Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CNIL : Les enjeux pour 2016 (1), assurer la mise en œuvre du règlement européen

avril 2016 par CNIL

La fin de l’année 2015 marque un tournant majeur dans la protection des données, avec l’adoption du règlement européen en décembre. Il devrait être voté avant l’été 2016 et être applicable au premier semestre 2018.

L’adoption du règlement européen sur la protection des données personnelles en décembre 2015 constitue l’aboutissement de quatre années de travail et de négociations intenses et marque un tournant majeur dans la régulation des données personnelles. En effet, il s’agit de passer d’un cadre national à un cadre prioritairement européen. Il faudra donc que la CNIL intègre, dans l’ensemble de son fonctionnement, la dimension européenne de la régulation.

Cette adoption signifie aussi le début d’un compte à rebours qui va durer deux ans, jusqu’à la mise en œuvre effective du règlement en 2018. La CNIL devra adapter ses procédures, ses outils et le rôle de la formation plénière mais aussi suivre de près la refonte de la loi Informatique et Libertés qui s’appliquera encore pour les traitements des autorités publiques et pour certains traitements de santé.

L’exercice est complexe puisqu’il s’agit de changer complètement de logiciel tout en continuant d’ici à 2018 de veiller à la bonne application du cadre juridique actuel. Pour autant, cette période de transition constitue une opportunité pour la CNIL, afin de lui permettre de mettre à jour ses doctrines, ses pratiques, et ses outils.

Le texte tel qu’adopté en décembre prévoit, notamment :

Pour le citoyen, un renforcement des droits existants, notamment en lui permettant de disposer d’informations complémentaires sur le traitement de ses données mais également de les obtenir sous une forme claire, accessible et compréhensible. Le droit à l’oubli est conforté et un nouveau droit, le droit à la portabilité, est prévu, rendant ainsi plus effective la maîtrise de ses données par la personne. Les mineurs font également l’objet d’une protection particulière. Pour les entreprises, une simplification des formalités, la possibilité d’un interlocuteur unique pour toutes les autorités de protection des données européennes et d’une mise à disposition d’une boite à outils de conformité dont certains seront nouveaux (ex : code de conduite, certification). Ces outils pourront être modulés en fonction du risque sur les droits et libertés des personnes. (ex : tenue d’un registre, consultation des autorités de protection, notification des failles de sécurité). Pour les autorités de protection, une affirmation de leurs compétences dès lors qu’il existe un établissement sur le territoire de l’Union ou que leurs citoyens sont affectés par le traitement, mais également un renforcement de leurs pouvoirs, notamment répressifs avec la possibilité de prononcer des sanctions administratives pouvant aller jusqu’à 4% du chiffre d’affaire mondial de l’entreprise concernée. Surtout, les « CNIL » européennes pourront désormais prononcer des décisions conjointes, aussi bien pour constater la conformité d’un organisme que pour prononcer une sanction. Cette intégration européenne renforcera ainsi la protection des personnes et la sécurité juridique pour les entreprises. Une nouvelle architecture de coopération entre les autorités de protection avec un nouvel organe européen : le Comité Européen de la Protection des Données (CEPD) en charge d’arbitrer les différends entre les autorités et également d’élaborer une doctrine « européenne ». Cette entité, qui prend la suite du G29, verra son indépendance renforcée et pourra rendre des avis contraignants, notamment dans le cadre de procédures de sanctions.


La Directive

L’année 2015 a aussi été marquée par l’aboutissement de la phase de négociations ou « trilogue » entre les trois institutions européennes (la Commission, le Parlement et le Conseil de l’UE) en décembre 2015 sur le texte de directive relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou d’exécution de sanctions pénales, et à la libre circulation de ces données.

La directive doit encore être formellement adoptée par les institutions européennes mais l’accord sur le texte intervient quasi-simultanément avec celui sur le projet de règlement sur la protection des données et répond à la demande des autorités de protection des données de traiter ces deux textes comme un « paquet ».




Voir les articles précédents

    

Voir les articles suivants