Exit
Le nouveau règlement général sur la protection des données de 2016 a fait l’objet, le 9 mars dernier, d’une matinée d’échanges organisée par BMI SYSTEM, DP Conformity et Advanced QA. L’occasion de présenter les grands principes du règlement et les nouvelles obligations des laboratoires.

Pourquoi un nouveau cadre juridique ? Quels enjeux ?

En France, la réglementation relative à la protection des données fait référence à deux règlementations, l’une française (loi Informatique et Libertés), l’autre européenne. Pourquoi une mise à jour au niveau européen ? Pour deux raisons majeures : d’une part, parce que la directive de 1995 était transposée diversement par les états membres, d’autre part, en raison des évolutions technologiques et sociétales majeures. Plus précisément, une harmonisation de la réglementation s’avérait nécessaire pour une meilleure sécurité juridique. En outre, un niveau élevé de protection des citoyens européens s’imposait pour répondre aux enjeux de l’ère numérique d’aujourd’hui.

Après quatre ans de débats, ce nouveau règlement a été adopté par la Commission, le Parlement et le Conseil de l’Union européenne en 2016. Le texte, dense (173 considérants, 99 articles, 88 pages), comprend 50 renvois vers des dispositions nationales. La France conserve ainsi, en plus, sa loi Informatique et Libertés. Si le nouveau règlement est applicable à partir de mai 2018, la Commission nationale de l’informatique et des libertés (CNIL) considère qu’il est déjà en vigueur et impose, dès maintenant, d’appliquer ses principes.

L’exemple et le rappel qui suivent soulignent, d’une part, les enjeux de la protection des données, d’autre part, l’importance du nouveau règlement – qui apporte un cadre en la matière – et de son strict suivi.

  • Les très nombreux partenaires publicitaires de Yahoo (plus de 400) combinés aux données traitées par Facebook, donnent une idée de l’ampleur des traitements de données qui existent aujourd’hui, dans tous les secteurs, que l’on soit ou non connecté.
  • Les obligations CNIL relatives à la protection des données concernent les individus personnellement, en tant que salarié mais aussi en tant que citoyen, consommateur, parent, etc. Ce rappel est un levier pour convaincre les collaborateurs, au sein des entreprises, de l’intérêt de se mettre en conformité et de suivre la réglementation.

Les grands principes du règlement européen

  • L’application extraterritoriale du règlement est élargie : une entreprise est soumise au règlement européen quand elle est établie dans l’Union européenne mais également quand elle offre des services et des biens en Europe ou quand elle suit le comportement des citoyens de l’Union européenne. Exemple, dans le cadre de la recherche, un laboratoire pharmaceutique qui est basé aux Etats-Unis et responsable de traitement (RT) est soumis à chaque loi nationale dans l’Union européenne.
  • En matière de fondement juridique imposé pour traiter les données, la notion de consentement est fortement renforcée. Ainsi, lorsque le fondement juridique est le consentement de la personne, les obligations sont plus strictes : démarche volontaire active de la personne, obligation de prouver le consentement, mise en place d’une traçabilité et conservation du consentement.
  • La donnée de santé fait l’objet d’une large définition. Par ailleurs, une disposition du règlement renvoie vers les lois nationales : il est prévu que les Etats membres aient la possibilité de maintenir ou d’introduire des conditions supplémentaires pour les données de santé.
  • Les principes de base de traitement des données de la loi Informatique et Libertés (I&L) sont repris, avec en plus une obligation de transparence. Ainsi, pour qu’un traitement soit considéré comme conforme, il faut une transparence absolue vis-à-vis des personnes concernées. De plus, les données doivent être limitées à la finalité (question à se poser continuellement : « cette donnée est-elle absolument nécessaire pour faire correctement mon travail ? »).
  • La sécurité et la confidentialité des données, qui sont des obligations dans la loi I&L, deviennent des principes fondateurs.
  • Le RT est responsable du respect de ces principes et il doit être en mesure de le démontrer.
  • Aux obligations de respect des instructions et de sécurité du sous-traitant (ST), le règlement ajoute de nombreuses nouvelles obligations, avec une répartition des responsabilités.
  • La désignation d’un délégué à la protection des données (correspondant I&L) devient obligatoire dans certains cas (suivi régulier et systématique à grande échelle, traitement à grande échelle de catégories particulières de données sensibles). Ce principe concerne, par exemple, les entreprises qui traitent de données de pharmacovigilance ou qui sont promoteurs de recherches. Le délégué sera soumis au secret professionnel, rattaché au plus haut niveau de la direction, avec une mission supplémentaire de contrôle de la conformité.
Events Data Privacy Paris 2017

Présentation par Laurent CLERC, Compliance & Transparency Expert chez BMI SYSTEM.

Quelles obligations pour les responsables du traitement ?

  • Principe de responsabilité du règlement : obligation d’être conforme au règlement en matière de traitement et d’être en mesure de prouver cette conformité.
  • Protection des données dès la conception : obligation de mettre en place les mesures techniques et organisationnelles appropriées, dès la conception et pendant toute la durée du traitement (et donc à chaque mise à jour du traitement ou de la règlementation). Ce qui signifie mettre en œuvre les principes de protection des données de façon effective, avec les garanties nécessaires afin de répondre aux exigences du règlement et de protéger les droits de la personne concernée.
  • Protection des données par défaut : traitement des données par défaut à chaque moment, de la conception du traitement jusqu’à la suppression des données. Ce qui signifie minimiser le plus possible la quantité de données collectées, l’étendue du traitement, la durée de conservation et l’accessibilité des données.
  • Sécurité des données : érigée en principe de base, la sécurité reste une obligation à part entière. La mise en place des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité et de confidentialité adapté au risque (le risque pour la vie privée des personnes doit être identifié par rapport à sa gravité), est donc obligatoire. A noter que la documentation est ici essentielle (pour pouvoir expliquer le choix de telle mesure, etc. à la personne concernée ou en cas de contrôle).
  • Notification des violations de données à caractère personnel, à la CNIL et à la personne concernée dans certains cas, dans un délai de 72h : obligation de transmettre un certain nombre d’informations tels que l’impact pour les personnes, les raisons de la violation, les mesures mises en place, etc.
  • Relations avec les ST : obligation d’avoir une clause de sous-traitance avec les ST de données à caractère personnel (la clause indique, entre autres, que les ST mettent en place les mesures de sécurité appropriées).

Quid des droits des personnes ?

  • Le règlement fait apparaître de nouveaux droits comme le droit à la limitation du traitement (lorsqu’une personne a exercé son droit d’accès et constate des erreurs par exemple, le traitement est limité, « gelé », le temps de faire les vérifications nécessaires). Concernant le droit à l’information, de nouveaux éléments doivent être transmis aux personnes concernées (base juridique du traitement, intérêt légitime…).
  • Les personnes ont, par ailleurs, le droit d’introduire une réclamation auprès d’une autorité de contrôle, un droit de recours effectif contre une autorité de contrôle, contre un RT ou un ST, le droit d’obtenir réparation du préjudice subi. Il y a donc à la fois un renforcement des obligations des RT et une augmentation des droits des personnes.

Quels pouvoirs pour les autorités ?

On passe d’un régime de formalités préalables à un régime de mise en conformité, plus efficient. Il s’agit en fait d’un transfert de responsabilités.

Piliers de ce nouveau régime : le registre des activités de traitement (recensement en interne de tous les traitements existants) et la conduite d’analyses d’impacts.

En conclusion : la CNIL va, a priori, recevoir moins de formalités mais cela va lui dégager du temps pour contrôler a postériori ; elle sera donc plus près des traitements, plus proche du terrain, plus efficiente.

Claire GREVOT, Pigiste indépendante

Close
Go top