Il a principalement trois objectifs dans le cadre du renforcement du cadre réglementaire actuel.
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et infliger des sanctions alourdies.
Renforcement du droit des personnes
Consentement renforcé et transparence
Le règlement impose la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées par les traitements de données. L’expression du consentement est définie : les utilisateurs doivent être informés de l’usage fait de leurs données et doivent donner leur accord pour le traitement de leurs données à caractère personnel, ou pouvoir simplement s’y opposer.
La charge de la preuve du consentement incombe au responsable de traitement. La matérialisation de ce consentement doit désormais être matérialisée et non ambigüe.
Le droit à la portabilité des données
Ce nouveau droit permet à une personne de récupérer les données qu’elle a fournies sous une forme aisément réutilisable, et, le cas échéant, de les transférer ensuite à un tiers. Il s’agit ici de redonner aux personnes la maîtrise de leurs données, et de compenser en partie l’asymétrie entre le responsable de traitement et la personne concernée.
Des conditions particulières pour le traitement des données des enfants
Pour la première fois, la législation européenne comporte des dispositions spécifiques pour les mineurs de moins de 16 ans. L’information sur les traitements de données les concernant doit être rédigée en des termes clairs et simples, que l’enfant peut aisément comprendre. Le consentement doit être recueilli auprès du titulaire de l’autorité parentale. Les États membres peuvent abaisser cet âge par la loi, sans toutefois qu’il puisse être inférieur à 13 ans. Devenu adulte, le consentement donné sur un traitement doit pouvoir être retiré et les données effacées.
Introduction du principe des actions collectives
Tout comme pour la législation relative à la protection des consommateurs, les associations actives dans le domaine de la protection des droits et libertés des personnes en matière de protection des données auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
Un droit à réparation des dommages matériel ou moral
Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du règlement a le droit d’obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi.
Une conformité basée sur la transparence et la responsabilisation
Alors que la directive de 1995 reposait en grande partie sur la notion de « formalités préalables » (déclaration, autorisations), le règlement européen repose sur une logique de conformité, dont les acteurs sont responsables, sous le contrôle et avec l’accompagnement du régulateur.
Une nouvelle clé de lecture : la protection des données dès la conception et par défaut (privacy by design)
Les responsables de traitements devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires au respect de la protection des données personnelles, à la fois dès la conception du produit ou du service et par défaut. Concrètement, ils devront veiller à limiter la quantité de données traitée dès le départ (principe dit de « minimisation »).
Un allègement des formalités administratives et une responsabilisation des acteurs (accountability)
Afin d’assurer une protection optimale des données personnelles qu’ils traitent de manière continue, les responsables de traitements et les sous-traitants devront mettre en place des mesures de protection des données appropriées et démontrer cette conformité à tout moment.
Suppression de nombreuses obligations déclaratives
La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives dès lors que les traitements ne constituent pas un risque pour la vie privée des personnes.
Quant aux traitements soumis actuellement à autorisation, le régime d’autorisation pourra être maintenu par le droit national (par exemple en matière de santé) ou sera remplacé par une nouvelle procédure centrée sur l’étude d’impact sur la vie privée.
Mise en place de nouveaux outils de conformité
Désignation d’un DPO (qui remplacera le CIL actuel)
Délégué à la Protection des données (Data Protection Officer)
Le CIL actuel n’est en aucun cas le représentant de la CNIL, mais en est, au sein de l’entreprise, le correspondant. Avec le nouveau règlement, il en devient le délégué, ce qui étend lourdement son champ de responsabilité.
Les responsables de traitement et les sous-traitants devront obligatoirement désigner un délégué :
- s’ils appartiennent au secteur public,
- si leurs activités principales les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle,
- si leurs activités principales les amènent à traiter (toujours à grande échelle) des données dites « sensibles » ou relatives à des condamnations.
En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien sûr possible.
Ces dispositions sont fortement recommandées surtout qaund l’entreprise traite des données « sensibles », notamment dans le cadre des interventions des entreprises de services à la personne, auprès de leurs bénéficiaires. (enfants, personnes âgées, personnes vulnérables ou dépendantes, etc.)
Les responsables de traitement peuvent opter pour un délégué à la protection des données mutualisé ou externe. Le délégué devient le véritable « chef d’orchestre » de la conformité en matière de protection des données au sein de son organisme. Il est ainsi chargé notamment :
- d’informer et de conseiller le responsable de traitement ou le sous-traitant, ainsi que ses employés ;
- de contrôler le respect du règlement européen et du droit national en matière de protection des données ;
- de conseiller l’organisme sur la réalisation d’une analyse d’impact (PIA) et d’en vérifier l’exécution ;
- de coopérer avec l’autorité de contrôle et d’être le point de contact de celle-ci.
Les « études d’impact sur la vie privée » (EIVP ou PIA)
Pour tous les traitements à risque, le responsable de traitement devra conduire une étude d’impact complète, faisant apparaître les caractéristiques du traitement, les risques et les mesures adoptées.
Concrètement, il s’agit notamment des traitements de données sensibles (données qui révèlent l’origine raciale ou ethnique, les opinions politiques, philosophiques ou religieuses, l’appartenance syndicale, les données concernant la santé, l’orientation sexuelle, mais aussi, fait nouveau, les données génétiques ou biométriques), et de traitements reposant sur « l’évaluation systématique et approfondie d’aspects personnels des personnes physiques », c’est-à-dire notamment de profilage.
Par exemple, un traitement de recrutement ciblé de salariés dans le cadre des intervenants à domicile peut conduire à traiter de telles données.
Si l’organisme ne parvient pas à réduire ce risque élevé par des mesures appropriées, il devra consulter l’autorité de protection des données avant de mettre en œuvre ce traitement. Les « CNIL » pourront s’opposer au traitement à la lumière de ses caractéristiques et conséquences.
Obligation de notification des violations de données personnelles auprès des tiers
Déclaration obligatoire : lorsqu’il constate une violation de données à caractère personnel, le responsable de traitement doit notifier à l’autorité de protection des données la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne.
Obligation de sécurité du système d’information pour tous les responsables de traitements
Les données personnelles doivent être désormais traitées de manière à garantir une sécurité et une confidentialité appropriées.
Les responsables de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas de méconnaissance des dispositions du règlement. Les autorités de protection peuvent notamment :
Des nouvelles sanctions encadrées, graduées et renforcées
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ou de l’organisme ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;
- Ordonner la rectification, la limitation ou l’effacement des données ;
- Rendre publiques de telles décisions ;
S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial de l’entreprise, à 10 ou 20 millions d’euros pour les autres organismes.
Ce montant doit être rapporté au fait que, pour les traitements transnationaux, la sanction sera conjointement adoptée entre l’ensemble des autorités concernées, donc potentiellement pour le territoire de toute l’Union européenne.
Dans ce cas, une seule et même décision de sanction décidée par plusieurs autorités de protection sera infligée à l’entreprise.
Nouvelles obligations des sous-traitants
Le sous-traitant est tenu de respecter des obligations spécifiques en matière de sécurité, de confidentialité et en matière d’accountability.
Il a notamment une obligation de conseil auprès du responsables de traitement pour la conformité à certaines obligations sur règlement (PIA, failles, sécurité, destruction des données, contribution aux audits)
Il est tenu de maintenir un registre et de désigner un DPO dans les mêmes conditions qu’un responsable de traitement.