Le domaine de la protection des données personnelles est en plein bouleversement !

Article rédigé le 12/09/2016   
Effectivement, le mot « bouleversement » n’est pas trop fort tant le règlement (U.E.) n° 2016/679 modifie, de manière substantielle, la façon d’aborder la protection des données personnelles (DP).

Ainsi, cette règlementation s’appliquera autant au traitement de DP effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’U.E. que le traitement ait lieu ou non sur le territoire de l’U.E. qu’au traitement de DP relatives à des personnes qui se trouvent sur le territoire de l’Union alors même que le responsable de traitement ou le sous-traitant  n’est pas établi sur le territoire de l’Union Européenne dès lors que le traitement est lié à une offre de biens ou de services qui s’adresse à ces personnes (qu’un paiement soit exigé ou non desdites personnes) ou dès lors que le traitement concerne le suivi de comportement au sein de l’Union Européenne de ces personnes (profilage, etc.). Il sera donc difficile d’y échapper !

En outre, cette nouvelle règlementation met en place le principe d’« accountability ». Ce faisant si elle supprime les formalités de déclaration auprès de la CNIL, elle renforce considérablement les obligations du responsable du traitement qui sera obligé notamment de tenir à jour, sous sa responsabilité, un registre détaillé des activités de traitement.

Également, le règlement met en œuvre le principe de « privacy by design » imposant aux entreprises, dès la conception de leur projet, de vérifier, sous leur responsabilité, leur conformité à la règlementation sur la protection des données à caractère personnel.

À cet égard, il n’est pas inutile de préciser que les pouvoirs de contrôle de la CNIL sont considérablement renforcés. Elle peut notamment prononcer des amendes administratives allant jusqu’à 20.000.000,00 € ou 4% du CA annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Le règlement prévoit encore la désignation d’un DPO (Data Protection Officer ou délégué à la protection des données). Cette désignation est obligatoire pour le secteur public, quelle que soit la nature des traitements réalisés et, pour le secteur privé, dans certains cas lorsque « les activités de base [du responsable de traitement ou du sous-traitant] (...) consistent » soit en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées (par exemple du profilage pour faire des propositions sur mesure …) soit « en un traitement à grande échelle » de données sensibles et de données relatives à des condamnations et des infractions pénales. Bien évidemment, il est possible de désigner volontairement un DPO, même lorsque la règlementation ne l’impose pas.

Également, lorsqu’un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contacte et des finalités du traitement est susceptible d’engendre un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit effectuer avant le traitement, une étude d’impact des opérations de traitement envisagées.

Ces quelques illustrations expliquent la raison pour laquelle certaines entreprises anticipent déjà leur mise en conformité à cette règlementation alors même que ce règlement ne sera applicable qu’à partir du 25 mai 2018.

Effectivement, une sensibilisation à ces nouvelles problématiques pour ensuite pouvoir les appréhender correctement semble nécessaire pour nombre de sociétés ou organismes publics.

Le cabinet BASTIEN est à votre disposition pour l’organisation d’une action de formation sur ces questions http://www.cabinetbastien.fr/organisme-de-formation/la-protection-des-donnees-a-caractere-personnel.html ou pour vous apporter des conseils en matière de protection de données à caractère personnel http://www.cabinetbastien.fr/contact/.