Le projet de loi a été adopté à l’Assemblée nationale. Il vise à se mettre en conformité avec le « paquet européen de protection des données », en vigueur à partir du 25 mai 2018. L’esprit du texte : fournir davantage de transparence et de contrôle pour les internautes européens sur l’utilisation de leurs données personnelles.
Table des matières
La réforme de la protection des données poursuit trois objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Quel Impact sur les entreprises ?
Le renforcement des mesures de droit souple que peut prendre la Commission nationale de l’informatique et des libertés est destiné à garantir une meilleure application du droit de la protection des données à caractère personnel et d’offrir aux responsables de traitement, en particulier pour les PME, un cadre juridique sécurisé.
En effet, les représentants des acteurs du numérique (associations, entreprises) ont indiqué que ne pas se sentir encore prêts pour l’application du règlement et des nouvelles obligations qui leur incomberont. L’action combinée du Gouvernement et de la CNIL devra donc leur permettre de comprendre leurs droits et de mettre en œuvre les obligations prévues par les textes européens.
A cet égard, l’article 40 du règlement prévoit que : « Les États membres, les autorités de contrôle, le comité et la Commission encouragent l’élaboration de codes de conduite destinés à contribuer à la bonne application du présent règlement, compte tenu de la spécificité des différents secteurs de traitement et des besoins spécifiques des micro, petites et moyennes entreprises ». De même, en matière de certification, l’article 42 précise que : « Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération. ».
La certification ne diminue pas la responsabilité du responsable de traitement (article 42(4) du règlement). Elle a cependant un impact à l’égard des personnes concernées et du public : les responsables de traitements ou les sous-traitants peuvent voir leur image valorisée. La certification aura un impact différent selon l’organisme concerné. Elle permet toutefois de s’assurer que le niveau de protection des données apporté est plus important, rassurant ainsi sur le risque encouru. A titre d’exemple, dans une étude réalisée en 2016, certains organismes décrivent la norme ISO 27001 (Management de la Sécurité de l’Information) comme ayant permis selon eux d’améliorer la sécurité de leur organisme, leur information en la matière, de gagner un avantage compétitif, d’assurer une conformité légale voire même d’obtenir de nouveaux contrats.
Concrètement, de quoi s’agit-il ?
Pour les entreprises qui traitent des données, le nouveau cadre bouleversera leur façon de travailler. Le texte prévoit en particulier la réduction des formalités préalables pour la mise en œuvre des traitements des données, avec le passage d’un système de contrôle a priori de la Cnil (obligation de déclarer), à un contrôle a posteriori plus adapté aux évolutions technologiques. En contrepartie, la Cnil voit ses pouvoirs de contrôle et de sanctions renforcés avec la possibilité d’infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’organisme concerné. De plus, chaque entreprise devra se doter d’un délégué aux données personnelles. Si cela ne posera pas de problème pour les grandes entreprises, il en ira autrement pour les TPE-PME, voire les collectivités.
La Cnil, qui a prévu de publier une série de documents appelée «Pack PME-TPE», devrait se montrer indulgente pour faciliter et accompagner les PME.