenu l’Atelier « Protection des données personnelles : Ce qui va changer en 2018 ». Animé par Dominique Bruxelle et François Frassati, avocats du Département Droit Économique au sein du Cabinet d’Avocats FIDAL , cet atelier tend à préparer les entreprises à l’entrée en vigueur de la nouvelle réforme « Règlement Européen sur la Protection des Données à caractère personnel » (RGPD) le 28 mai prochain.

Jusqu’à aujourd’hui, le cadre réglementaire de la donnée personnelle se compose notamment de la « Loi Informatique et Libertés » du 6 janvier 1978, de la Directive européenne du 24 octobre 1995, de la loi relative à la consommation, dite « Loi Hamon » du 17 mars 2014 et enfin, de la loi pour une République Numérique dite « Loi Lemaire », du 7 octobre 2016.

 

« Devoir développer un usage raisonné des données »

Ce projet de loi, on ne peut plus contemporain, relatif à la protection des données personnelles est « tombé » le Jeudi 14 décembre 2017. Les enjeux y sont multiples.
Défi technologique, respect des droits et libertés des personnes, respect de la charte des droits fondamentaux, évolution des mentalités, conserver la valeur commerciale, gérer les données en entreprise, respecter la législation européenne aujourd’hui fragmentée, mondialisation, rapprochement start up / grands groupes ; les enjeux sont multiples et le terrain de jeu évidemment international.
Selon l’étude Ponemon Institute 2015, Cost of Data Breach Study : en France, on constate une évolution constante du coût moyen global des atteintes à la sécurité des données à caractère personnel en France. Il était d’un million neuf cent mille euros en 2010, il est de plus de trois millions en 2015.
Les objectifs de ce projet de loi visent donc à répondre aux défis de la rapide évolution des technologies : renforcer le respect des droits des individus, faciliter des échanges de données et ce, de manière plus transparente au sein de l’Union Européenne, réduire les formalités administratives et accroître la responsabilité des entreprises.

 

Donnée personnelle : évolution de la définition.

Le préambule de ce nouveau règlement s’attache à requalifier la définition d’une “donnée personnelle”. Cette dernière fait aujourd’hui référence à toute donnée rattachée à une personne physique identifiée ou identifiable, peu importe l’analyse qualitative de ladite donnée (elle peut concerner un contenu, une identité, un comportement, un contexte etc.). Autrement dit, même un banal “j’aime” sur une page Facebook est aujourd’hui considéré comme une donnée personnelle s’il est possible de le rattacher à l’individu qui en est à l’origine.

 

Collecte et traitement des données

Désormais, il est attendu des professionnels une collecte loyale et licite des données, réalisée pour des finalités déterminées, explicites et légitimes. Le contrôle in concreto doit faire état de données adéquates, pertinentes et non excessives au regard de leur finalités. Elles doivent, en outre, être conservées sous une forme permettant l’identification des personnes concernées et ce, seulement durant la période nécessaire à la finalité de son utilisation. Au regard de ces dispositions, est considéré comme traitement de données toute opération, notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation, la consultation ou la diffusion. Ceci vaut quel que soit le procédé utilisé, qu’il soit automatisé ou non. A noter l’exception faite pour une utilisation strictement personnelle des données.

 

Droit et recours des personnes

Un des apports majeurs de ce projet de loi réside dans le fait que chaque structure sera désormais chargée de recueillir le consentement des personnes dont elles collectent et/ou traitent les données. Ce consentement se doit d’être spécifique, informé et non ambigu. Aucun consentement implicite ne pourra être accepté. Ainsi, en cas de litige (délais d’instruction de 2 mois maximum), le responsable du traitement doit pouvoir prouver le consentement complet de la personne dont on fait usage des données (principe “accountability”). Tout individu avait déjà un droit d’accès, de rectification et d’opposition à ses données. Dorénavant, le règlement prévoit également un “droit à l’effacement de ses données sans motif” (“droit à l’oubli numérique”), un “droit à la limitation du traitement des données à caractère personnel”, ainsi qu’un “droit à la portabilité des données”.

 

Responsable du Traitement

Le “responsable du Traitement” (des données) doit s’assurer du bon établissement du contrat du traitement des données personnelles. Cela impose naturellement des formations dédiées pour les personnels de chaque structure. Les principales obligations du Responsable du Traitement sont :

  • “Privacy by Design” : le respect des exigences légales dès la conception du projet informatique ou de collecte et du traitement des données ;
  • Accomplir les formalités applicables ;
  • Respecter les différents droits des personnes (évoqué précédemment) ;
  • Mettre en place la documentation appropriée ;
  • Principe d’“accountability” ;
  • “Security by default” (Sécuriser les fichiers) ;

 

2018 : le DPO (Data Protection Officer)

Il devient obligatoire si le traitement est opéré par une autorité ou un organisme public, s’il s’agit de l’activité de base de l’entité (grande échelle de traitement) et si les données traitées sont dites “sensibles” à grande échelle.
Le DPO a pour missions d’accompagner le responsable et le sous responsable des traitements ainsi que les salariés dans leurs obligations légales, de contrôler la bonne mise en œuvre interne des règles, et de veiller à la protection des données, la sécurité et l’information des personnes concernées. Il devra également tenir un “registre des traitements”, être le référent lorsque nécessaire, coopérer avec la CNIL et gérer les risques du traitement.

 

Rôle et sanctions de la CNIL

En 2018, le rôle de la CNIL se voit modifié. Elle abandonne partiellement son rôle de centre d’enregistrement. Son rôle d’accompagnement et de conseil est renforcé, tout comme celui de pouvoir de contrôle et de sanction. Concernant les risques juridiques et pénaux, ils sont nombreux ; entre autres une amende de 300 000 d’euros pour une personne physique, et 1,5 million d’euros et jusqu’à 5 ans de prison pour une personne morale.

 

Compte rendu réalisé par Léa BAZILLE-LÉTARD et Ashley BERTOUT-ETUKUDO

étudiantes en Master CPP ISIC, Université Bordeaux Montaigne


ImprimerImprimer EnvoyerEnvoyer