De nouveaux cadres réglementaires 2016 est marquée par l’adoption de nouveaux cadres assurant une meilleure protection des données personnelles des citoyens européens : d’une part le Règlement et, d’autre part, l’accord « Privacy Shield », relatif au transfert des données personnelles vers les Etats-Unis.
Un nouveau Règlement sur la protection des données personnelles Après plusieurs années de débats, un accord informel est intervenu, le 15 décembre 2015, à l’issue de la Présidence luxembourgeoise du Conseil de l’Union européenne, sur un nouveau Règlement relatif à la protection des données personnelles. Entré en vigueur le 24 mai 2016, il sera d’application le 25 mai 2018. Parce qu’il s’agit d’un Règlement et non d’une directive, il s’appliquera directement de la même manière dans l’ensemble de l’Union européenne, offrant une réelle dimension au marché unique, et les mêmes droits et garanties à l’ensemble des citoyens.
Ce règlement instaure plusieurs grands principes : • la nécessité d’obtenir un consentement explicite (et non plus implicite) du citoyen pour tout usage déterminé de ses données ; • un accès plus facile pour chaque personne aux données à caractère personnel la concernant ; • le droit à la rectification, à l’effacement des données et à l’oubli ; • l’obligation de notification en cas de fuite de données ; • la collecte des données uniquement autorisée pour servir des « intérêts légitimes » de l’entreprise, dans le cadre de son activité principale ; • des exigences à l’égard de la gestion de la donnée par l’entreprise fondées sur les risques ; • une définition claire de ce qui relève de l’information sensible ; • la nécessité de désigner un délégué à la protection des données ; • un important pouvoir de sanction des Commissions Nationales de la Vie Privée ; • l’instauration de pénalités substantielles en cas d’infraction grave (jusqu’à 4% du chiffre d’affaires global du groupe auquel appartient la société en défaut) ; • la mise en place d’un guichet unique pour le territoire européen pour les questions et réclamations à l’égard des données personnelles ; • l’introduction du concept de « privacy by design » pour les processus de traitement de la donnée. Pour les acteurs économiques, la sécurité des données ne sera plus une option, mais une obligation dès la conception d’un processus de traitement de la donnée. Les acteurs, soumis au contrôle des régulateurs nationaux et leurs sous-traitants, solidairement responsables, devront documenter le traitement des données.
EBRC | DATA PROTECTION
8
