36, rue Vivienne ­ 75002 Paris   |    01.86.95.02.40  |    secretariat@dear-avocats-paris.com

Données personnelles : la réforme de l’UE est en marche

Données personnelles : la réforme de l’UE est en marche

Le 27 avril 2016, le Parlement Européen a adopté de nouvelles dispositions relatives à l’utilisation et à la protection des données personnelles.
Le parlement a adopté trois textes :

  • un règlement général (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (abrogeant la directive 95/46/CE )
  • une directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités à des fins de prévention et de détection des pénales, et à la libre circulation de ces données, 
  • une directive (UE) 2016/681 relative à l’utilisation des données des dossiers passagers (PNR) pour la prévention et la détection des infractions terroristes et des formes graves de criminalité, ainsi que pour les enquêtes et les poursuites en la matière.

Ces textes entreront en vigueur le 25 mai 2016.

Le règlement sera applicable à partir du 25 mai 2018.

Les délais de transposition des directives, ont été fixés au 6 mai 2018 pour la directive (UE) 2016/680 et au 25 mai 2018 la directive (UE) 2016/681.

Le règlement général relatif à la protection des données personnelles était attendu depuis plusieurs mois.

Les dispositions du règlement et de la directive (UE) 2016/680 visent notamment les points suivants  :

  • le consentement : 

Le responsable du traitement devra être en mesure de démontrer que la personne concernée a donné son consentement.

Le consentement doit être clair et explicite.

Il peut être retiré à tout moment.

La personne concernée pourra également obtenir du responsable du traitement la limitation du traitement dans certains cas.

  • Consécration du droit à l’effacement « droit à l’oubli »

Le règlement introduit le « droit à l’oubli » pour la personne concernée laquelle pourra obtenir l’effacement de ses données, dans les meilleurs délais pour l’un des motifs suivants notamment (article 17) :

  • les données personnelles ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
  • la personne concernée retire son consentement et il n’existe pas d’autre fondement juridique au traitement ;
  • la personne concernée s’oppose au traitement de ses données personnelles, et il n’existe pas de motif légitime impérieux ;
  • le traitement est illicite ;
  • les données doivent être effacées pour respecter une obligation légale.

Toutefois, le « droit à l’oubli » ne pourra pas être appliqué dans les cas où le traitement est nécessaire :

  • à l’exercice du droit à la liberté d’expression et d’information ;
  • pour respecter une obligation légale ou exécuter une mission d’intérêt public ;
  • pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historiques ou statistiques ;
  • à la constatation, à l’exercice ou à la défense des droits en justice.
  • Renforcement des obligations pour la sécurité du traitement, élaboration de codes de conduite et mécanisme de certification

Le responsable du traitement doit mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité.

Si les finalités d’un traitement sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques, une analyse de l’impact des opérations de traitement envisagées devra être effectuée.

Si cette analyse indique que le traitement présenterait un risque élevé, l’autorité de contrôle compétente, en France il s’agit de la CNIL, devra être consultée.

Le règlement encourage l’élaboration de codes de conduite destinés à contribuer à la bonne application de celui-ci ainsi que la mise en place de mécanismes de certification, labels et marques.

  •  Durcissement des sanctions : augmentation du quantum des amendes

La CNIL devra veiller à ce que les amendes administratives imposées par le règlement pour sanctionner les violations de celui-ci soient effectives, proportionnées et dissuasives.

Selon les cas de violation, les amendes pourront aller jusqu’à 20 millions d’euros ou, pour les entreprises, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent et ce, y compris en cas de non-respect d’une injonction.

  • Notifications d’une violation des données à caractère personnel

La violation de données à caractère personnel doit être notifiée, dans un délai de 72 heures, à l’autorité de contrôle compétente, la CNIL pour la France, et dans les meilleurs délais à la personne concernée, à moins que la violation n’engendre pas de risque pour les droits et libertés des personnes physiques.

  • Le correspondant informatique et liberté (CIL) devient le délégué à la protection des données

Le responsable du traitement peut désigner un délégué à la protection des données lequel est obligatoire lorsque le traitement est effectué par un autorité ou organisme public à l’exception des juridictions ou lorsque les activités du responsable de traitement consistent en des opérations de traitement exigeant un suivi régulier ou systématique ou un traitement à grande échelle de certaines données (ex. : donnée raciale ethnique, opinions publiques etc.).