- Accueil
- |
- Actualités
- |
- Nouveautés de fond
Nouveautés de fond
Propriété intellectuelle / Nouvelles technologies / Communication
13 juin 2016
Un certain nombre de nouveautés de fond sont introduites par le règlement.
1. L’exigence du consentement de la personne dont les données sont collectées est renforcée, puisque celle-ci devra en principe exprimer son consentement, avant tout traitement de ses données personnelles, par un système d’opt-in. Le consentement est ainsi défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».
2. Le règlement introduit les notions de « privacy by design » (conformité dès la conception) et de « privacy by default » (conformité par défaut).
La première vise à ce que chaque nouvelle technologie traitant de données personnelles garantisse, dès sa conception et lors de son utilisation, le plus haut niveau possible de protection des données personnelles.
La « conformité par défaut » se traduit quant à elle par l’obligation pour toute entreprise traitant des données personnelles de permettre aux personnes dont les données sont traitées d’obtenir rapidement et facilement le plus haut niveau de protection possible, en garantissant par défaut un tel niveau.
3. Les obligations en matière de documentation diffèreront selon que le traitement est fait par un responsable de traitement ou par l’un de ses sous-traitants. Toutefois, dans les deux cas, le règlement a souhaité opérer une véritable responsabilisation des acteurs qui sont amenés à traiter des données personnelles.
Ainsi, tout responsable de traitement devra tenir un registre de ses activités de traitements, précisant notamment les finalités du traitement et les catégories de destinataires auxquelles les données ont été ou seront communiquées.
Le sous-traitant devra quant à lui tenir à jour une documentation sur l’ensemble des traitements qu’il effectue, comprenant notamment le nom et les coordonnées de chaque responsable de traitement pour le compte duquel il agit ou encore les différentes catégories de traitements effectués.
La tenue de ces registres par les responsables de traitement et les sous-traitants sera amenée à remplacer les formalités actuelles de déclaration auprès de la CNIL. Ces registres devront pouvoir être mis à la disposition de cette dernière sur simple demande.
Par ailleurs, tout responsable de traitement devra effectuer une analyse d’impact relative à la protection des données lorsqu’existera un risque élevé pour les droits et libertés des personnes physiques. Le règlement prévoit à ce sujet que les différentes autorités de contrôle nationales établiront et publieront des listes de types d’opérations pour lesquelles une telle analyse sera obligatoire.
Dans le cas où l’analyse révèlerait l’existence d’un risque, le responsable de traitement aura l’obligation de consulter préalablement au traitement envisagé l’autorité nationale de contrôle compétente, en France la CNIL, afin que celle-ci puisse le cas échéant lui formuler des recommandations.
Cette nouvelle politique de responsabilisation, traduite par la notion anglaise de « accountability », vise à remplacer l’ancien système reposant sur des obligations de déclarations et de formalités.
4. La simplification des formalités se traduit également par la création d’un guichet unique permettant à une entreprise, disposant de plusieurs établissements dans différents Etats membres de l’Union, de ne se référer qu’à une seule autorité de contrôle pour l’ensemble de ses traitements de données personnelles au sein de l’Union Européenne. Cette dernière sera l’« autorité chef de file » de l’entreprise, déterminée en fonction de la localisation de l’établissement principal de l’entreprise, c’est-à-dire le lieu où se déroulera l’essentiel de ses activités de traitement.
5. Le règlement vient préciser le régime de la responsabilité des opérateurs. Il instaure ainsi une responsabilité conjointe :
- entre différents responsables de traitement : elle trouvera application dès lors que les responsables auront déterminé ensemble les finalités et les moyens du traitement. Cela signifie, en pratique, que la personne souhaitant exercer ses droits pourra agir contre l’un ou l’autre des responsables.
- entre un responsable de traitement et un sous-traitant : le règlement prévoit un renforcement des obligations pesant sur le sous-traitant. Alors que dans la règlementation actuelle il est presque totalement ignoré, il aura désormais une responsabilité directe à l’égard des autorités de contrôle et des tiers. Il devra par exemple présenter des garanties suffisantes de mise en œuvre de mesures techniques et organisationnelles, supportera une obligation de sécurité au même titre que le responsable de traitement, et sera soumis à des obligations contractuelles plus importantes, avec notamment l’exigence d’un cahier des charges détaillé ou la nécessité d’obtenir l’autorisation écrite préalable du responsable de traitement s’il veut lui-même sous-traiter.
En raison de la multiplication des obligations à la charge du sous-traitant, une action sera désormais possible directement contre lui, s’il ne respecte pas les dispositions du règlement le concernant ou s’il agit sans respecter les instructions légales de son responsable de traitement.
6. De nouveaux droits sont octroyés par le règlement aux personnes dont les données personnelles sont traitées parmi lesquels:
– le droit à l’oubli et à l’effacement, qui devient le principe pour :
- toutes les données qui ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
- lorsque les personnes ayant initialement donné leur consentement le retirent ;
- lorsque des personnes s’opposent au traitement de leurs données ;
- pour les données ayant fait l’objet d’un traitement illicite ;
- pour les données collectées lorsque la personne était enfant, entre 13 et 16 ans selon le choix de chaque État membre ;
- lorsque la suppression des données devient nécessaire en vertu d’une obligation légale pesant sur le responsable de traitement.
Il existe toutefois des exceptions au droit à l’oubli qui sont expressément prévues par le règlement, telles que l’utilisation de données pour l’exercice de la liberté d’expression ou bien l’utilisation de données pour la constatation, l’exercice ou la défense de droits en justice.
le droit à la portabilité des données, qui permet aux particuliers de transférer leurs données à caractère personnel d’un responsable de traitement à un autre, dès lors que le traitement sera fondé sur le consentement ou un contrat, et qu’il sera effectué à l’aide de procédés automatisés.
7. La déclaration obligatoire en cas de violation des données se généralise à tous les responsables de traitement, alors qu’elle n’était obligatoire que pour les opérateurs de télécoms et les fournisseurs d’accès internet en application de la règlementation antérieure. Les violations de données devront être déclarées à l’autorité de contrôle compétente dans un délai de 72h après leur découverte, tout retard devant être justifié. Dans certaines hypothèses, la violation devra également être notifiée aux personnes concernées, si elle est susceptible d’engendrer un risque élevé pour les droits et libertés, et ce dans les meilleurs délais.