L’essentiel sur le règlement (UE) n°2016/679 relatif au traitement des données à caractère personnel

20.11.17
Données personnelles sur le web

Le nouveau règlement européen sur les données personnelles fait bientôt partie du paysage légal

Le règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, proposé par la Commission européenne dès janvier 2012, a finalement été adopté le 27 avril 2016. Ce texte qui est d’application directe dans l’ensemble des Etats membres de l’Union Européenne entrera en vigueur le 28 mai 2018 et se substitue donc désormais en France à la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Visant à harmoniser le standard de protection dans les différents Etats membres, le règlement renforce la protection des données personnelles en élargissant l’exercice de droits individuels, le principe de responsabilité et le système des contrôles interne et externe.

Définition plus large des notions de donnée à caractère personnel et de donnée sensible

La définition du terme de « données à caractère personnel » a été élargie et inclut désormais le ciblage comme moyen d’identification d’une personne physique. Aussi, les données personnelles ayant fait l’objet d’une « pseudonymisation » peuvent être considérées comme des informations concernant une personne physique identifiable. Enfin, consacrant ainsi la jurisprudence constante, le règlement considère désormais expressément l’adresse IP comme une donnée à caractère personnel.

Renforcement des droits individuels

Le règlement clarifie et renforce les droits individuels existants, mais introduit également des nouveaux droits individuels : ainsi, le droit à la limitation du traitement autorise la personne concernée à obtenir du responsable du traitement la limitation du traitement. Le droit à la portabilité des données permet à la personne concernée de demander au responsable de traitement de transférer ses données personnelles à un tiers. L’exercice de ce droit sera notamment envisageable en cas de changement de fournisseur de services de messageries électroniques, de réseau social ou de banque.

Le principe de responsabilité en matière de traitement des données personnelles

Le règlement renforce les obligations du responsable de traitement en le contraignant notamment à mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité et la confidentialité des données. Cette obligation renforcée de sécurité des données personnelles incombe par ailleurs également au sous-traitant du responsable du traitement, par exemple l’hébergeur.

Afin de pouvoir garantir un niveau de sécurité suffisant, des analyses d’impact relatives à la protection des données sont désormais obligatoires dès que le traitement comporte un risque élevé pour les droits et libertés des personnes physiques.

Par ailleurs, aussi bien les responsables de traitement que les sous-traitants ont désormais l’obligation d’informer les autorités nationales en charge de la protection des données personnelles, de toute violation de ces données.

Renforcement des sanctions en cas de violation de la protection des données personnelles

Enfin, le règlement communautaire a sensiblement augmenté le pouvoir de sanction de l’autorité nationale en charge de protection des données personnelles. Désormais, des amendes d’un montant égal à 10 000 000 euros ou 2 % du chiffre d’affaires annuel mondial de l’entreprise peuvent être prononcées.

Il reste à savoir comment l’autorité française, la CNIL, appliquera ce nouveau dispositif : en effet, cette dernière dispose actuellement d’un pouvoir de prononcer des sanctions d’un montant maximal de 150 000 euros et ne rend dans la pratique pour l’instant que très peu de sanctions pécuniaires.

Françoise Berton, avocat en droit allemand

Tous droits de propriété intellectuelle réservés

Photo: sdecoret

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

* Mentions obligatoires