Les points-clés à retenir par les entreprises.
Il y eut la loi française du 6 janvier 1978 « Informatique et Libertés », celle du 6 août 2004. Maintenant il y a le Règlement concernant la protection des personnes physiques à l’égard du traitement des données personnelles.
Ce règlement sera directement applicable dans les États membres de l’Union européenne le 25 mai 2018, sans qu’il y ait besoin d’une loi française transposant ce règlement.
Le règlement a trois objectifs :
– consolider les droits des personnes physiques,
– uniformiser les pouvoirs des autorités nationales au sein de l’Union européenne, et
– responsabiliser les entreprises qui traitent les données à caractère personnel.
Formalités obligatoires pour les entreprises pour traiter les données :
Le règlement supprime les formalités préalables auprès des autorités de contrôle (CNIL en France). Sauf exception, il n’y aura donc plus de déclaration ou de demandes d’autorisation préalables à la mise en place de traitements de données à caractère personnel.
Les entreprises resteront tenues de mettre en place un formalisme dans la mise en œuvre des traitements de données personnelles.
CNIL :
La CNIL et ses homologues européens (AEPD en Espagne) ne disparaissent pas.
Cependant, la CNIL ne sera plus, en principe, destinataire de formalités préalables (déclarations et autorisation), mais aura toujours pour mission de contrôler la bonne mise en œuvre du règlement.
Ses missions de sensibilisation du public et d’information seront renforcées.
La CNIL conservera par ailleurs d’importants pouvoirs d’enquête et de sanction (amendes administratives…).
Délégué à la protection des données :
Le Délégué à la protection des données (DPO) remplacera dans la plupart des entreprises le Correspondant Informatique et Libertés (CIL).
La désignation d’un DPO sera obligatoire au sein des entreprises remplissant certaines conditions définies par le règlement.
Obligations d’une entreprise en cas de fuite de données personnelles :
Le règlement met en place un mécanisme de notification à l’autorité de contrôle compétente (en France la CNIL) des violations de données personnelles. Le responsable de traitement de l’entreprise devra procéder à la notification dans les 72 heures après avoir eu connaissance d’une telle violation.
Une violation peut être : la destruction, perte, altération, divulgation ou accès non-autorisé à des données.
Sanctions pour les entreprises :
Les sanctions prononcées pourront s’élever jusqu’à 20 000 000 d’euros. Voire, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.
En conclusion :
Toutes les entreprises sont susceptibles de subir des attaques et des malveillances informatiques : il leur appartient de tout faire pour s’en prémunir.
Ce texte a pour but de créer des réflexes concernant la protection des données personnelles. Ces nouvelles mesures exigent davantage de vigilance de la part des entreprises (ainsi que des sous-traitants) qu’elles responsabilisent.
Enfin, les entreprises n’ont plus que 12 mois pour évaluer leurs systèmes de traitement des données actuels et pour mettre en place une réponse à cette nouvelle règlementation.
