Après des années de discussion, le règlement européen sur la protection des données personnelles du 27 avril 2016, entrera définitivement en vigueur le 25 mai prochain. Cette réforme a trois objectifs : renforcer les droits des personnes, responsabiliser les acteurs traitant des données, et renforcer les pouvoirs des régulateurs nationaux, la CNIL en France.
Désormais, toutes les entités (entreprise, administration, association etc…) qui collectent, classent ou analysent des données qui permettent d’identifier directement ou indirectement une personne (nom, photo, e-mail, adresse IP, identifiant de compte etc…) dans sa vie personnelle ou professionnelle (en sa qualité de consommateur ou salarié) devront se conformer au texte.
Le renforcement des droits des personnes
En France, les personnes disposent d’un droit d’accès (demander directement à un responsable de fichier de nous communiquer l’ensemble des informations qu’il détient sur nous), un droit de rectification (demander la rectification des informations qui nous concernent) et d’opposition (s’opposer pour un motif légitime à faire l’objet d’un traitement/figurer dans un fichier).
Le règlement européen renforce les droits des personnes et crée de nouveaux droits, comme le droit à la portabilité des données, c’est-à-dire la possibilité de récupérer les données communiquées à une plateforme pour les transmettre à une autre (un réseau social, un gestionnaire de boite mail, un fournisseur d’accès internet etc…). A titre d’exemple, Yahoo ou Gmail seront tenus de permettre la migration des courriels et liste de contacts de leurs utilisateurs, si ces derniers souhaitent fermer leurs comptes.
Les mineurs de moins de 16 ans bénéficient désormais d’un traitement spécifique. L’information sur le traitement des données les concernant doit être rédigée en termes simples, pour que le mineur puisse comprendre. Le consentement doit être recueilli auprès du parent. Une fois adulte, le consentement donné pourra être retiré et les données effacées. La loi pour une république numérique du 7 octobre 2016 avait déjà mis en avant le droit à l’oubli pour les mineurs qui pourront faire effacer leurs données personnelles grâce à une procédure accélérée spécifique. Tout d’abord, il faudra réclamer, auprès du site hébergeur, la suppression de photos ou de vidéos mises en ligne avant que l’on ait atteint l’âge de 18 ans. En cas de difficulté à obtenir l’effacement de données publiées, il sera possible de saisir la CNIL qui statuera dans un délai de 15 jours.
Le règlement introduit également le principe des actions collectives qui pourront être introduites par des associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données personnelles, mais aussi les associations de défense des consommateurs et les syndicats de salariés ou fonctionnaires.
Ainsi, « l’action de groupe pourra être introduite lorsque plusieurs conditions cumulatives sont remplies à savoir : plusieurs personnes physiques ; placées dans une situation similaire ; subissant un dommage ayant une cause commune ; cette cause commune étant un manquement aux dispositions de la loi Informatique et libertés ; de même nature ; par un responsable du traitement de données ou par un sous-traitant » (source : cabinet Alain Bensoussan).
En effet, toute personne ayant subi un dommage matériel ou moral du fait d’une violation de ses données personnelles aura le droit d’obtenir réparation du préjudice subi.
Les personnes doivent être informées de l’usage de leurs données et doivent donner expressément leur accord pour le traitement de leurs données et pouvoir s’y opposer. Ainsi le consentement de la personne ne pourra plus être présumé (le principe de l’opt-out) mais bien exigé de manière claire et explicite et préalablement au traitement (principe de l’opt-in).
Le renforcement des obligations de sécurité des professionnels
Chaque entité sera dans l’obligation de tenir un registre des traitements opérés et de prendre des mesures de sécurisation de ses données. On passe ainsi d’un régime déclaratif (les entreprises déclaraient auparavant leurs fichiers à la CNIL) à un régime de responsabilité (le principe de l’accountability).
Les responsables de traitement auront l’obligation de désigner « un délégué à la protection des données personnelles » qui remplace ainsi le correspondant informatique et libertés, et veille en interne à ce que l’entité se conforme au règlement européen sur les données personnelles.
Le règlement européen fait également émerger le principe du « privacy by design ». Privacy by design a pour objectif de garantir que la protection de la vie privée soit intégrée dans les nouvelles applications technologiques et commerciales dès leurs conceptions.
Pour les traitements incluant des données sensibles comme la biométrie, les entités seront tenues d’opérer une analyse d’impacts et de consulter la CNIL avant d’effectuer le traitement. Lors de cette analyse d’impacts plusieurs étapes devront être respectées :
– Description détaillée des traitements et finalités envisagées ;
– Evaluation de la nécessité et proportionnalité des opérations et traitements envisagées ;
– Evaluation des risques pour les droits et libertés ;
– Les mesures envisagées pour faire face aux risques.
En parallèle de la tenue d’un registre des activités de traitement, les professionnels ont une obligation de sécurisation des traitements auxquels ils procèdent. Des mesures techniques et organisationnelles devront être prises comme la pseudonymisation -c’est-à-dire remplacer un identifiant, une donnée à caractère personnel par un pseudonyme- et le chiffrement des données.
Les responsables de traitement devront mettre en place des moyens de rétablir la disponibilité des données en cas d’incident, au moyen d’une procédure visant à tester, analyser, évaluer régulièrement l’efficacité des mesures techniques et organisationnelles prises en vue d’assurer la sécurité du traitement.
Le renforcement des obligations de sécurité passe également par la transparence dans la communication sur les atteintes des données. Ainsi le responsable du traitement sera tenu de notifier à la CNIL, les failles de sécurité dans les 72 heures de leur survenance. Cette communication devra être étendue au grand public quand la violation atteint la sécurisation des données, par exemple lorsque le chiffrement des données est affecté.
Les pouvoirs des CNIL européennes renforcées
Les CNIL seront compétentes dès lors qu’il existe un établissement sur le territoire de l’Union ou que leurs citoyens sont affectés par le traitement. Sont ainsi intégrés de fait les géants d’Internet non européens, type Facebook, Amazon, Apple etc… Un système de guichet unique est néanmoins mis en place. Pour les multinationales, la CNIL nationale compétente sera celle de l’établissement principale de l’entreprise concernée.
Les pouvoirs répressifs des différentes CNIL européennes sont accrus. Les organismes peuvent se voir imposer une amende de 2% du chiffre d’affaire mondial en cas d’absence de registre de traitement, de non désignation d’un délégué à la protection des données quand cette entité y est tenue au regard de son activité. L’amende passera à 4% du chiffre d’affaire mondial en cas de non respect des règles de transfert de données à l’extérieur de l’Union Européenne, ou le non-respect des règles du consentement des personnes.
Les « CNIL » européennes pourront désormais prononcer des décisions conjointes, aussi bien pour constater la conformité d’un organisme que pour prononcer une sanction. L’année dernière, les CNIL européennes ont demandé à ce que l’application WhatsApp cesse de partager les données de ses utilisateurs avec Facebook, sa société mère, le temps qu’elles évaluent si l’opération enfreignait la législation européenne. En novembre dernier, les CNIL européennes réunies sous l’appellation G29 ont créée une cellule commune pour coordonner les enquêtes sur la faille qui a permis un piratage géant de 57 millions de comptes d’utilisateurs des services d’Uber.