Réforme de la protection des données Vers plus de régulation ex post : impact sur la compliance Impact des règles extra financières sur l'industrie financière 3 juillet 2013 Aurélie Banck Consultant senior Ancienne juriste auprès de la CNIL www.cabinet-cilex.com 1 Calendrier - Consultation de la Commission européenne - Publication du projet de la Commission européenne - Publication du rapport du rapporteur au Parlement européen - Débat au Parlement et au Conseil (4000 amendements) - Adoption : début 2014? mis 2014? - 2 ans pour la mise en conformité à compter de son adoption www.cabinet-cilex.com 2 1
Le projet de la Commission européenne - Publication d'un projet de règlement et d'un projet de directive (police-justice) le 25 janvier 2012 - Adaptation des règles de protection des données au contexte numérique (mondialisation des échanges, nouveaux acteurs, etc.) - Explosion d'internet - Harmonisation des régimes juridiques applicables au sein de l'ue - Les principes de la directive restent inchangés mais on constate une modification profonde du mode de régulation, «nouveau paradigme» www.cabinet-cilex.com 3 Basculement d'un régime administratif à une conformité globale 1 - La suppression de la notification préalable auprès de l'autorité de contrôle 2 L'accountability 3 La notification des violations de données à caractère personnel 4 L'obligation de désigner un CIL? www.cabinet-cilex.com 4 2
1 La suppression des notifications préalables - Obligation générale de notification des traitements mis en œuvre en droit communautaire et en droit français ( autorisation) liste mise à disposition par l'autorité de contrôle (transparence) - Remplacée par une approche par les risques : - documentation interne : contenu équivalent aux informations figurant dans les déclarations normales tenue par le responsable de traitement et le soustraitant - analyse d'impact pour la vie privée avec le cas échéant consultation de l'autorité de protection des données : pour les traitements les plus risqués et ceux identifiés par l'autorité de contrôle www.cabinet-cilex.com 5 2 L'accountability - Un concept anglo-saxon (APEC Privacy Framework) - Toutes les mesures mises en place pour garantir la conformité (traçabilité) - Engagement de la responsabilité du RT : garant du résultat, de l'effectivité des mesures - Règlement : intégration dans le corpus législatif - Changement de culture nécessaire (intégration des aspects I&L en amont et dans tous les process) - Effet : en termes de sanctions qui devront être modulées en fonction des efforts d accountability réalisés par l organisme «montant de l amende fixée en tenant cpte de la nature, de la gravité et de la durée de la violation et des mesures et procédures techniques et d organisation mises en œuvre» www.cabinet-cilex.com 6 3
3 - La notifications des violations de données à caractère personnel - Violation = événement entraînant de manière accidentelle ou illicite la perte, l altération ou l accès non autorisé à des données à caractère personnel - Extension de l obligation des violations de données à caractère personnel à tous les responsables de traitement. - Notification doit comporter certaines informations : la description de la nature de la violation (catégories de données, nbre de personnes concernées), les conséquences potentielles et les mesures proposées - Communication à la personne concernée si violation susceptible de porter atteinte à la protection des données - Sauf si le responsable de traitement est en mesure de démontrer à l'autorité qu'il a mis en œuvre des mesures de protection. www.cabinet-cilex.com 7 4 Le correspondant (CIL) - Obligation de désigner un CIL : - Devient obligatoire pour les entreprises ayant 250 salariés ou plus, les organismes publics et les entreprises dont «les activités consistent en des traitements qui du fait de leur nature, de leur portée et/ou de leurs finalités exigent un suivi régulier des personnes» - Débat au PE : critère pourrait évoluer (nombre de personne concernée par le traitement) pourrait redevenir facultatif - Interne ou externe (plus de seuil) - Nouvelles missions de contrôle de la mise en œuvre et de l'application du règlement notamment du principe de privacy by design, de l'information des personnes, des réponses aux demandes de droit d'accès, de la documentation, de la notification des violations, etc. www.cabinet-cilex.com 8 4
Le renforcement des droits des personnes concernées 1 Les modifications apportées aux droits actuels 2 L'octroi de nouveaux droits 3 Les voies de recours 4 Les sanctions www.cabinet-cilex.com 9 1 Les modifications apportées aux droits actuels - Droit à l'information : Complément : durée de conservation, nature de l intérêt légitime du RT justifiant le traitement, clause du contrat conclut, etc. Information spécifique en matière de profilage (art 20) : communication des «effets escomptés du traitement» sur la personne concernée. Renforcement de l information - Droit d'accès : nv modalités d exercice : par courrier électronique (avec obligation de répondre par la même voie), délai réduit (un mois) et motivation de la décision (ds la réponse doit mentionner la possibilité de porter plainte auprès de la CNIL). www.cabinet-cilex.com 10 5
2 Les nouveaux droits - Droit à la portabilité des données : Possibilité d'obtenir une copie des données «dans un format électronique structuré couramment utilisé et «qui permet la réutilisation de ces données par la personne concernée (art 18). Conséquences : possibilité d extraire à tout moment, transmission N impose p as de procéder à la suppression des données - Droit à l'oubli : Art 17 : droit d obtenir du responsable de traitement l effacement des données à caractère personnel et la cessation de la diffusion des données www.cabinet-cilex.com 11 3 Les recours en cas de violation du règlement Possibilité d introduire un recours juridictionnel - devant toute autorité de protection des données : si une personne considère que le traitement de données à caractère personnel dont elle fait l objet n est pas conforme au règlement Possibilité d'introduire un recours devant les juridictions - devant les juridictions de l État membre dans lequel le responsable de traitement ou le sous-traitant dispose d'un établissement ou dans lequel la personne a sa résidence habituelle Droit à réparation - Toujours la possibilité d'introduire une plainte auprès de l'autorité de contrôle - Introduction d'une solidarité de responsabilité entre le responsable de traitement et le sous-traitant (art 77) : toute personne ayant subi un dommage du fait d'un traitement illicite a le droit d'obtenir réparation de la part du responsable de traitement ou du sous-traitant www.cabinet-cilex.com 12 6
4 Les sanctions - Avertissement par écrit en cas de premier manquement non intentionnel : - lorsqu'une personne physique traite des DCP en l'absence d'intérêt commercial - lorsqu'un organisme (- 250 salariés) traite des DCP de manière accessoire à son activité principale - Accroissement du montant des sanctions administratives qui peuvent aller jusqu'à 2 % du chiffre d'affaire mondiale de l'entreprise : - 250 000 euros ou 0,5 % du CA mondial : défaut réponse aux demande de droits d'accès - 5000 000 euros ou 1 % du CA mondial : défaut d'information des personnes concernées - 1 millions d'euros ou 2 % du CA mondial : absence de notification d'une violation de DCP, de désignation d'un DPO, etc. - Possibilité pour les Etats membres d'adopter des sanctions pénales www.cabinet-cilex.com 13 Conclusion - Europe précurseur en matière de protection des données - Changement de paradigme dans la régulation : transfert des modes de régulation de l amont vers l aval à un régime de formalités administratives se substitue un principe de responsabilité globale du responsable de traitement et du soustraitant nécessitant pour les organismes à s adapter à ce nouveau mode de contrôle. - Impacts nombreux pour les établissements financiers notamment en raison de la sensibilité des traitements qu ils mettent en œuvre. - Accroît l autonomie du responsable de traitement www.cabinet-cilex.com 14 7
Merci! www.cabinet-cilex.com 15 8