Les mesures phares du règlement européen sur la protection des données

données personnelles

Le nouveau règlement sur la protection des données, adopté le 14 avril 2016 et applicable le 25 mai 2018 dans l'ensemble de lUE viendra automatiquement être substitué à la loi informatique et liberté, sans que des transpositions dans notre droit ne soit nécessaire. Certaines de ses dispositions sont déjà transposées en droit français, et les autres ne tarderont pas de l'être... tenez vous prêt. Nous allons donc passer en revue ses principales mesures. Principe du consentement exprès L’article 4 de la proposition de règlement définit le consentement comme « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement » Pour qu’une personne voit ses données collectées, il faut qu’elle donne un consentement exprès (par exemple en cochant une clause lui demandant son autorisation) lui demandant spécifiquement si elle désire que ses données fassent l’objet d’un traitement. Le consentement ne peut plus être « tacite » ne sont donc plus possible. La portabilité des données Nous avons déjà consacré un article sur cette notion, puisqu’elle a déjà été adopté avec la loi pour une République Numérique. Selon l’article 18.2 de la proposition de règlement, « lorsque la personne concernée a fourni les données à caractère personnel et que le traitement est fondé sur le consentement ou sur un contrat, elle a le droit de transmettre ces données à caractère personnel et toutes autres informations qu’elle a fournies et qui sont conservées par un système de traitement automatisé à un autre système dans un format électronique qui est couramment utilisé, sans que le responsable du traitement auquel les données à caractère personnel sont retirées n’y fasse obstacle ». Autrement dit, une personne qui désire changer d’opérateur (par exemple de boite mail), pourra exiger que toutes ses données (liste de contact) puisse être exportées vers un autre opérateur. Droit à l’oubli numérique L’article 17 prévoit que la personne pourra demander la suppression de toutes les données le concernant, et que le responsable de traitement devra faire suite à sa demande, sauf si il fait valoir un motif légitime lui permettant de les conserver (par exemple, recherche historique ou scientifique, santé publique, exercice du droit à la liberté d’expression…) Ainsi par exemple, vous pourrez demander à Facebook ou Twitter de supprimer l’intégralité de vos données lors de la suppression de votre compte. Principe de minimisation des données Ce principe rejoint celui de « proportionnalité » actuellement en vigueur dans la loi informatique et liberté ; les données doivent être limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées. Ainsi, il ne sera plus possible de demander la date de naissance d’un consommateur, si cette information n’est pas nécessaire pour l’enregistrement et l’envoie de sa commande. Simplification des formalités Les formalités devant être accomplies auprès de la CNIL vont être supprimées, mais remplacées par une plus grande responsabilisation des acteurs du numérique. Information sur les failles de sécurité

En cas de brèche dans la sécurité, le responsable de traitement est tenu d’en tenir informé la CNIL dans les 24 h au plus tard après en avoir pris connaissance.

Cette notification devra décrire la nature de la violation de données à caractère personnel, recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation des données, décrire les conséquences de la violation des données et décrire les mesures proposées ou prises par le responsable du traitement pour remédier cette violation. Protection des données dès la conception et protection des données par défaut

Le responsable du traitement doit appliquer, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées afin d’assurer la sécurité des données. Il devra notamment garantir que :

- seules sont traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement ;

- ces données ne sont pas collectées ou conservées au-delà du minimum nécessaire à ces finalités, pour ce qui est tant de la quantité de données que de la durée de leur conservation ;

- ces données ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques. Analyse d’impact Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou son sous‑ traitant doit effectuer une analyse de l'impact des traitements envisagés sur la protection des données à caractère personnel. Sont considérés comme des « traitement à risque » : l'évaluation systématique et à grande échelle de data sur une personne physique visant à analyser ou prévoir sa situation (notamment) économique, sa localisation, son état de santé, ses préférences personnelles, sa fiabilité ou son comportement… ; le traitement d'informations relatives à la vie sexuelle, à la santé, à l'origine raciale et ethnique ; la surveillance de zones accessibles au public, en particulier la vidéosurveillance ; des fichiers informatisés de grande ampleur concernant des enfants, ou le traitement de données génétiques ou biométriques.

Désigner un CIL La désignation d’un correspondant informatique et liberté devient obligatoire lorsque :

- le traitement est effectué par une autorité ou un organisme publics ;

- le traitement est effectué par une entreprise employant 250 personnes ou plus ;

- les activités de base du responsable de traitement ou du sous-traitant « consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées ». Renforcement des pouvoirs de sanction de la CNIL Le CNIL pourra désormais prononcer des amendes pouvant aller jusqu’à un million d’euros ou 2 % du chiffre d’affaires annuel mondial d’une entreprise. Pour plus d'information sur ce sujet, contactez nous.

#règlementeuropéensurlaprotectiondesdonnées #donnéespersonnelles #CNIL #CIL #portabilitédesdonnées

Featured Posts
Recent Posts
Archive
Search By Tags