Du nouveau concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données… Un nouveau règlement* est en effet paru au journal officiel de l’Union Européenne le 4 mai dernier. Il a pour objectif de créer un cadre uniforme et clair pour tous les membres de l’union européenne, en encadrant strictement le transfert de données à caractère personnel vers les pays tiers et les organisations internationales. La finalité étant d’assurer un niveau élevé de protection des données lors de tels transferts. Voici ce qu’il faut retenir de ce règlement.

Le droit à l’oubli
Les personnes disposeront du droit à l’oubli, c’est-à-dire le droit de demander l’effacement de leurs données personnelles lorsqu’elles ne souhaitent plus que leurs données soient traitées, à condition qu’il n’existe aucune raison légitime de les conserver.
Par exemple, le droit à l’oubli ne s’appliquera pas lorsque la détention des données à caractère personnel sera nécessaire pour la conclusion d’un contrat ou lorsque la loi l’exige.
De même ce droit sera limité lorsque les données seront nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique, ou pour l’exercice du droit à la liberté d’expression.

Le consentement
Chacun devra donner son consentement clair et explicite au traitement de ses données privées, c’est-à-dire donner son consentement de manière active. Il devra par exemple, comme conseillé par la CNIL dans ses recommandations officielles depuis plusieurs années, cocher une case lors de la visite d’un site Internet ou faire une déclaration indiquant l’acceptation du traitement proposé. Le silence, des cases cochées par défaut ou l’inactivité ne constitueront donc pas un consentement.

Droit de transmettre les données personnelles d’une personne à un autre fournisseur de services
Toute personne jouira du droit à la « portabilité des données » afin qu’elle puisse transmettre facilement des données à caractère personnel entre fournisseurs de services. Ce droit permettra par exemple à un utilisateur de changer de fournisseur de messagerie électronique sans perdre ses contacts ou ses courriels.

Droit d’être informé dans un langage simple et clair
Les nouvelles dispositions mettent un terme aux politiques de vie privée « en petits caractères ». Avant collecte des données, les informations devront être données dans un langage clair et simple.

Droit d’être informé en cas de piratage des données
Les entreprises et organisations seront tenues d’informer sans délai l’autorité de surveillance nationale en cas de violation grave des données afin que les utilisateurs puissent prendre les mesures appropriées.

Limitations du profilage
Le profilage est utilisé pour analyser ou prédire les performances d’une personne au travail, sa situation économique, sa localisation, sa santé, ses préférences, sa fiabilité ou son comportement grâce au traitement automatique de ses données personnelles.
Il sera uniquement autorisé si la personne concernée donne son consentement, si la loi le permet, s’il est nécessaire à la conclusion d’un contrat et ne se base pas uniquement sur des données sensibles telles que l’origine ethnique, les opinions politiques, la religion, l’orientation sexuelle, …
Il ne pourra pas être entièrement automatique et devra intégrer une évaluation humaine.

Protection spéciale pour les enfants
Des garanties spéciales sont prévues pour les enfants étant donné qu’ils peuvent être moins conscients des risques et conséquences liés au partage de leurs données personnelles. Ils bénéficieront d’un droit plus clair à l’oubli.
En dessous d’un certain âge, les enfants devront avoir la permission de leurs parents pour ouvrir un compte sur les réseaux sociaux, tels que Facebook, Instagram ou Snapchat.

Le respect de la vie privée comme norme
Les entreprises devront concevoir des fonctionnalités collectant et traitant le moins possible de données à caractère personnel. La « protection de la vie privée dès la conception » deviendra un principe essentiel.

Un système centralisé pour les entreprises au sein de l’UE
Elles n’auront plus à faire face qu’à une autorité de surveillance unique, et non pas 28, ce qui leur permettra de faire des affaires dans l’UE de manière plus simple et moins coûteuse.
Les règles sont applicables à toutes les entreprises ciblant les consommateurs de l’UE, indépendamment du fait qu’elles soient établies à l’intérieur ou à l’extérieur de l’UE.
Le règlement énonce clairement que les entreprises basées en dehors de l’UE doivent respecter les mêmes normes que celles qui proposent des biens et des services sur le marché de l’UE. Cela contribue à créer une concurrence équitable pour toutes les entreprises opérant au sein de l’Union.

Introduction du principe d’accountability
Les entreprises ne seront plus soumises au système de formalités préalables tel qu’il existe aujourd’hui. Celui-ci est en quelque sorte remplacé par le principe d’accountability qui impose aux entreprises la mise en oeuvre des mesures techniques et organisationnelles nécessaires pour s’assurer et être en mesure de démontrer que les traitements des données à caractère  personnel sont effectués dans le respect du présent nouveau règlement.

Contrôle et sanctions
Les nouvelles règles de protection des données vont renforcer les pouvoirs des autorités de surveillance et permettre des amendes importantes en cas de violations.
Ces amendes pourront aller jusqu’à 4% du chiffre d’affaires mondial des entreprises et devraient constituer un véritable moyen de dissuasion à enfreindre les règles.

L’avenir des Correspondants Informatique et Libertés (CIL)
Avec le nouveau règlement, le CIL devient un DPO (Data Privacy Officer = Délégué à la Protection des Données). Il a un rôle de sensibilisation et de communication renforcé par rapport au CIL actuel, tout comme ses moyens d’investigation.
De plus, les entreprises devront obligatoirement désigner un DPO si elles gèrent des quantités importantes de données sensibles ou surveillent le comportement de nombreux consommateurs. La CNIL a mené une étude fin 2015 sur les profils des CIL actuels. Celle-ci révèle que 47% sont issus du secteur des TIC ou du Système d’Information, 19% des fonctions juridiques, 10% des fonctions administratives et 10% des fonctions d’audit ou de conformité.

Pour en savoir plus sur ce sujet sensible et sur CNIL-Conseil 

*Ce nouveau règlement sera en application le 25 mai 2018 et s’imposera à tous les responsables de traitement dans l’union européenne. Jusqu’à cette date, la loi Informatique et Libertés actuelle continuent bien sûr à s’appliquer.