Si ce règlement renforce indéniablement les droits des citoyens, il accroît également les obligations des responsables de traitement de données ainsi que les pouvoirs des autorités de protection.
De nouveaux droits pour le citoyen !
Rappel des droits existants avec la loi Informatique et Libertés
La loi Informatique et Libertés du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, contient trois droits fondamentaux pour le citoyen :
– un droit d’accès et d’information à ses données personnelles pour pouvoir vérifier notamment les finalités du traitement, les données enregistrées et les destinataires de ces données ;
– un droit de rectification et de suppression de ses données personnelles si elles sont notamment erronées, inexactes ou périmées ;
– un droit d’opposition à la diffusion, transmission ou conservation des données pour des motifs légitimes.
Quels nouveaux droits ?
Le règlement européen crée plus de 11 nouveaux droits afin de renforcer notamment, pour les citoyens, la maîtrise de leurs données sur internet. Parmi ces droits on peut citer :
– un « droit à l’oubli » pour pouvoir demander l’effacement de ses données personnelles ;
– un droit à la portabilité des données pour transférer facilement ses données personnelles d’un fournisseur de services à un autre ;
– une amélioration du droit à l’information sur le traitement de données :
o le consentement clair et explicite de la personne concernée est requis quant à l’utilisation de ses données personnelles,o l’information doit être exprimée de façon claire et simple quel qu’en soit le support,o la personne concernée doit être informée en cas de piratage de ses données.
Application homogène de ces nouveaux droits dans toute l’Union européenne (UE)
Pourquoi un règlement et non une directive européenne ?
A la différence de la directive européenne (qui laisse le choix aux Etats membres de la forme et des moyens adoptés pour réaliser les objectifs de la directive dans leur droit interne), le règlement européen crée un même droit dans toute l’Union européenne qui sera obligatoire et applicable uniformément et intégralement dans tous les Etats membres.
Conséquences du règlement européen
Le règlement européen favorise une application homogène et harmonieuse des règles de protection des données personnelles au sein de l’UE et évite ainsi que chaque Etat adapte ses règles en fonction de sa situation nationale.
Cela signifie pour la France d’ici 2 ans (soit à compter du 25 mai 2018), la fin de la loi « Informatique et Libertés » et son remplacement par le règlement européen.
Mais un renforcement des obligations des responsables de traitement des données…
Aujourd’hui
Les responsables de traitement de données doivent faire une déclaration à la CNIL dès lors qu’un service nécessitant des données personnelles est créé et c’est la CNIL qui effectue un contrôle a priori des traitements.
A compter du 25 mai 2018
Avec le nouveau règlement européen, ce sont les responsables de traitement de données qui vont devoir réaliser ce contrôle. Ils vont devoir prouver que le cadre légal est respecté en réalisant une analyse d’impact, préalablement à la mise en œuvre de certains traitements considérés comme comportant des risques pour les personnes concernées et en mettant en place des procédures spécifiques, ce qui implique notamment de :
– documenter, piloter sa conformité : en matière de sécurité, conservation des données, informations des personnes concernées… ;
– expliquer les modalités de mise en œuvre ;
– désigner obligatoirement un délégué à la protection des données dans de nombreux cas;
– consulter obligatoirement les autorités de contrôle si l’étude d’impact démontre un risque élevé pour la vie privée.
Ces nouvelles obligations vont entraîner des investissements financiers plus importants pour adapter les outils et les procédures à mettre en oeuvre.
… et un accroissement des pouvoirs des autorités de protection
Un pouvoir répressif plus important
Les sanctions administratives sont beaucoup plus lourdes et dissuasives en cas de manquement puisqu’elles peuvent aller jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise concernée !
Une plus grande coopération
Les « CNIL » européennes peuvent prononcer des décisions conjointes pour constater la conformité d’un organisme ou pour prononcer une sanction.
Afin d’assurer une plus grande coopération et veiller à l’application cohérente du règlement entre les différents Etats membres, un nouvel organe européen est créé : le Comité Européen de la Protection des Données (CEPD).
Si vous souhaitez en savoir plus sur la règlementation actuelle de la protection des données personnelles et la CNIL, nous vous invitons à vous former à l’aide de nos deux nouveaux modules e-learning sur le sujet.
Notre premier module vous enseignera le fonctionnement et les missions de la CNIL. Dans le second, vous découvrirez les droits et les obligations en matière de données personnelles.