Formations et audits Informatique et Libertés

Des professionnels en conformité Informatique et Libertés : formation, audit, formalités cnil, contrôle cnil et l’application Data Privacy Manager dédiée au CIL

Dictionnaire juridique

Données personnelles : renforcement de la règlementation européenne (partie 2)

Délégué à la protection des données - Tenue d’une documentation - Analyse d’impact - Privacy by design - Notification à la CNIL des violations de données à caractère personnel

Vous êtes ici : Accueil > Actualités

lundi 4 mars 2013

C’est en application de la directive européenne du 24 octobre 1995 [1], qui constitue le texte de référence en matière de protection des données à caractère personnel, que la loi « Informatique et Libertés » du 6 janvier 1978 a été profondément modifiée le 6 août 2004.

Or, cette directive sera remplacée par un règlement général sur la protection des données, dont le projet a été déposé le 25 janvier dernier au Parlement européen avec comme objectif son adoption en 2014.

Après avoir présenté les principales évolutions de ce futur cadre législatif européen au niveau du renforcement des droits des personnes concernées, nous nous consacrons dans cette deuxième partie aux nouvelles obligations incombant au responsable de traitement

Désignation d’un délégué à la protection des données

Le responsable du traitement et son sous-traitant [2] devront désignent systématiquement un délégué à la protection des données (Correspondant Informatique et Libertés) lorsque :

  • le traitement est effectué par une autorité ou un organisme publics ; ou
  • le traitement est effectué par une entreprise employant 250 personnes ou plus ; ou
  • les activités de base du responsable du traitement ou du sous-traitant consistent en des traitements qui, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

La tenue d’une documentation

Chaque responsable du traitement et chaque sous-traitant ainsi que, le cas échéant, le représentant du responsable du traitement, devront conserver une trace documentaire de tous les traitements effectués sous leur responsabilité.

Toutefois, la tenue de cette documentation ne s’appliquera pas aux responsables du traitement et aux sous-traitants relevant des catégories suivantes :

  • personnes physiques traitant des données à caractère personnel en l’absence de tout intérêt commercial ; ou
  • entreprises ou organismes comptant moins de 250 salariés traitant des données à caractère personnel uniquement dans le cadre d’une activité qui est accessoire à leur activité principale.

Une analyse d’impact relative à la protection des données

Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées du fait de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant agissant pour le compte du responsable du traitement devra effectuer une analyse de l’impact des traitements envisagés sur la protection des données à caractère personnel.

A titre d’exemple, cette analyse d’impact s’appliquera aux fichiers informatisés de grande ampleur concernant des enfants, le traitement de données génétiques ou biométriques, ou encore la vidéosurveillance.

Privacy by design

Dans le cadre de l’obligation de sécurité et de confidentialité, la proposition de règlement intègre le principe de « protection des données dès la conception » et de « protection des données par défaut ».

Ainsi, le responsable du traitement devra mettre en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement.

Notification à l’autorité de contrôle (CNIL) d’une violation de données à caractère personnel

Constitue une « violation de données à caractère personnel », toute violation de la sécurité entraînant de manière accidentelle ou illicite la destruction, la perte, l’altération, la divulgation ou la consultation non autorisées de données à caractère personnel transmises, conservées ou traitées d’une autre manière.

En cas de violation de données à caractère personnel, le responsable du traitement devra en adresser notification à l’autorité de contrôle sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Lorsqu’elle a lieu après ce délai de 24 heures, la notification comporte une justification à cet égard.

NB : Le sous-traitant devra alerter et informer le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel.

La notification de « violation de données à caractère personnel », devra, à tout le moins comprendre les éléments suivants :

  • décrire la nature de la violation de données à caractère personnel, y compris les catégories et le nombre de personnes concernées par la violation et les catégories et le nombre d’enregistrements de données concernés ;
  • communiquer l’identité et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
  • recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données à caractère personnel ;
  • décrire les conséquences de la violation de données à caractère personnel ;
  • décrire les mesures proposées ou prises par le responsable du traitement pour remédier à la violation de données à caractère personnel.

Enfin, ce renforcement global des obligations de sécurité et confidentialité des données traitées s’accompagnement également par un renforcement des clauses contractuelles éxigées en cas de sous-traitance.

En conclusion, cette réforme européenne imposera la mise en œuvre de procédures internes pour assurer les principes de protection : audit interne ou externe, registre, prise en compte de la protection des données dès la conception dans les produits et services des entreprises…).

[1Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281 du 23.11.1995, p. 31.

[2la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement.

Nos partenaires

Réalisation : Clic Story ®

Plan du site