Toute l’actualité Lyon Entreprises

Traitements de données personnelles : les points clés de la réforme européenne annoncée

Après de longs débats sur l’opportunité de réformer la législation européenne sur les données personnelles (constituée principalement par la directive 95/46/CE du 24 octobre 1995), la Commission européenne a proposé en janvier 2012 deux textes, qui font désormais l’objet de discussions au Parlement européen. Il s’agit d’un règlement réformant en profondeur le droit applicable aux traitements de données personnelles, et d’une directive relative aux traitements de données en matière pénale.

La réforme du traitements des données personnelles est attendue.

En effet, les règles applicables en matière de données personnelles varient sensiblement d’un pays à l’autre, non seulement au niveau des lois applicables mais aussi dans le corpus de règles établies par les autorités de protection des données (en France, la Commission nationale de l’informatique et des libertés). Le respect de ces règles peut s’avérer un véritable un parcours d’obstacles pour les groupes implantés dans différents pays de l’Union européenne.

Bien entendu, l’objectif premier consiste à harmoniser la législation applicable à travers un texte unique, un règlement européen, qui, par nature, est d’application directe dans la législation nationale, contrairement à une directive, laquelle nécessite une loi de transposition.

Les points clés du règlement européen sur les données personnelles en discussion :

1) Les entités procédant à des traitements de données personnelles seront soumis à davantage d’obligations et de responsabilités, en contrepartie de l’allégement des formalités administratives.

La Commission part du constat que les formalités déclaratives représentent un coût important (de l’ordre de 2,3 milliards d’euros par an), sans pour autant que leur utilité ne soit démontrée, et qu’il serait préférable et probablement plus efficace d’imposer plus d’obligations aux responsables de traitements afin qu’ils assument pleinement leurs responsabilités et documentent mieux leurs dossiers (principe d’ « accountability »). Ainsi, les failles de sécurité devront faire l’objet d’une notification à l’autorité de contrôle nationale (en France, seuls les opérateurs de communication électronique sont actuellement soumis à cette obligation).

2) Dans le même ordre d’idée, les responsables de traitements devraient être tenus de désigner un correspondant à la protection des données (« CPD »), au-delà d’un seuil de 250 salariés ou lorsque l’entité procède à des traitements de données à risques.

Ce point fait encore l’objet de discussions, tant il semble difficile, d’une part d’imposer aux PME et ETI la charge de désigner un CPD et d’autre part, de définir précisément ce que l’on entend par traitements de données à risques.

3) La mise en place d’un système de « guichet unique ».

Actuellement, les groupes établis dans plusieurs pays de l’Union européenne ont pour interlocuteurs les différentes autorités de protection des données (la CNIL et ses homologues). Demain, les entreprises et organisations ne devraient avoir qu’un seul interlocuteur, celui dans le pays de l’Union européenne où elles ont leur établissement principal. En outre, la coopération entre les autorités nationales de protection des données devrait être renforcée.

4) L’introduction d’un « droit à l’oubli numérique » au profit des personnes dont les données font l’objet de traitements diffusés sur des services de communication au public en ligne.

5) Enfin, les sanctions administratives (amendes) applicables devraient être augmentées, pour atteindre jusqu’à un million d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise concernée.

Extrait de la lettre d’Information FIDAL n°73 Avril 2013
PROPRIETE INTELLECTUELLE – TECHNOLOGIES DE L’INFORMATION