Quatre années, c’est le temps qu’il aura fallu aux institutions européennes pour aboutir à l’adoption définitive du règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
Le point sur cette nouvelle réglementation
avec l’Avocat Garance Mathias.
L’Union européenne vient donc de prendre un virage crucial pour la protection des données des citoyens européens. Le règlement, publié au Journal Officiel de l’Union européenne le 4 mai dernier, ne sera applicable qu’à partir du 25 mai 2018. A cette date, un cadre juridique unique relatif à la protection des données à caractère personnel sera applicable sur l’ensemble du territoire de l’Union permettant ainsi une protection uniforme des personnes physiques.
Vers davantage de transparence
En pratique, le règlement européen redistribue les cartes en consacrant un niveau élevé de protection des données à caractère personnel. Cette protection est matérialisée par la transparence et l’exigence d’accessibilité de l’information instaurées par le règlement européen. Dès lors, l’information et les communications adressées aux personnes devront être libellées dans des termes clairs et simples favorisant leur compréhension. Les personnes auront également accès à davantage d’information. Cette transparence conduira en outre les acteurs publics et privés à informer les personnes en cas de violation de leurs données à caractère personnel caractérisée par une violation de la sécurité entraînant notamment la divulgation non autorisée des données à caractère personnel.
Droits préexistants renforcés et nouveaux droits
Les citoyens européens voient en outre leurs droits préexistants renforcés et de nouveaux droits leur sont reconnus. Au titre de ces derniers figure le droit à l’effacement autrement appelé « droit à l’oubli » par le règlement. Ce droit connait une application particulière puisque le responsable de traitement qui aura rendu les données des personnes concernées publiques sera tenu d’informer les responsables de traitement qui s’occupent desdites données qu’il convient d’effacer tout lien vers ces données, ou toute copie ou reproduction de celles-ci. Les citoyens pourront aussi demander à ce que les données qu’ils auront communiquées soient transmises par le responsable de traitement à tout autre responsable de traitement dans le cadre de l’exercice de leur « droit à la portabilité ». L’élargissement des droits des individus repose aussi sur l’établissement de limitations claires au recours au profilage (consentement des personnes notamment) ou encore la consécration d’une protection spécifique pour les mineurs.
Une application territoriale large de la réglementation
La protection élevée des personnes se traduit enfin par l’application territoriale large de la réglementation à tout traitement de données à caractère personnel, mis en œuvre par un responsable de traitement, même s’il n’est pas établi sur le territoire de l’Union européenne (UE) dès lors qu’il s’agit d’activités liées à l’offre de biens ou de services, proposées à des personnes se trouvant au sein de l’UE et à l’observation du comportement des personnes situées au sein de l’UE. Plus précisément, une entreprise établie aux États-Unis qui commercialise ses produits directement à des résidents de l’Union européenne, sans être physiquement présente sur le territoire de l’Union, sera soumise aux exigences du Règlement.
Les acteurs publics et privés qu’ils soient responsables de traitement ou sous-traitants devront s’adapter à la logique nouvelle mise en place par le règlement (principe d’accountability, principe de privacy by design et by default, obligations directement mises à la charge des sous-traitants, etc.). En pratique, les entités seront encouragées à davantage d’innovation quant aux solutions de traitement utilisées.
Une simplification est tout de même à noter. Les entités présentes dans plusieurs pays de l’Union bénéficieront du dispositif dit du « guichet unique » de sorte qu’elles auront une autorité de protection interlocutrice et non plus une par pays. Elles seront par ailleurs soumises à une réglementation unique et n’auront plus à réaliser des formalités préalables.
Le DPO, maestro de la conformité
Dans ce contexte général, le règlement européen érige le délégué à la protection des données (Data Protection Officer ou DPO) comme le maestro de la conformité au sein de chaque entité.
Jusqu’à présent, en application de la réglementation française, la désignation d’un Correspondant à la protection des données à caractère personnel – plus connu en tant que Correspondant Informatique et Libertés (CIL) – était laissée à la discrétion des responsables de traitement. Demain, un délégué à la protection des données devra impérativement être désigné par les organismes publics, les entités mettant en œuvre des traitements nécessitant un suivi régulier et systématique à grande échelle des personnes concernées ou encore traitant, à grande échelle des données sensibles et/ou des données relatives à des condamnations pénales et à des infractions.
Dans le cadre des groupes, le règlement officialise les réseaux de délégués à la protection des données. Un seul délégué à la protection des données pourra être désigné.
Quel profil pour le Data Protection Officer ?
La question du profil du maestro peut légitimement se poser qu’il soit interne ou externe à l’organisme. Le règlement définit le profil du DPO plus précisément que ne le faisait la réglementation jusque-là. Les futurs DPO devront avoir des connaissances spécifiques du droit et des pratiques en matière de protection des données. Le DPO devra également être en mesure d’assumer le positionnement fort que lui reconnait le règlement. A ce titre, des interventions auprès des instances les plus élevées de l’organisme sont à prévoir. Un avocat spécialisé dans ce domaine du droit pourra donc être désigné en tant que DPO externe.
Le DPO devra également être un communicant capable d’informer, d’échanger avec les opérationnels (analyse d’impact notamment), de conseiller et de sensibiliser tant les hautes instances de l’organisme que les personnes dont la fonction est de traiter les données. Son concours sera donc requis pour impulser les politiques et les procédures de protection des données mises en œuvre et qui seront indispensables pour démontrer la conformité au règlement de son entité.
Enfin, ce chef d’orchestre sera amené à interagir tant avec les personnes concernées qui s’adresseront à lui pour toute question relative aux traitements les concernant et à l’exercice de leurs droits tant avec l’autorité de contrôle avec laquelle il devra collaborer.
La recherche du DPO idéal doit donc être intégrée au processus de transition que doivent entamer les entités.