Sous l’impulsion européenne, la protection des données personnelles devient une préoccupation majeure des entreprises.
Par Sophie Delahaie-Roth, avocate, et Michael Chan, avocat, PwC Société d’Avocats
En effet, le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a invalidé le mécanisme d’adéquation dit de Safe Harbor qui permettait de transférer librement les données personnelles vers les Etats-Unis du moment que l’opérateur sur le sol américain était affilié Safe Harbor, obligeant les entreprises à avoir recours à des mécanismes plus contraignants tels que l’utilisation de clauses standard adoptées par la Commission européenne ou la mise en place de Binding Corporate Rules – BCR (pour les groupes de sociétés).
Dans une économie mondialisée avec des transferts permanents de données et la présence de très nombreux acteurs du cloud computing sur le sol américain, la Commission européenne a annoncé la conclusion d’un nouvel accord avec les Etats-Unis en remplacement du Safe Harbor appelé «EU-US Privacy Shield» publié le 29 février 2016 et qui va faire l’objet d’une analyse et validation ces prochains mois de la part des Européens.
Mais c’est surtout l’harmonisation de la protection des données personnelles au sein de l’Union européenne dès 20181, par l’adoption le 14 avril 2016 par le Parlement européen du règlement général sur la protection des données personnelles n° 5419/1/16, qui contraint les entreprises françaises à repenser leur politique de protection des données jusqu’ici encadrée par la loi «Informatique et libertés» du 6 janvier 1978.
Le règlement a un champ d’application matériel et territorial large, car il concerne toutes données permettant l’identification d’une personne physique, en ce compris dorénavant les identifiants en ligne et les données de géolocalisation.
Il a par ailleurs vocation à s’appliquer à tous les traitements de données personnelles liés à l’offre de biens ou de services à des personnes résidant sur le territoire de l’Union européenne et ce, indépendamment du lieu d’établissement des entreprises agissant en qualité de responsables de traitement.
Renforcement des droits des individus
Le règlement renforce l’obligation de recueil du consentement de la personne concernée par un traitement de données. Ce consentement devra être préalable, volontaire, actif et éclairé selon le principe de l’opt-in. L’individu concerné devra être informé de manière claire et transparente de ses droits d’accès, de rectification, d’opposition mais désormais aussi, de son droit à l’effacement qui n’est autre que le droit à l’oubli permettant la suppression et le déréférencement de données personnelles.
Les nouvelles dispositions prévoient également que toute personne jouira du droit à la portabilité de ses données, permettant un transfert plus aisé de ses propres données personnelles au sein de l’Union européenne.
Les opérations de profilage sont enfin plus encadrées et obligent le recours à l’interprétation des résultats par l’homme.
Des garanties spéciales sont prévues pour l’utilisation des données des mineurs, des autorisations parentales devenant notamment nécessaires dans certains cas.
Nouvelles obligations pour les entreprises
L’esprit du règlement reposant sur le principe de responsabilisation des entreprises («accountability»), l’obligation de procéder aux formalités préalables auprès de la CNIL (déclaration ou demande d’autorisation) est supprimée2. En contrepartie, la tenue de registres internes recensant les traitements de données personnelles deviendra obligatoire.
La protection des données personnelles devient le centre des préoccupations des entreprises. Les données doivent être traitées de façon à les protéger contre un traitement non autorisé ou illicite et contre la perte, la destruction et les dommages accidentels.
La protection des données personnelles devra être prise en compte systématiquement dès la conception d’un produit ou service («privacy by design»), mais également par la mise en place, par défaut, du plus haut niveau de protection et de sécurité des données traitées («privacy by default»).
Par ailleurs, les responsables de traitement seront tenus d’une obligation de notification quasi immédiate auprès de l’autorité de contrôle en cas de violation grave («serious breach») des données.
Enfin, la désignation d’un délégué à la protection des données sera obligatoire pour les entreprises dont l’activité consiste en des traitements qui exigent un suivi régulier et systématique et à grande échelle d’individus ou en cas de traitement de données sensibles.
Certaines dispositions visent plus particulièrement les groupes de sociétés établis dans plusieurs Etats membres, lesquels pourront opter pour un «guichet unique européen», et n’auront plus l’obligation de contacter chacune des autorités des pays d’implantation. De même, la fonction de délégué à la protection des données pourra être centralisée.
Compte tenu de la hausse significative du risque due au renforcement des sanctions encourues3 (jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel pour les cas les plus graves), les entreprises françaises doivent dès aujourd’hui mettre la protection des données personnelles au cœur de leurs préoccupations pour être prêtes en 2018, tout en étant attentives au fait que la loi Informatique et libertés de 1978 continuera à s’appliquer jusqu’à l’entrée en vigueur des nouvelles dispositions.
Dans l’intervalle, il leur sera recommandé d’évaluer par le biais d’outils de risk assessment leur maturité à la lumière des nouvelles obligations prévues par le règlement, afin de prévenir les risques de non-conformité.
1. Le règlement entrera en vigueur 20 jours après sa publication au Journal officiel de l’UE et sera directement applicable dans tous les Etats membres deux ans après cette date, soit au cours de l’année 2018.
2. A l’exception de certains traitements tels que les transferts en dehors de l’Union européenne, qui demeureront soumis à autorisation préalable de la CNIL.
3. Pour rappel, sanctions pécuniaires prononcées par la CNIL : jusqu’à 150 000 euros d’amende en cas de premier manquement, montant pouvant être porté à 300 000 euros ou 5 % du chiffre d’affaires hors taxes en cas de récidive.