Le nouveau règlement européen sur la protection des données à caractère personnel : ce qui change

Ledit règlement devrait être adopté en juillet 2016 et entrer en vigueur deux ans après soit juillet 2018, et sera applicable directement dans l’Union européenne, sans transposition.
Le règlement entrainera des modifications substantielles en droit interne, prévaudra sur toute disposition contraire de la loi 78-17 de 1978 dite « loi Informatique et libertés », et se substituera à la directive 95/46/CE.
 
Redéfinition de la notion de « données à caractère personnel » et apparition de nouveaux principes
Le règlement redéfini la notion de « donnée à caractère personnel ». Son entrée en vigueur intégrera de nouvelles obligations des responsables de traitements de certaines données, telles que celles relatives aux identifiants en ligne ou à la géolocalisation. Les informations relatives à l’identité physique, physiologique, génétique, mentale, économique, culturelle et sociale devront également être collectées dans le respect de la nouvelle norme européenne. 
Un nouveau principe de transparence est mis en place, qui dispose que le consentement des individus au traitement de leurs données devra être libre, spécifique, informé et non ambigu. En outre, lorsqu’une donnée sera considérée comme sensible, un consentement exprès sera requis auprès des individus concernés. Ce principe de transparence s’accompagne d’un principe de minimisation des données visant à limiter la collecte d’informations sur les particuliers.
Par ailleurs, le règlement entérinera le droit à l’oubli numérique, qui  permettra à toute personne d’obtenir l’effacement de certaines données la concernant ainsi que leur déréférencement.
 
Des études d’impact afin de sécuriser l’utilisation de données sensibles
La sécurité des données est un point mis en avant par le projet de règlement du 15 décembre 2015. Les responsables de traitements de données, ainsi que leurs sous-traitants, devront réaliser des études d’impact lorsque l’utilisation de nouvelles technologies présente un risque pour les droits et libertés des individus dont les données sont collectées. Des mesures devront être prises par ces responsables afin d’assurer un degré de sécurité suffisant.
 
La consultation préalable de la Cnil et le « guichet unique »
Certains transferts de données comportant des risques pour les droits et libertés des individus devront, selon le droit en vigueur en 2018, faire l’objet d’une consultation préalable auprès de la Commission nationale de l’informatique et des libertés (Cnil). En outre, une des modifications instaurée est relative au « guichet unique » qui sera mis en place. Le responsable des traitements de données établis dans différents pays pourra effectuer sa démarche auprès d’une seule autorité de contrôle, celle de l’Etat membre au sein duquel le responsable a son principal établissement.
 
Le nouveau montant des sanctions prononcées par la Cnil
Finalement, en 2018, les montants des sanctions prononcées par la Cnil augmenteront. Deux paliers sont prévus, le premier fixant une sanction à 10 millions d’euros ou à 2% du chiffre d’affaires mondial annuel, le second fixant une sanction à 20 millions d’euros ou à 4% du chiffre d’affaire annuel. Le premier palier sera par exemple relatif à l’obligation de tenir un registre, tandis que le second palier sanctionnera notamment la violation du principe de minimisation des données.
 
De nombreuses questions se profilent. Quelle est la marche à suivre ? Parmi ces nouvelles obligations, quel est le plan d’action à mener, quelles sont les priorités ?
Pour vous aider à intégrer les nouvelles mesures apportées par le règlement européen, Francis Lefebvre Formation vous propose un rendez-vous actualité spécifique : Réforme du droit de la protection des données personnelles (DW7015).
 
Voir aussi la formation : Protection des données personnelles : comment se conformer à la loi informatique et Libertés (DD2030).
 
Pour aller plus loin : Réforme de la réglementation européenne en matière de protection des données (site de la commission européenne)
http://ec.europa.eu/justice/data-protection/reform/index_fr.htm