Votre panier

Panier vide

Ce règlement, s’il reste fidèle aux principes fondateurs de la protection des données en Europe, modifie profondément les obligations pesant sur les organismes, publics ou privés, qui traitent des données. Ceux-ci doivent donc s’adapter avant le 25 mai 2018, date d’entrée en application de ce nouveau cadre.

Denoyes Stephan 2017 fmt
Stéphan Denoyes, avocat associé
aux barreaux de Paris et de Lyon.

 

 

Le règlement traduit un renforcement des droits des personnes à l’ère numérique. Il conforte la place de l’individu au cœur du système juridique, technique et éthique de la protection des données en Europe, et lui offre de nouveaux droits ou garanties :
- l’expression du consentement est renforcée, de même que l’information ;
- la protection des enfants est renforcée, le consentement des parents étant nécessaire dans de nombreux cas ;
- les personnes peuvent récupérer leurs données sous un format aisément réutilisable : c’est le droit à la portabilité des données.
 
Le nouveau cadre applicable repose sur une logique de responsabilisation des organismes qui traitent des données, qu’ils soient responsables de traitements - donneurs d’ordre - ou sous-traitants. Cette notion de responsabilisation (accountability) se traduit tout d’abord par l’affirmation du principe selon lequel la protection des données doit intervenir dès la conception du service ou du produit, et par défaut (souvent connu sous leur nom anglais de "privacy by design et by default").
 
Les entités qui traitent des données devront ainsi :
- se doter, le plus souvent, d’un délégué à la protection des données, véritable chef d’orchestre de la conformité en interne, qui exercera une mission de conseil et de contrôle interne en la matière. Les administrations devront obligatoirement en désigner un ; de très nombreuses entreprises également.
- tenir un registre des traitements mis en œuvre avec une documentation complète, facilitant ainsi l’information des personnes et l’éventuel contrôle par la CNIL ;
- mener des Études d’Impact sur la Vie Privée (EIVP) pour les traitements à risque, sous le contrôle du régulateur ;
- notifier les failles de sécurité à la CNIL et, le cas échéant, aux personnes concernées.

La prise en compte de la réglementation "Informatique et Libertés" constitue un incontournable pour tout professionnel souhaitant ménager sa responsabilité. En effet, la réforme du 6 août 2004 a eu pour conséquence d’augmenter le risque de non-conformité lié à cette réglementation :
- risque pénal qui pèse sur le responsable du traitement, jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende ;
- risque de sanction administrative prononcée directement par la CNIL, à la faveur des nouveaux pouvoirs de contrôle et de sanction qu’elle tient de la réforme du 6 août 2004 (pouvoirs de mettre en demeure, d’enjoindre de cesser la mise en œuvre d’un traitement, de prononcer une sanction pécuniaire ou un avertissement). Depuis 2004, la CNIL s’est engagée dans une politique sévère de contrôle et de sanction à l’égard des entreprises, mais également des organismes publics (V. par ex. CNIL, Délib. de la formation restreinte n° 2013-420, 3 janv. 2014 prononçant une sanction pécuniaire à l’encontre de la société Google Inc. - CNIL, Délib. de la formation restreinte n° 2013-173, 19 juin 2013 concernant BNP Paribas) ;
- risque d’image et de notoriété, lorsque, par exemple, des clients découvrent dans la presse ou par le biais des actions de communication de la CNIL qu’un responsable de traitement n’a pas respecté certaines règles relatives à la confidentialité ou au respect de la vie privée.

Concernant le nouveau règlement, en cas de manquement, les citoyens pourront requérir un droit à réparation et/ou d’engager une responsabilité. Ainsi, des sanctions administratives pouvant aller jusque 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pourront être appliquées.

Stéphan Denoyes
Avocat associé aux barreaux de Paris et de Lyon

Résonance n°129 - Avril 2017

Instances fédérales nationales et internationales :

CPFM - Confédération des Professionnels du Funéraire et de la Marbrerie FFPF - Fédération Française des Pompes Funèbres UPPFP - Union du Pôle Funéraire Public CSNAF - Chambre Syndicale Nationale de l'Art Funéraire UGCF - Union des Gestionnaires de Crématoriums Français FFC - Fédération Française de Crémation EFFS - European Federation or Funeral Services FIAT-IFTA - Fédération Internationale des Associations de Thanatoloques - International Federation of Thanatologists Associations