En mai 2018, un règlement européen va entraîner d’importants changements dans la pratique des entreprises en matière de gestion des données personnelles.
Ce que prévoit le règlement européen du 27 avril 2016
Ce règlement est directement applicable dans l’ensemble de l’Union européenne sans nécessiter de transposition dans les différents Etats membres et ce à partir du 25 mai 2018.
- Il concerne toutes les entreprises utilisant des données personnelles. Ainsi à cette date, les responsables de traitement devront s’être mis en conformité avec le règlement sous peine de sanctions.
- Il marque le passage d’une logique de « formalités préalables » à une logique de « conformité » dont les acteurs seront responsables sous le contrôle du régulateur (la CNIL en France).
Ainsi les responsables de traitements de données n’auront plus à effectuer de déclarations à la CNIL dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes. Or, ils devront dès le début mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles. Concrètement, ils devront veiller à limiter la quantité de données traitées dès le départ (principe dit de minimisation) et devront également être capables de démontrer cette conformité à tout moment.
Pour les traitements à risque, il faudra toutefois conduire une étude d’impact complète faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
Cela concerne notamment, les données sensibles qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé ou l’orientation sexuelles mais aussi les données génétiques ou biométriques.
Ce règlement renforce par ailleurs les droits des personnes.
En effet chaque personne concernée par les traitements de données va avoir le droit à la mise à disposition d’une information claire, intelligible et aisément accessible et va devoir donner son accord pour le traitement des données. La preuve de ce consentement incombant au responsable du traitement.
La mise en place des délégués à la protection des données
Le règlement européen instaure des délégués à la protection des données (DPD). Ce seront les successeurs des correspondants informatiques et libertés (CIL) dont plus de 17 700 organismes sont d’ores et déjà dotés en France et dont la mise en place permet de se dispenser de certaines déclarations.
A la différence du CIL, dont la désignation est actuellement optionnelle, la désignation du DPD est obligatoire dans le secteur public et pour les responsables de traitement et les sous-traitants dont les activités principales les amènent :
- à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- à traiter des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Pour les autres, leur désignation est facultative.
A noter, qu’il sera possible d’opter pour un délégué à la protection des données mutualisé ou externe.
Les DPD sont les garants de la conformité en matière de protection des données et auront un rôle renforcé par rapport aux CIL. Ils devront notamment :
– contrôler le respect de la réglementation en matière de protection des données ;
– informer et conseiller le responsable de traitement, ses sous-traitants et leurs employés ;
– coopérer avec la CNIL et d’être le point de contact de celle-ci.
La CNIL a élaboré des documents pour conseiller et accompagner les entreprises à la mise en place de cette nouvelle réglementation
https://www.cnil.fr/fr/devenir-delegue-la-protection-des-donnees