INTRODUCTION. Le Règlement européen renforce les droits des individus sur leurs données personnelles Préparez-vous dès maintenant!

Documents pareils
REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

PROFILAGE : UN DEFI POUR LA PROTECTION DES DONNEES PERSONNELLES Me Alain GROSJEAN Bonn & Schmitt

PROTÉGER VOS BASES DE DONNÉES

Nathalie Métallinos Avocat à la Cour d'appel de Paris

Cybersurveillance: quelle sécurité Internet en interne et en externe pour l entreprise? 23/03/2012

POLITIQUE DE DANAHER CORPORATION EN MATIERE DE LUTTE CONTRE LA CORRUPTION

- La mise en cause d une personne déterminée qui, même si elle n'est pas expressément nommée, peut être clairement identifiée ;

Big Data: les enjeux juridiques

Règlement d INTERPOL sur le traitement des données

CHARTE DE L ING. Code relatif à l utilisation de coordonnées électroniques à des fins de prospection directe

Politique de conformité relative à la lutte contre la corruption et la Loi sur les manœuvres frauduleuses étrangères

Les Matinales IP&T. Les données personnelles. Le paysage changeant de la protection des données personnelles aux Etats-Unis et en Inde

CODE DE CONDUITE DES AGENTS IMMOBILIERS CHARTE DE DÉONTOLOGIE

CHARTE ETHIQUE ACHATS

LES BASES JURIDIQUES DE LA RESPONSABILITE & DE L ASSURANCE EN MATIERE DE RECHERCHE BIOMEDICALE DIU-FARC-TEC 04/11/2009 1

Les bases de données clients dans le cadre du commerce B2B : Quelques aspects juridiques

Cadre juridique de la Protection des Données à caractère Personnel

CONDITIONS D UTILISATION «ESPACE PERSONNEL»

Les fiches déontologiques Multicanal

Conditions Générales d utilisation de l Application «Screen Mania Magazine»

CONDITIONS GENERALES D UTILISATION. 1.1 On entend par «Site» le site web à l adresse URL édité par CREATIV LINK.

LES LOIS ANTI-CORRUPTION

CHARTE ETHIQUE DE WENDEL

Le Réseau Social d Entreprise (RSE)

INCIDENTS DE SECURITE : cadre juridique et responsabilités de l'entreprise

Consultation de la CNIL. Relative au droit à l oubli numérique. Contribution du MEDEF

RISQUE SPORTIF ET ASSURANCE

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

L ASSURANCE FÉDÉRALE

CODE DE DEONTOLOGIE DE LA COMMUNICATION DIRECTE ELECTRONIQUE

Protection des données, Technologie, Médias et Propriété intellectuelle. local partner for global players

NEGOCIER AVEC UN FONDS

CENTRE DE RECHERCHE GRENOBLE RHÔNE-ALPES

Charte d'hébergement des sites Web sur le serveur de la Mission TICE de l'académie de Besançon

DELIBERATION N DU 20 MAI 2015 DE LA COMMISSION DE CONTROLE

Guide juridique de l'e-commerce et de l'e-marketing

Vu la Loi n du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;

Le contrat Cloud : plus simple et plus dangereux

Contrat d agence commerciale

TABLE DES MATIERES. Section 1 : Retrait Section 2 : Renonciation Section 3 : Nullité

Comité sectoriel de la sécurité sociale et de la santé Section sécurité sociale

Protection des données et transparence dans le canton de Genève

Introduction au droit La responsabilité professionnelle

Rapport d audit interne

La responsabilité des directeurs d unité

RÉPONSE DU CONSEIL D'ETAT à l interpellation Amélie Cherbuin Comment soutenir nos ressortissants américains?

P0 AUTO-ENTREPRENEUR DECLARATION DE DEBUT D'ACTIVITE RESERVE AU CFE U

Le régime juridique qui est contractuellement attaché aux

RÈGLEMENT. sur la collaboration avec les intermédiaires

RESPONSABILITE DU DIRIGEANT EN DROIT DU TRAVAIL

Quelles sont les informations légales à faire figurer sur un site Internet?

GUIDE DE LA GÉOLOCALISATION DES SALARIÉS. Droits et obligations en matière de géolocalisation des employés par un dispositif de suivi GSM/GPS

d autre part, par toutes personnes physique ou morale souhaitant procéder à un achat via le site

Nous constatons de nos jours

CIRCULAIRE AUX BANQUES COMMERCIALES ET AUX BANQUES D ÉPARGNE ET DE LOGEMENT

Big Data et le droit :

Le statut juridique de l archivage électronique : questions choisies

Mieux comprendre les différentes obligations documentaires en matière de prix de transfert

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

LIVRE BLANC WiFi PUBLIC

irigeants d entreprises

Montréal, le 1 er août M e François Giroux McCarthy Tétrault S.E.N.C.R.L 1000, rue de la Gauchetière Ouest Bureau 2500 Montréal (Québec) H3B 0A2

Charte de Qualité sur l assurance vie

COURTIER EN ASSURANCE I. CONDITIONS REQUISES. A. Age et nationalité 23/07/2012

ANNEXE A LA CIRCULAIRE SUR LE CONTROLE INTERNE ET L AUDIT INTERNE TABLE DES MATIERES

RESPONSABILITÉ DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE PREMIÈRE PARTIE LE FAIT INTERNATIONALEMENT ILLICITE DE L ÉTAT CHAPITRE PREMIER

Vu la Loi n du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

COMMENTARY. Les Risques Liés à la Corruption dans les Opérations de Fusions-Acquisitions

Condition générales d'utilisation sur le site et pour toute prestation gratuite sur le site

PROJET D ARTICLES SUR LA RESPONSABILITE DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE

CODE PROFESSIONNEL. déontologie. Code de déontologie sur les bases de données comportementales

Attention, la visite du site est obligatoire L absence de remise d un certificat de visite entraînera la non-conformité de l offre remise

CONDITIONS GENERALES D UTILISATION. L application VAZEE et le site internet sont édités par :

Memo BATL : la nouvelle loi sur la régularisation fiscale

Les frais d accès au réseau et de recours à la signature électronique sont à la charge de chaque candidat.

GUIDE PRATIQUE. Droit d accès

GUIDE POUR LA MISE SUR LE MARCHÉ DE DISPOSITIFS MÉDICAUX SUR MESURE APPLIQUE AU SECTEUR DENTAIRE

DEMANDE D AUTORISATION D UN SYSTEME DE VIDEOPROTECTION

F RSE Plan d action A04 Bruxelles, le MH/JC/LC A V I S. sur

PROJET D ARTICLES SUR LA RESPONSABILITE DE L ÉTAT POUR FAIT INTERNATIONALEMENT ILLICITE

1. Procédure. 2. Les faits

Réglement intérieur. Supélec Rézo

GROUPE GRANDS MOULINS DE STRASBOURG

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

CHARTE D ÉTHIQUE PROFESSIONNELLE DU GROUPE AFD

Communication sur l'obligation faite aux banques d'établir une convention de compte au bénéfice de leur clientèle

COMMISSION D ACCÈS À L INFORMATION

La protection des associés en droit congolais et en droit OHADA

CONSULTATION PUBLIQUE SUR LA CREATION D UN REGISTRE NATIONAL DES CREDITS AUX PARTICULIERS

Les nouveaux guides de la CNIL. Comment gérer des risques dont l impact ne porte pas sur l organisme

PUBLICITÉ & PROMOTION IMMOBILIÈRE

Atelier 5. La conception de la réglementation. Cristina BUETI (UIT) Marie DEMOULIN (Université Belgique) Didier GOBERT (SPF Economie Belgique)

Revue d actualité juridique de la sécurité du Système d information

LICENCE D UTILISATION DE LA DO NOT CALL ME LIST : CONDITIONS GENERALES

Leçon 2. La formation du contrat

Procédure Juridique de mise en place d une base de données biométriques

INDICATIONS DE CORRECTION

SGS ICS - CONDITIONS GÉNÉRALES POUR LES SERVICES DE CERTIFICATION

LIVRET SERVICE. Portail Déclaratif Etafi.fr

Transcription:

Le Règlement européen renforce les droits des individus sur leurs données personnelles Préparez-vous dès maintenant! Entrée en vigueur : 25 mai 2018! INTRODUCTION Le développement considérable et la rapidité d échange des flux d information via les réseaux informatiques et les objets connectés peuvent constituer un risque important pour les citoyens au regard de leurs droits et de leurs libertés en particulier en matière de respect de la vie privée (utilisation abusive du e-marketing, e-réputation, risques de fraudes bancaires, usurpation d identité, etc. ). Face à ce bouleversement numérique, les institutions européennes ont souhaité voir appliquer un cadre juridique plus contraignant permettant une meilleure protection des données à caractère personnel et une maîtrise plus importante par les citoyens de leurs données. La question du traitement des données personnelles est, en France, régit principalement par la loi informatique et libertés du 6 janvier 1978, telle que modifiée par la loi du 6 août 2004. Jusqu à maintenant, était institué un système de déclaration ou d autorisation de fichiers de données personnelles. Le Règlement 2016/679 du parlement Européen et du Conseil en date du 27 avril 2016 relatif à la protection des personnes physiques à l égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), vient modifier largement les dispositions applicables en renforçant les droits des personnes et en créant une obligation de sécurisation pour les responsables de traitement de données. Ce règlement oblige, par ailleurs, les responsables de traitement de données à caractère personnel à la mise en place d une documentation juridique permettant de justifier le respect des dispositions du règlement auprès de l autorité de contrôle, à savoir la CNIL. Le règlement sera applicable le 25 mai 2018. Il est assorti de lourdes sanctions en cas de manquement. D ores et déjà, il appartient aux responsables de traitement, à savoir les entreprises du secteur privé et du secteur public ainsi que les organismes de droit public (collectivités territoriales, administration ) de mettre en place une organisation et une documentation permettant de démontrer le respect des dispositions du RGPD. Cette conformité au RGPD permettra ainsi, outre le fait d éviter de lourdes sanctions financières, d instaurer une confiance entre les entreprises et administrations et les personnes concernées (clients, administrés). Elle pourra également permettre, le cas échéant, aux entreprises et aux administrations de bénéficier d un Label Gouvernance délivré par la CNIL. 1

Qui est concerné? Le nouveau Règlement européen sur la protection des données à caractère pe rsonnel s applique à tout traitement de données à caractère personnel mis en œuvre dans le cadre de l activité d un établissement. Le Règlement ne s applique pas à une personne physique dans le cadre d une activité strictement personnelle ou domestique. Il s applique, en outre, que le traitement soit informatique ou sur support papier. Ainsi, toute entreprise du secteur privé ou du secteur public et toutes entités administratives ayant constitué un fichier de personnes physiques doit respecter le RGPD. Seul est visé le fichier de personnes physiques. Un fichier de personnes morales (sociétés) n est pas visé. Les administrations opérant dans le domaine de la prévention et de la détection des infractions pénales ou des menaces à la sécurité publique ne sont pas concernées par le RGPD. Le nombre de professionnels concerné est donc considérable. Il pourra s agir, à titre d exemple des entreprises sur Internet vendant leurs produits ou leurs services à des clients particuliers, des sociétés de vente par correspondance, des réseaux de franchise, des cliniques, hôpitaux, EDF, agences immobilières mais aussi des collectivités locales, les sociétés de sécurité, de transport, etc. Application territoriale du Règlement Face à la puissance de certaines entreprises étrangères, en particulier américaines (Facebook, Amazon, Google ), les institutions européennes ont souhaité que le RGPD leur soit également applicable. Ainsi, dès lors qu une entreprise, même non installée sur le territoire d un Etat membre de l Union Européenne, met en œuvre un traitement de fichiers de personnes physiques relatif à des citoyens d un pays membre de l Union Européenne, dans le cadre de son offre de biens ou services, elle est assujettie au RGPD. Concrètement, cela signifiera qu une entreprise non européenne devra désigner un représentant au sein de l Union Européenne, la plupart du temps un délégué à la protection des données, afin de la représenter. Démontrer à la CNIL sa conformité aux obligations de protection des données personnelles Le chef d entreprise ou le responsable d une Administration ou d une collectivité territoriale qui a connaissance d un fichier de personnes physiques, faisant l objet d un traitement, au sein de son établissement, doit mettre en œuvre les mesures adéquates pour respecter le RGPD. Faute par lui de prendre ces mesures, il expose son entreprise ou son Administration au paiement d une très forte amende (20 millions d euros ou 4% de son chiffre d affaires). Concrètement, comment le responsable d un traitement doit-il procéder pour respecter le RGPD? 2

La première chose à faire est de s entourer de conseils en informatique et en droit. Idéalement, il conviendra de désigner un délégué à la protection des données qui pourra agir en tant que chef d orchestre dans la mise en œuvre du RGPD et de lien avec la CNIL. Par suite, le responsable du traitement devra établir un état des lieux, une cartographie de l état des traitements de données à caractère personnel avant de mettre sur pied une polit ique de protection de ces données formalisée par une charte écrite décrivant l ensemble du processus de protection. [A] Réaliser une cartographie des traitements et une étude d impact sur la vie privée Pour mesurer l impact du Règlement sur la protection des données de l activité d une entreprise ou d une administration, il convient, dans un premier temps, de recenser de façon précise les traitements de données mis en œuvre. Pour cela, il conviendra de détailler : - les différents traitements, - les catégories de personnes traitées, - les objectifs poursuivis par les opérations de traitements, - les personnes en interne ou en externe qui traitent ces données ainsi que les sous -traitants, - les flux en indiquant l origine et la destination des données, - les éventuels transferts dans et en dehors de l Union Européenne, - le lieu d hébergement des données, - le temps de conservation des données, - la description des mesures de sécurité mises en œuvre pour minimiser les risques d accès non autorisés aux données, - l impact sur la vie privée des personnes concernées. Une fois ce travail de cartographie effectué, il conviendra de dresser un registre des traitements avec un tableau synthétique détaillant les informations ci-dessus. Si l entreprise ou l Administration a identifié des traitements de données personnelles susceptibles d engendrer des risques élevés pour les droits et libertés des personnes concernées, il conviendra de mener une étude d impact sur la protection des données. Ainsi, il faudra procéder à une description du traitement et de ses finalités. Evaluer la nécessité et la proportionnalité du traitement, apprécier les risques sur les droits et les libertés des personnes concernées. Il est, en effet, rappelé que le Règlement précise que le traitement doit être effectué de manière licite, loyale et transparente. Cela signifie que les données collectées doivent être strictement nécessaires à la finalité du traitement. Il convient de ne pas collecter plus d info rmation que nécessaire par rapport à l objectif et à l activité de l entreprise. Les données doivent également être mises à jour régulièrement afin d être exactes. 3

[B] Mettre en place des mesures permettant la protection des données dès leur conception (Privacy by design) et par défaut (Privacy by default) Auparavant, les entreprises ou les administrations avaient pour seule obligation celle de déclarer un traitement de données ou d être autorisées à le détenir pour les activités les plus sens ibles, auprès de la CNIL. À partir du 25 mai 2018, ces obligations n existeront plus. Les acteurs devront mettre en place, dès la conception du traitement et du fichier, des mesures permettant la protection des données et qui pourront prendre les formes su ivantes : - pseudonymisation, - minimisation des données, - chiffrement, - éloignement des sources de risques, - obligation de notification des failles de sécurité, - accréditation spéciale de certaines personnes pour traiter les données, - autorisation spéciale pour effectuer un transfert, - détail des contrats passés avec les sous-traitants, - politique d archivage et de conservation des données, - formation périodique des salariés, - désignation d un délégué à la protection des données. [C] Mise en place d un registre des traitements et d une charte de sécurisation des données : Face à ces nouvelles obligations en matière de protection des données, la CNIL sera habilitée à constater leur respect ou leur manquement. Il conviendra, dès lors, de pouvoir démontrer à la CNIL que l entreprise ou l Administration répond aux exigences du Règlement. Cette démonstration sera effectuée, dans un premier temps, par la tenue d un registre de traitements détaillant les catégories et les objectifs du traitement considéré. La tenue de ce registre sera obligatoire pour les entreprises de plus de 250 salariés. L entreprise ou l administration devra également établir une charte écrite détaillant sa politique et les mesures qu elle a mise en œuvre pour protéger les données à caractère personnel. Là encore, la désignation d un délégué à la protection des données, qui aura pu être en lien direct avec la CNIL, paraît incontournable. 4

Le renforcement des droits des personnes concernées Le RGPD oblige les entreprises et les administrations à prendre des mesures visant à protéger les données à caractère personnel. Il oblige également les entreprises et les administrations à améliorer le consentement de la personne physique concernée et crée de nouveaux droits au bénéfice de cette dernière. [A] Le renforcement du consentement de la personne concernée La personne concernée doit donner son accord avant que le responsable puisse procéder au traitement de ses données personnelles. Dans certaines hypothèses, l obtention du consentement n est pas nécessaire. Essentiellement lorsque le responsable du traitement invoque un «intérêt légitime» ou lorsqu il doit répondre à une obligation légale. On imagine ici une Administration ou une collectivité territoriale dont les obligations législatives requièrent l obtention d un certain nombre de données de ses administrés. Lorsque le consentement est requis, il appartient au responsable du traitement de prouver que le consentement a été donné et il est désormais prévu que la personne concernée puisse retirer ce consentement. Par ailleurs, le consentement ne peut avoir été donné passivement. Il faut un acte clair et positif de la personne concernée. Ainsi, par exemple, la personne concernée devra donner son consentement en cochant une case spécifique et indépendante. Une hypothèse particulière est prévue par le règlement lorsqu un enfant doit donner son consentement. Le texte prévoit que le consentement de l enfant (âge à définir par les Etats membres entre 13 et 16 ans) doit être donné par la personne ayant l autorité parentale. [B] Les nouveaux droits des personnes concernées Les personnes concernées disposaient déjà de droits au titre de la législation actuelle. Il s agit des droits d accès, d opposition et de déréférencement au traitement de données. Le RGPD crée de nouveaux droits : - le droit à l oubli, - le droit à la limitation du traitement, - le droit de s opposer au profilage (le profilage est défini comme le fait d analyser et de prédire les comportements futurs d une personne), - le droit à la portabilité des données : l exercice de ce droit permettra aux personnes de récupérer les données personnelles qu elles ont communiquées par exemple en les téléchargeant. Elles pourront également demander à un responsable de traitement de transférer directement ses données à un autre responsable de traitement. Ces nouveaux droits devront être portés à la connaissance des personnes concernées. 5

[C] L adaptation des clauses d un site internet ou des conditions générales de vente ou de prestation de service La nécessité de recueillir le consentement positif et sans équivoque de la personne concernée et d informer cette dernière de ses droits exigeront du responsable du traitement de modifier ses conditions générales ou l organigramme de son site Internet. Le Délégué à la Protection des Données (DPO) Le RGPD crée une nouvelle fonction : Le Délégué à la protection des données (DPO). La désignation d un DPO sera obligatoire lorsque le traitement est effectué par une autorité publique ou un organisme public, à l exception des juridictions, ou lorsque les activités de base de l entreprise (privée ou publique) consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique à grande échelle des personnes concernées. Pour les autres entités, la désignation d un DPO est facultative. Dès lors, comment savoir si l organisme ou l entreprise doit désigner un DPO? Pour les autorités et les organismes publics, il ne fait aucun doute, la désignation d un DPO est obligatoire. Pour les sociétés du secteur privé, cette désignation est également obligatoire lorsque so n activité principale consiste justement à traiter des données à caractère personnel. À titre d exemple, une société de surveillance chargée d assurer la sécurité de lieux publics ou de centres commerciaux. Il pourra également s agir de clinique ou d hôpitaux qui recueillent d importantes données personnelles ou encore d applications sur Smartphone dédiées au sport et dans le cadre desquelles les personnes concernées rentrent leurs données. En tout état de cause, pour les institutions européennes, la désignation d un DPO se veut la plus large possible. [A] Quelles seront les missions du DPO? Le DPO sera le garant de la conformité à la nouvelle réglementation en matière de protection des données. Rapportant directement au chef d entreprise ou au chef d établissement administratif, le DPO aura pour mission de conseiller l entreprise, contrôler le respect du droit des données, coopérer et faire office de point de contact avec la CNIL. Il pourra également assurer la formation de certains salariés sur les problématiques de protection des données. Enfin, ses coordonnées pourront figurer sur le site internet de l entreprise ou de l Administration à destination des personnes concernées, à charge pour lui de répondre aux questions de ces dernières. 6

[B] Qui désigner en qualité de DPO? Le DPO pourra être un salarié de l entreprise ou une personne externe à l entreprise, tel qu un avocat ou un conseil en informatique justifiant de solides connaissances juridiques en matière de protection des données et de libertés publiques. Pour des questions d indépendance, il est néanmoins préférable de désigner un intervenant extérieur. Les transferts de données personnelles Le RGPD encadre les transferts de données à caractère personnel d un pays membre de l Union Européenne vers un pays tiers. Les transferts vers certains pays ne nécessiteront pas d autorisation spécifique ou d accord particulier. Tel sera le cas de pays dont le niveau de protection est considéré comme similaire à l Union Européenne (Norvège, Canada, Suisse, Nouvelle-Zélande ). Pour d autres pays, le transfert sera soumis à un cadre juridique plus spécifique. Le renforcement des obligations des sous-traitants Le sous-traitant est celui qui traite les données à caractère personnel pour le compt e de celui (entreprise, administration ) qui est responsable du traitement. Le RGPD indique qu il devra présenter des garanties suffisantes quant à la mise en œuvre des mesures techniques et organisationnelles permettant au traitement de répondre aux exige nces du RGPD. Par ailleurs, le RGPD instaure de nouvelles obligations pour le sous -traitant dont les contours devront se retrouver dans le contrat de sous-traitance, à savoir : - l objet et la durée du traitement, - la nature et la finalité du traitement, - les obligations de sécurité, d avertissement et d alerte envers le responsable du traitement. S il outrepasse ses fonctions, ou n agit pas selon les instructions du responsable du traiteme nt, il pourra engager sa responsabilité. 7

Les sanctions financières En cas de manquement, le responsable du traitement peut être condamné au paiement d une amende de 20 millions d euros ou de 4 % de son chiffre d affaires. Les sanctions financières sont donc extrêmement dissuasives. Elles visent, naturellement, en premier lieu les grands acteurs de l Internet (Amazon, Facebook ). Néanmoins, face aux risques d atteinte à la vie privée, la CNIL aura vocation à contrôler tout responsable de traitement. Ainsi, il appartient à chaque entreprise, chaque administration de respecter scrupuleusement le dispositif du Règlement, sans penser qu elle ne pourra pas être dans le viseur de la CNIL. Le label Gouvernance CNIL Le RGPD prévoit la possibilité de mettre en place un système de certification en matière de protection des données. La CNIL parle de Label Gouvernance. Il est recommandé aux entreprises disposant d un DPO d obtenir ce label. Il permettra ainsi d accroître la confiance des clients ou des administrés dans l entité gérant leurs données personnelles et pourra constituer un avantage concurrentiel. 8

E N R É S U M É D un point de vue juridique, les entreprises et les administrations devront : désigner un DPO, procéder à un état des lieux (cartographie) de leurs traitements de données à caractère personnel, mettre en place un registre des traitements, rédiger une charte de la politique de protection des données personnelles, modifier ses conditions générales de façon à obtenir le consentement de la personne concernée et lui rappeler ses droits, Revoir la rédaction des contrats avec les sous-traitants. Laurent VERDES Avocat au Barreau de Paris Pierre-Yves COUTURIER Avocat au Barreau de Paris Cabinet d Avocats 23Bosquet 23 avenue Bosquet 75007 PARIS lverdes@23bosquet.com +33(0)1 40 62 63 26 Cabinet d Avocats 23Bosquet 23 avenue Bosquet 75007 PARIS pycouturier@23bosquet.com +33(0)1 40 62 63 20 9

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back