Publicité

Protection des données personnelles : ce que change le nouveau règlement européen

  • Le nouveau texte européen accorde aux personnes physiques une douzaine de droits relatifs à leurs données personnelles, contre trois dans l'actuelle loi française « Informatique et libertés » (Thijs ter Haar flickr).jpg

    Le nouveau texte européen accorde aux personnes physiques une douzaine de droits relatifs à leurs données personnelles, contre trois dans l'actuelle loi française « Informatique et libertés » (Thijs ter Haar / Flickr)
    Le nouveau texte européen accorde aux personnes physiques une douzaine de droits relatifs à leurs données personnelles, contre trois dans l'actuelle loi française « Informatique et libertés » (Thijs ter Haar / Flickr)
  • Dans les grandes entreprises, les gestionnaires de risques s'interrogent les premiers sur l'impact et le coût que représente ce nouveau règlement.

    Le nouveau Règlement européen sur la protection des données personnelles (REDP), publié le 4 mai au Journal officiel de l'Union européenne, accorde aux personnes physiques une douzaine de droits relatifs à leurs données personnelles, contre trois dans l'actuelle loi française « Informatique et libertés ».

    Par exemple, le consentement des personnes à ce que leurs données personnelles soient traitées devient obligatoire et ne peut plus être implicite ou général. De plus, il doit maintenant être documenté et tracé. À l'autre bout de la chaîne, le « droit à l'oubli » est désormais prévu de manière explicite.

    Règle et exceptions

    La règle, c'est que toute violation de ces droits doit être communiquée, à la fois à la CNIL et au(x) propriétaire(s) des données. En cas de manquement, les sanctions encourues grimpent jusqu'à 20 millions d'euros d'amende ou encore 4 % du chiffre d'affaires annuel mondial de l'entreprise.

    Le responsable de cette communication, effectuée par l'entreprise, doit être un DPO – pour data protection officer -, un juriste informaticien et non plus un « correspondant informatique et libertés » comme c'était le cas depuis 2004.

    Le Règlement européen sur la protection des données personnelles a été publié le 4 mai au Journal officiel de l'Union européenne (capture JO EU numérique)

    Mais le texte européen prévoit une série d'exceptions. Il n'est par exemple pas besoin de communiquer sur d'éventuelles violations « si le responsable de traitement (le DPO donc) a mis en œuvre les mesures de protection techniques et organisationnelles appropriées, (...) telles que le chiffrement ». Par ailleurs, si cette information directe à la CNIL et aux personnes physiques « exigerait des efforts disproportionnés, il est plutôt procédé à une communication publique ».

    Compte à rebours

    Ce règlement européen a été publié au Journal officiel de l'Union européenne le 4 mai. Il entrera en vigueur 20 jours après, soit le 24 mai 2016, mais avec un délai de 2 ans.

    Il s'impose aux États membres sans le passage d'une loi et est donc applicable « immédiatement » (au plus tard le 24 mai 2018 donc). Il remplacera totalement la loi « Informatique et libertés » de 2004.

    Il représente une harmonisation des différents textes nationaux et s'appliquera à toute entreprise collectant et traitant des données personnelles de personnes physiques situées dans l'Union européenne, sans question de nationalité. Il s'applique donc aussi aux entreprises basées à l'étranger, comme aux États-Unis, régulièrement dénoncées par la CNIL.

    Ce sujet vous intéresse? Retrouvez-en davantage dans les Guides Pratiques Archimag !
    droit-information
    Gouvernance de l’information, données personnelles, propriété intellectuelle… Le droit de l’information est omniprésent. Les textes de référence peuvent être anciens ; parallèlement, internet et le numérique conduisent à une production importante de nouvelles législations françaises ou européennes. Les nouvelles questions juridiques sont pléthore : protection des données à caractère personnel (RGPD), réforme du droit d’auteur, text et data mining, blockchain… Avec la legaltech, l’industrie du droit est en plein renouvellement. Ce guide pratique décrypte toutes ces questions, permettant aux organisations de se mettre à jour et aux documentalistes d’assurer une veille juridique complète. Pour ces professionnels, de nombreux développements sont consacrés aux questions découlant du respect du droit d’auteur - jusqu’à celle du scraping de données -, véritable pivot juridique de la pratique documentaire. Sont aussi abordés des sujets de droit propres au document numérique : preuve, copie, signature, lettre recommandée, coffre-fort... Avocats, juristes et spécialistes interviennent dans cette cinquième édition et délivrent avertissements et conseils pratiques.
    Acheter ce guide  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    4
    C'est le montant de la levée de fonds réalisée par la start up Affluences.
    Publicité

    Couv demat 2020.png