8 décembre 2016

Nouvelle réglementation sur les données personnelles :

quelles conséquences pour votre entreprise ?

Conférence présentée par : Claudia WEBER, Avocat Associé

Eloïse URBAIN, Avocat

Maître Claudia WEBER, Avocat associé – claudia.weber@itlaw.fr

Fondatrice du Cabinet ITLAW Avocats, spécialisé dans les technologies del’information

Recommandé par LEGAL 500 depuis plusieurs années

Maître Eloïse URBAIN, Avocat – eloise.urbain@itlaw.fr

En charge du pôle «Informatique et Libertés » du Cabinet ITLAW Avocats

Chargée d’enseignement à l’Université de Versailles Saint-Quentin-en-Yvelines – Paris Saclay

INFORMATIQUEPROPRIÉTÉ

INTELLECTUELLEINTERNET & TÉLÉCOMS

DONNÉES À CARACTÈRE PERSONNEL

CYBER-CRIMINATLITÉ

Conseil

Formation

Médiation

Contentieux

INTRODUCTION

•Rappel du contexte et des textes relatifs aux données à caractère personnel en droit interne et en droit européen

•Le bilan de la transposition de la Directive de 1995 et le choix d’un texte plus contraignant et d’application directe

•Les étapes de l’élaboration du Règlement européen

QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?

QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?

QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?

I.

II.

III.

IV.

1974 :

- Projet d’élaboration du fichier SAFARI rendu

public en mars 1974 par le journal Le Monde

- Projet de loi relatif à l’information et aux

libertés

1978 :

- Adoption de la Loi n°78-17 du 6 janvier

1978 relative à l’informatique, aux

fichiers et aux libertés (dite « Informatique et

Libertés »)

1995 :

- Harmonisation européenne avec la Directive 95/46/CE

du 24 octobre 1995 relative à la protection des

personnes physiques à l’égard du traitement des

données à caractère personnelle à la libre

circulation de ces données

=> Abrogée par le nouveau Règlement européen

2004 :

- Loi n°2004-801 du 6 août 2004, relative à la

protection des personnes physiques à l’égard des traitements de données à caractère

personnel -Transposition de la Directive en droit

français

2014 :

- Loi Hamon n°2014-344 du 17 mars 2014

relative à la consommation :

* Extension des pouvoirs de contrôle

de la CNIL aux contrôles en ligne

2016 :

- 27 avril 2016Adoption du Règlement

européen (RGPD)

- 7 octobre 2016: adoption de la Loi pour

une République numérique

2018 :

- Entrée en application du Règlement européen

=> 25 mai

Si on devait résumer le Règlement – propos de Madame Falque-Pierrotin (Présidente de la CNIL) :

« Il inaugure une nouvelle ère dans la régulation puisqu’il consacre un changement de paradigme : il s’agitd’alléger considérablement ce que nous appelons les formalités préalables – les déclarations etautorisations – au profit d’une démarche de responsabilisation des acteurs et d’un renforcement des droitsdes individus. »*

* Source : Audition de Madame Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés, par la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République en date du 12 octobre 2016, compte rendu n°5.

•Adoption d’un projet de règlement européen par la Commission Européenne : le choix d’un texte d’application directe dans l’ensemble des Etats Membres afin de renforcer l’harmonisation

25 janvier

2012

• Adoption du projet par la Commission des libertés civiles du Parlement européen

21 octobre

2013 • Adoption du projet par le Parlement européen

12 mars 2014

• Le Comité LIBE du Parlement Européen, le COREPER (Comité de représentants du Conseil de l’UE) et la CE annoncent leur accord sur un

texte de « compromis solide »

15 décembre

2015 • Adoption du Règlement européen => Applicable à partir du 25 mai 2018 (abrogation de la Directive 95/46/CE)

25 mai 2018

Champ d’application territorial de la Loi Informatique et Libertés de 1978 (art. 5) :

◦ Etablissement du R.T

◦ Les Moyens sur le territoire de la France – (à défaut d’établissement en France ou en UE)

Champ d’application territorial du Règlement (art. 3) :

◦ Des activités d’un établissement d’un R.T ou d’un S.T sur le territoire de l’Union

◦ Au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire del’Union par une R.T ou un S.T qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

À l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes; ou

Au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

◦ Au traitement de données à caractère personnel par un responsable de traitement qui n’est pas établi dans l’union maisdans un lieu où le droit d’un Etat membre s’applique en vertu du droit international public

La protection des données à caractère personnel est un enjeu de notreépoque, les données ont acquis une valeur marchande et les nouvellestechnologies ont favorisé cette valorisation

Le texte central en matière de protection des données à caractèrepersonnel est la Loi Informatique et Libertés du 6 janvier 1978

L’entrée en vigueur du Règlement européen marque un tournant majeurdans la régulation des données personnelles

Attention au champ d’application territorial du Règlement !

INTRODUCTION

QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?

•Définitions•Principes et outils•Réévaluation des sanctions

QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?

QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?

I.

II.

III.

IV.

Le Règlement européen définit les principaux termes comme suit (article 4) :

◦ Données à caractère personnel :

toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée ») ; est réputéeêtre une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment parréférence à un identifiant, tel qu’un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs élémentsspécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

◦ Profilage :

toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluercertains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement autravail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation, ou lesdéplacements de cette personne physique ;

◦ Pseudonymisation :

Le traitement de données à caractère personnel de telle façon que celles-ci ne puissent plus être attribuées à une personne concernée précisesans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément etsoumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à unepersonne physique identifiée ou identifiable ;

Le Règlement définit certaines catégories de données sensibles :

◦ les données de santé :

« les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soinsde santé, qui révèlent des informations sur l’état de santé de cette personne. »

◦ les données génétiques :

« les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent desinformation uniques sur le physiologie ou l’état de santé de cette personne physique et qui en résultent, notamment, d’une analyse d’un échantillonbiologique de la personne en question. »

◦ les données biométriques :

« les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques oucomportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des donnéesdactyloscopiques.

Concernant le consentement

CONSENTEMENT

toute manifestation de

volonté, libre, spécifique, éclairée, et

univoque

par une déclaration ou par

un acte positif clair

Retrait à tout

momentPreuve

Dispositions

spécifiques

pour les

mineurs

(-16 ans)

S’agit-il de données à caractère personnel ?

S’agit il de données personnelles particulières ?

Raisons : - Pas de données- anonymisation

Légende :OUI

NON

CATEGORIES PARTICULIERES DE DONNEES

PAS DE CATEGORIES PARTICULIERES DE DONNEES

Analyse de l’adéquation des données + application du principe de minimisation

Inscription au registre = Mise en œuvre du

traitement

Pas d’inscription au registre possible

PRIVACY BY

DESIGN/ DEFAULT

REGISTRE

ANALYSE D’IMPACT

ACCOUNTABILITY

SECURITE CERTIFICATION ET

CODE DE CONDUITE

PIA

requis

Évaluation systématique et approfondie d’aspects personnels […] fondée sur un traitement automatisé, y compris le profilage, et sur la base de laquelle sont prises des décisions produisant des effets juridiques à l’égard d’une personne physique ou l’affectant de manière significative

Le traitement à grande échelle de catégories particulières de données

La surveillance systématique à grande échelle d’une zone accessible au public.

+ liste à pourvoir par les autorités (CNIL)

Conte

nu description des opérations de

traitement envisagées et des

finalités

évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités

évaluation des risques pour les droits et libertés des personnes concernées

mesures envisagées pour faire face aux risques, y compris les garanties

+ le DPO peut assister le R.T dans l’élaboration

Résult

ats

Absence de risques ou risques « résiduels » : le responsable n’est pas tenu de consulter une autorité afin de lui soumettre son PIA

Risques élevés persistants : le responsable doit consulter l’autorité compétente

+ A mettre à jour tout au long de la vie du traitement

ANALYSE D’IMPACT

Le traitement de données est-il visé par les cas de

l’art.35 ou ceux des autorités ?

PIA facultatif

PIA obligatoire : le traitement de données

comporte-t-il des risques ?

Consultation de l’autorité (CNIL) => avis favorable ou non (délai de 8 semaines)

Inscription au registre = Mise en œuvre du

traitement

Pas de mise en œuvre du traitement => constitue une violation du RGPD

Légende :OUI

NON

ANALYSE D’IMPACT

Privacy by design/ default

•Sur quelle base : état des connaissances ; coût ; nature, portée et contexte des finalités ;

•Pourquoi : risques pour les droits et libertés des personnes

•Quand : dès la conception au moment de la détermination des moyens

•Comment : mesures techniques et organisationnelles (ex : pseudonymisation,

minimisation, etc.)

Privacy by

design

•Sur quelle base : par défaut prévoir des mesures protectrices

•Pourquoi : garantir que seules les données nécessaires à la finalité sont traitées et que seules

les personnes habilitées ont accès

•Quand : dès la conception et tout au long de la durée du traitement

•Comment : mesures techniques et organisationnelles (ex : favoriser des menus déroulant à la

place de zones de commentaire, prévoir des mesures d’accès restreint, etc.)

Privacy by

default

Art. 25 du RGPD « Protection des données dès la conception et protection des données par défaut » :

Intérêt du PIA à ce stade

Registre

Pour les R.T

• « un registre des activités de traitement effectuées sous leur responsabilité »

Pour les S.T

• « un registre de toutes les catégories d’activités de traitement effectuées

pour le compte du responsable du traitement »

Art. 25 du RGPD : qu’est ce qu’un registre des activités d’un traitement ?

Date de mise en œuvre

Nom + coordonnées du R.T, du R.T.C et DPO

Finalité principale

Détails des finalités du traitement

Service chargé de la mise en œuvre

Catégories de personnes concernées par le traitement

Données traitées Catégories Durée Destinataire

Transfert hors UE + encadrement

Description générale des mesures de sécurité

Registre (version R.T)Comparaison avec le

registre du CIL :

Les nouvelles mentions issues du RGPD

Les mentions non reprises du registre du CIL

Date de mise en œuvre

Nom + coordonnées du ou des S.T, du ou des R.T. et DPO

Catégories de traitement effectués pour chaque R.T

Transfert hors UE + encadrement

Description générale des mesures de sécurité

Registre (version S.T)

Nouveauté du RGPD :Le S.T doit lui aussi répertorier en plus de ses traitements ceux de ses clients !!

Sécurité, certification

et code conduite

• pseudonymisation

• anonymisation

• chiffrement des données

• etc.

Mesures visant à la confidentialité,

l’intégrité, la disponibilité des

données

• élaborés par des organismes certificateurs ou par les acteurs représentatifs d’un secteur d’activité en particulier

• sont soumis/contrôlés par les autorités de protection (CNIL)

• font naître une présomption de conformité

Certifications, codes de conduite

Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administrativesimportantes en cas de méconnaissance des dispositions du Règlement.

Les autorités peuvent notamment :

◦ Prononcer un avertissement

◦ Mettre en demeure l’entreprise

◦ Limiter temporairement ou définitivement un traitement

◦ Suspendre un flux de données…

Nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut :

◦ Retirer la certification délivrée

◦ Ordonner à l’organisme de certification de retirer la certification

Les Sanctions financières (amendes administratives)

Les manquements

10 millions ou 2% du CA mondial

aux principes applicables au consentement des mineurs aux dispositions relatives au sous-traitant aux notifications de failles de sécurité aux principes du « privacy by design » ou « privacy by default » aux certifications aux obligations des organismes chargé du suivi des codes de conduite

20 millions ou 4% du CA mondial

aux principes de licéité, consentement et principes applicables auxdonnées particulières

aux droits dont bénéficient les personnes concernées aux dispositions relatives à la liberté d’expression et d’information aux non respect d’une injonction de limitation (temporaire ou

définitive) ou de suspension du traitement ordonnée par la CNIL

MISE EN ŒUVRE DU TRAITEMENT

Inscription au registre

Consentement ?

Oui acte positif à démontrer

Non exécution d’un contrat/ respect obligation légale/ sauvegarde des intérêts vitaux

/ mission d’intérêt public / intérêt légitime

Information de la personne concernée

Mentions de la Loi de 78 (avant Loi pour une République numérique)

Nouvelles mentions : durée, réclamation CNIL, mesures de sécurité

Principe de transparence

Droits de la personne concernée

Accès, rectification (dans le délai d’un mois)

Effacement et limitation

Portabilité

PIA ?

Renforcement des droits de la personne et de la protection des données

◦ consécration de définition et de principes

◦ nouveaux outils de mise en conformité à l’initiative des entreprises

◦ des sanctions très dissuasives (et ce même pour les géants du net !!)

INTRODUCTION

QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?

QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?

•Les obligations du responsable de traitement, du responsable conjoint et du sous-traitant

•La mise en œuvre du traitement

•Les incidences sur la responsabilité

•CIL vs DPO

QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?

I.

II.

III.

IV.

Déclaration/

autorisation

Respect de la finalité

(explicite et légitime) et

de la durée de

conservation

Sécurité (confidentialité

et intégrité)

Collecte licite et loyale (consentement,

information…)

Droits des personnes

concernées (accès,

rectification, opposition,

efface)

Transfert des données (clause contractuelle

type, BCR)

(Loi Informatique et Libertés)

Désignation d’un DPO ?

Certification / Code de conduite

Privacy by design/pydefault

Analyse d’impact et consultation préalable

Registre

Respect de la finalité (explicite et légitime)

et de la durée de conservation

Sécurité (confidentialité et

intégrité)

Collecte licite, loyale et transparente

(consentement, information…)

Notification et informations des

personnes concernées des violations de

données personnelles

Droit des personnes concernées (accès,

rectification, opposition, effacement et portabilité

des données)

(RGPD)

Consécration du régime de responsabilité conjointe dans le traitement – article 26

◦ Lorsque deux responsables de traitement déterminent ensemble les finalités et les moyens dutraitement => ils sont responsables conjointement

◦ Les deux responsables déterminent leurs obligations respectives de manière transparente, et par voied’accord CONTRAT A PREVOIR !

◦ L’accord doit refléter le rôle respectif de chacun des responsables de traitement

◦ Les grandes lignes de cet accord doivent également être mises à la disposition de la personneconcernée

◦ La personne concernée peut faire valoir ses droits auprès de chacun des responsables,indépendamment de leurs rôles respectifs !!

Sous l’égide de la loi de 1978, quand le responsable detraitement fait appel à un sous-traitant (article 35) :◦ Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et

de confidentialité mentionnées à l’article 34 de la Loi I&L

◦ Cette exigence ne décharge pas pour autant pas le responsable de traitement de son obligation de veiller aurespect de ces mesures

◦ Le contrat entre le responsable de traitement et son sous-traitant doit prévoir la mise en œuvre des mêmesobligations de sécurité et de confidentialité des données. Dans tous les cas, le sous-traitant ne pouvait agir quesur instruction du responsable de traitement

Sous l’égide du Règlement européen :

◦ Le sous-traitant est tenu de respecter les mêmes obligations spécifiques en matière de sécurité, deconfidentialité et en matière d’accountability que le responsable de traitement

◦ Il a notamment une obligation de conseil auprès du responsable de traitement pour la conformité àcertaines obligations sur le Règlement :

analyse d’impact - PIA (Privacy Impact Assessment)

failles de sécurité

destruction des données

contribution aux audits

◦ Il est tenu de maintenir un registre, voire de désigner un DPO dans les mêmes conditions qu’unresponsable de traitement

Désignation d’un DPO ?

Garanties suffisantes (présomption avec la

certification et les codes de conduite)

Recrutement du sous-traitant ultérieur => accord du R.T

Registre des traitements effectués pour les R.T

Sécurité (confidentialité, intégrité, disponibilité et résilience des systèmes)

Coopération avec les autorités de protection des données

Notification au R.T des violations de données

personnelles

Obligations contractuelles prévues à l’article 28 du

Règlement : assiste le R.T

(RGPD)

Responsable du

traitement

•Détermine les finalités et les moyens du traitement

•Porte la responsabilité légale du traitement évolution avec le Règlement renforcement des

obligations du sous-traitant

Responsable

conjoint (RGPD)

•Détermine conjointement avec un autre les finalités et les moyens

•Les obligations de chaque R.T.C sont prévues dans un contrat

•Responsabilité solidaire vis-à-vis des personnes concernées

Sous-traitant

•Agit sur instruction et pour le compte du R.T.

•Respect des instructions et du Règlement pour s’exonérer de sa responsabilité

Le Règlement européen vise à :

◦ responsabiliser les acteurs des traitements des données

◦ uniformiser les obligations pesant sur les responsables de traitement et les sous-traitants

Le sous-traitant est désormais davantage impliqué dans la protection des données.

=> Quelles incidences pour leur responsabilité vis-à-vis de la personne concernée ?

PERSONNE CONCERNEE

Responsable de traitement

Responsable de traitement conjoint

Sous-traitant

Solidarité du R.T, R.T.C et du S.T ce qui implique :- Droit d’action au choix de la personne concernée - Possibilité ensuite d’exercice d’une action récursoire

CIL DPO

Désignation facultative / obligatoire ?

Facultative

Obligatoire dans les cas suivants :

- Le traitement est effectué par une autorité publique ou un organisme public

- Les activités de base du R.T ou du S.T consistent en des opérations de traitement qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier systématique à grande échelle des personnes concernées ;

- Les activités de base du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions visées à l’article 10

Qui ? Compétences juridiques / techniques Compétences juridiques / techniques

Périmètre de désignation ?

Désignation partielle / générale / étendueAucune spécification

Mission

Veille à la conformité avec la loi Informatique et Libertés Gestion des traitements de données personnelles :

- Tenue du registre des traitement,- formalités, échanges avec la CNIL (service dédié),- voire chargé de l’exercice des droits des personnes

Bilan annuel Diffusion d’une culture « Informatique et Libertés »

- informer et conseiller le responsable de traitement ou le sous-traitant sur les obligations qui lui incombent en matière de protection des données ;

- contrôler le respect de la législation applicable en matière de protection des données et des règles internes du R.T ou du S.T ;

- dispenser des conseils sur demande, en ce qui concerne l’analyse d’impact relative à la protection des données et vérifier l’exécution de celle-ci ;

- coopérer avec l’autorité de contrôle ;

- faire office de point de contact pour l’autorité de contrôle sur les questions relatives au traitement, y compris la consultation préalable, et mener des consultations.

Renforcement de la responsabilité des acteurs : responsable et sous-traitant => le sous-traitant rattrapé par la loi !

Responsabilisation dans la mise en conformité : le responsable prend lerisque de l’évaluation des risques (PIA, accountability, privacy by design)

Anticiper dès maintenant sur la désignation obligatoire du DPO

Afin d’anticiper sur l’application du RGPD et mener à bien votre mise en conformité, nous vous recommandons de :

◦ faire un état des lieux des traitements de données, pour :

vérifier la base juridique de vos traitements (consentement ou autre), leur finalité, leur contenu (minimisation), les mesures de sécurité), etc. ;

vérifier votre qualification (R.T, R.T.C, S.T) et de revoir les contrats en conséquence ainsi qu’au regard du RGPD ;

préparer votre registre ;

préparer votre modèle de PIA et le tester sur les prochains traitements à risque ;

◦ renouveler et rediffuser vos mentions d’information à l’attention des personnes concernées en :

intégrant les nouvelles mentions obligatoires

vérifiant la clarté de ces mentions ;

◦ relancer la sensibilisation interne et mettre en place des politiques / mécanismes de gestion des réclamations et des plaintes afind’anticiper les risques de dépassement de délais ou de recours juridictionnels ;

◦ surveiller la mise en place des certifications, codes conduite et autres lignes directrices de la CNIL

INTRODUCTION

QUELS SONT LES PRINCIPAUX APPORTS DU RÈGLEMENT EUROPÉEN À LA PROTECTION DES DONNÉES PERSONNELLES ET LEURS IMPACTS EN PRATIQUE ?

QUELLES SONT LES CONSEQUENCES POUR LES ENTREPRISES EN TERMES D’OBLIGATIONS ET DE RESPONSABILITE ?

QUEL PROCESSUS D’INCORPORATION EN DROIT FRANÇAIS ?

• L’incorporation du RGPD en droit français

• Les incidences et l’articulation entre les textes nationaux et la Loi I&L

I.

II.

III.

IV.

L’entrée en vigueur le 25 mai 2018 du Règlement inclut :

◦ L’abrogation de la Directive 95/46/CE du 2 octobre 1995

◦ Intégration directe en droit français sans qu’il soit nécessaire d’adopter une loi nationale :

Article 288 (ex-article 249 TCE) du traité sur le fonctionnement de l’UE : Pour exercer les compétences de l'Union,les institutions adoptent des règlements, des directives, des décisions, des recommandations et des avis. Lerèglement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable danstout État membre. La directive lie tout État membre destinataire quant au résultat à atteindre, tout en laissant auxinstances nationales la compétence quant à la forme et aux moyens. La décision est obligatoire dans tous seséléments. Lorsqu'elle désigne des destinataires, elle n'est obligatoire que pour ceux-ci. Les recommandations et lesavis ne lient pas.

confirmé par La Cour de justice de l’Union européenne dans l’arrêt Politi du 14 décembre 1971 (Politi s.a.s. contreministère des finances de la République italienne. Demande de décision préjudicielle : Tribunale civile e penale diTorino - Italie. Affaire 43-71.) : effet direct et complet

L’entrée en vigueur le 25 mai 2018 du Règlement suppose une articulation avec la Loi I&L :

◦ Abrogation des dispositions de la loi qui sont prévues par le Règlement européen

◦ Intégration de nouvelles dispositions suite au Règlement :

nouvelles procédures pour l’émission et le prononcé de sanctions communes aux autorités ;

Les régimes dérogatoires : secteur régalien, santé, etc.

=> et le « toilettage de la loi Informatique et Libertés » ne concerne pas uniquement le Règlement…destextes au niveau national ont été adoptés ces derniers temps lesquels ont des conséquences sur la loiInformatique et Libertés dont certaines dispositions anticipent sur l’application du Règlement européen ou lecomplètent.

Loi n°2016-1321 du 7 octobre 2016 pour une République Numérique, quels sont les principaux apports enmatière de données personnelles (liste non exhaustive) :

◦ Principe d’autodétermination informationnelle :

modification de l’article 1er de la loi de 1978 (une première)

ajout de la disposition suivante : « Toute personne dispose du droit de décider et de contrôle les usages qui sont faits des données à caractèrepersonnel la concernant, dans les conditions fixées par la présente loi. »

◦ Concernant les mineurs :

Droit pour le mineur de 15 ans et plus de s’opposer à l’accès à ses données dans le cadre de recherche médicale

Droit à l’oubli spécifique aux mineurs avec une procédure accélérée

◦ Ce qu’il advient des données de la personne concernée après sa mort :

Fin du droit d’accès des ayants droits par principe (exceptions : organisation et règlement de la succession ; pour la prise en compte du décès par leresponsable du traitement => clôture des comptes) [NB : en cas de conflit entre héritiers compétence du TGI]

Définition de directives générales (de manière générale - à enregistrer auprès d’un tiers de confiance certifié par la CNIL) et particulières (par chaqueresponsable de traitement)

Loi n°2016-1321 du 7 octobre 2016 pour une République Numérique, quels sont les principaux apports en matière dedonnées personnelles :

◦ Information des personnes concernées

ajout d’une nouvelle mention à prévoir (l’article 32) de la durée de conservation => anticipation sur le règlement européen

◦ Open data :

mise à disposition des documents - sous réserve de l’anonymisation des données [NB : la CNIL doit présenter les méthodologies d’anonymisation à cetitre => article 11 nouveau 2° g).]

◦ Portabilité des données :

principe de récupération des données (gratuite) :

soit par le consommateur, soit par un autre prestataire à la demande du consommateur ;

une fonctionnalité permettant « au consommateur de récupérer, par une requête unique, l’ensemble des fichiers ou données concernés. Le fournisseur prend toutes lesmesures nécessaires à cette fin, en termes d’interface de programmation et de transmission des informations nécessaires au changement de fournisseur » ;

obligation des fournisseurs de services de communications au public en ligne ;

exception : données ayant fait l’objet d’un enrichissement significatif => quid de la notion d’enrichissement significatif ?

Loi n°2016-1321 du 7 octobre 2016 pour une République Numérique, quels sont les principaux apports enmatière de données personnelles :

◦ Concernant les pouvoirs de la CNIL :

Modification de l’article 11 de la Loi de 1978 sur les missions de la CNIL :

2° g) Elle peut certifier ou homologuer et publier des référentiels ou des méthodologies générales aux fins de certification de la conformité à la présente loi de processus d'anonymisationdes données à caractère personnel, notamment en vue de la réutilisation d'informations publiques mises en ligne dans les conditions prévues au titre II du livre III du code des relationsentre le public et l'administration.

4° a) Elle est consultée sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de tellesdonnées. L'avis de la commission sur un projet de loi est rendu public. Outre les cas prévus aux articles 26 et 27, lorsqu'une loi prévoit qu'un décret ou un arrêté est pris après avis de lacommission, cet avis est publié avec le décret ou l'arrêté ;

e) Elle conduit une réflexion sur les problèmes éthiques et les questions de société soulevés par l'évolution des technologies numériques ;

f) Elle promeut, dans le cadre de ses missions, l'utilisation des technologies protectrices de la vie privée, notamment les technologies de chiffrement des données.

Augmentation du plafond des sanctions (article 47 de la Loi de 1978) -> Jusqu’à 3 millions d’euros

Le montant de la sanction pécuniaire prévue au I de l'article 45 est proportionné à la gravité du manquement commis et aux avantages tirés de ce manquement. La formation restreinte de laCommission nationale de l'informatique et des libertés prend notamment en compte le caractère intentionnel ou de négligence du manquement, les mesures prises par le responsable dutraitement pour atténuer les dommages subis par les personnes concernées, le degré de coopération avec la commission afin de remédier au manquement et d'atténuer ses effets négatifséventuels, les catégories de données à caractère personnel concernées et la manière dont le manquement a été porté à la connaissance de la commission.

Loi n°2016-41 du 16 janvier 2016 de modernisation de notre système desanté (liste non exhaustive) :

◦ Création d’un droit à l’oubli : pour les anciens malades de cancer (lorsque la fin du protocole remonte àplus de 5 ans)

◦ Ouverture de l’accès aux données de santé -> favoriser l’innovation et la proposition de nouveaux services

◦ Relance du dossier médical partagé (DMP)

◦ Modification du chapitre IX de la Loi Informatique et Libertés de 1978 :

Article 53 : Les traitements automatisés de données à caractère personnel ayant pour finalité la recherche ou lesétudes dans le domaine de la santé ainsi que l'évaluation ou l'analyse des pratiques ou des activités de soins oude prévention sont soumis à la présente loi, à l'exception des articles 23 et 24, du I de l'article 25 et des articles26,32 et 38.

En attendant l’application du Règlement européen et le toilettage de la Loide 1978, il convient de :

◦ anticiper sur la mise en conformité avec le Règlement européen ;

◦ tenir compte des apports de la Loi pour une République numérique, notamment ausein de la loi de 1978, dans la mesure où certains continueront de s’appliquer aprèsmai 2018 ;

Merci de votre attention

Vous pouvez nous contacter :

281, rue de Vaugirard - 75015 Paris

Tél. : +33(0)1.45.30.54.25

Mob. : +33(0)6.13.24.58.44

claudia.weber@itlaw.fr

http://www.itlaw.fr