Règle globale de protection des données

(PIBR), ou règle globale de protection des données

Un cadre juridique unifié pour l’ensemble de l’UE

Il s’agit d’une réglementation européenne, ce qui signifie que, contrairement à une directive, elle est directement applicable dans toute l’Union sans nécessité de transposition dans les différents États membres. Le même texte s’appliquera donc dans l’ensemble de l’Union. Le règlement s’applique à partir du 25 mai 2018. Par conséquent, les traitements déjà mis en œuvre à cette date devront être alignés sur les dispositions du règlement.

Un champ d’application étendu

Les critères de ciblage

Le règlement s’applique tant que le contrôleur ou le sous-traitant est établi sur le territoire de l’Union européenne ou que le contrôleur ou le sous-traitant met en œuvre des traitements destinés à fournir des biens et des services aux résidents européens ou à les «cibler». En pratique, par conséquent, le droit européen s’appliquera chaque fois qu’un résident européen est directement visé par le traitement des données, y compris via Internet.

La responsabilité des sous-traitants

D’autre part, si la loi actuelle sur la protection des données concerne principalement les « gestionnaires de traitement », c’est-à-dire les organes qui déterminent les finalités et les modalités de traitement des données à caractère personnel, le règlement s’étend aux sous-traitants une grande partie des obligations imposées aux gestionnaires de traitement.

Un guichet unique 

Les entreprises seront en contact avec un « guichet unique », à savoir l’autorité de protection des données de l’État membre dans lequel se trouve leur « établissement principal ». Cet établissement est soit la place de leur siège central dans l’Union, soit l’établissement dans lequel les décisions sont prises sur les finalités et les modalités du traitement.  Les entreprises bénéficieront ainsi d’un seul interlocuteur pour l’Union européenne sur la protection des données à caractère personnel lors de la mise en œuvre du traitement transnational.

Coopération renforcée entre les autorités en matière de traitement transnational

Toutefois, étant donné que le traitement sera transnational, de sorte qu’il concerne les citoyens de plusieurs États européens, les autorités de protection des données des différents États concernés seront légalement compétentes pour assurer la conformité du traitement des données mis en œuvre.

Afin d’assurer une réponse unique pour l’ensemble du territoire de l’Union, l’autorité coopérera avec les autres autorités de protection des données concernées dans le cadre d’opérations conjointes. Les décisions seront adoptées conjointement par toutes les autorités concernées, notamment en matière de sanctions.

Les autorités nationales de protection sont convoquées au sein d’un Comité européen de protection des données (CEPD), qui assure l’application uniforme de la Loi sur la protection des données. Il est destiné à remplacer le courant G29.

Dans la pratique, l’autorité propose des mesures ou des décisions (constatant la conformité d’un traitement ou proposant une sanction). Les autorités européennes concernées par le traitement ont alors un délai de quatre semaines pour approuver cette décision ou, au contraire, soulever une objection. Si l’objection n’est pas suivie, la question est portée devant le CEPD qui émet alors une opinion. Cet avis est contraignant et doit donc être suivi par l’autorité.

Que le CEPD soit ou non saisi, l’autorité doit porter la décision ainsi partagée par ses homologues. Il y aura donc une décision commune, sous réserve de l’appel au juge des décisions de l’autorité.

Par exemple, dans le cas d’une société dont l’établissement principal est en France, la CNIL sera le guichet unique de cette entreprise et la notifiera des décisions adoptées dans le cadre de ce mécanisme de cohérence. Ses décisions seront alors, si elles sont défavorables, susceptibles d’appel au Conseil d’État.

Ce mécanisme permet aux autorités chargées de la protection des données de décider rapidement de la conformité d’un traitement ou d’une violation du règlement et garantit une sécurité juridique élevée aux entreprises en leur assurant une réponse unique sur l’ensemble du territoire de l’Union.

Sanctions

Les gestionnaires de traitement et les sous-traitants peuvent faire l’objet de sanctions administratives importantes en cas d’ignorance des règles.

Les autorités de protection peuvent notamment:

  • Prononcer un avertissement;
  • De mettre l’entreprise au repos;
  • Limiter temporairement ou définitivement le traitement
  • Suspendre les flux de données
  • L’ordre de se conformer aux demandes d’exercice des droits des personnes;
  • Ordonner la rectification, la limitation ou l’effacement des données.

Dans le cas de nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer l’attestation émise ou ordonner à l’organisme de certification de retirer la certification.

Dans le cas des amendes administratives, selon la catégorie de l’infraction, elles peuvent s’élèver à EUR 10 ou 20 millions, ou, pour une société, à 2% jusqu’à 4% du chiffre d’affaires annuel mondial, selon la valeur la plus élevée.

Ce montant doit être rapporté sur le fait que, pour le traitement transnational, la sanction sera adoptée conjointement entre toutes les autorités concernées, donc potentiellement pour le territoire de l’ensemble de l’Union européenne.

Dans ce cas, une seule décision de sanction, décidée par plusieurs autorités de protection, sera imposée à la société.

Conformité et responsabilisation

Bien que la directive 1995 soit largement fondée sur la notion de « formalités préalables » (déclaration, autorisations), la réglementation européenne repose sur une logique de conformité dont les acteurs sont responsables, sous le contrôle et avec la direction du régulateur.

Une clé de lecture:
Protection des données
De la conception et par défaut

Les responsables du traitement devront mettre en œuvre toutes les mesures techniques et organisationnelles nécessaires pour respecter la protection des données personnelles, tant de la conception du produit que du service et par défaut. Plus précisément, ils devront prendre soin de limiter la quantité de données traitées dès le départ.

Une réduction des formalités administratives
et la responsabilisation des acteurs

Afin d’assurer une protection optimale des données à caractère personnel qu’ils traitent de façon continue, les gestionnaires de traitement et les sous-traitants devront mettre en place des mesures appropriées de protection des données et démontrer cette conformité à tout moment.

La conséquence de cette responsabilisation des acteurs est la suppression des obligations déclaratives lorsque les salaires ne constituent pas un risque pour la vie privée des personnes. En ce qui concerne les traitements actuellement soumis à l’autorisation, le régime d’autorisation peut être maintenu par le droit national ou sera remplacé par une nouvelle procédure axée sur l’étude d’impact sur la vie privée.

Nouveaux outils de conformité:

  • Le maintien d’un dossier du traitement mis en œuvre
  • Notification des failles de sécurité (aux autorités et aux personnes concernées)
  • Certification des traitements
  • Respect des codes de conduite
  • Le PPO (agent de protection des données)
  • Études d’impact sur la vie privée (ÉFVP)

«études d’impact sur la vie privée» (ÉFVP ou ÉFVP)

Pour tous les traitements de risque, le contrôleur devra effectuer une étude d’impact complète, en montrant les caractéristiques du traitement, les risques et les mesures adoptées.  Il s’agit notamment du traitement de données sensibles (données qui révèlent l’origine raciale ou ethnique, opinions politiques, philosophiques ou religieuses, appartenance syndicale, données sur la santé ou orientation sexuelle, mais aussi nouvelles, génétiques ou biométriques), et traitements fondée sur « une évaluation systématique et approfondie des aspects personnels des personnes physiques », c’est-à-dire, en particulier, le profilage.

En cas de risque élevé, il devrait consulter l’autorité de protection des données avant d’appliquer ce traitement. La CNIL pourra s’opposer au traitement à la lumière de ses caractéristiques et de ses conséquences.

Une obligation de sécurité et une notification de violations de données personnelles pour tous les gestionnaires de traitement

Les données à caractère personnel doivent être traitées de manière à assurer une sécurité et une confidentialité appropriées.
Lorsqu’il constate une violation des données personnelles, le contrôleur doit notifier l’autorité de protection des données de la violation dans les 72 heures. L’information des personnes concernées est requise si cette violation est susceptible de créer un risque élevé pour les droits et les libertés d’une personne.

Agent de protection des données (Privacy Officer)

Les gestionnaires de traitement et les sous-traitants doivent désigner un délégué:

  • S’ils appartiennent au secteur public,
  • Alors que leurs principales activités les amènent à effectuer un suivi régulier et systématique des personnes à grande échelle,
  • Si leurs principales activités les amènent à traiter (toujours à grande échelle) avec des données dites «sensibles» ou en rapport avec les condamnations et les infractions pénales.

En dehors de ces cas, la désignation d’un délégué à la protection des données sera bien entendu possible.

Les gestionnaires de traitement peuvent opter pour un délégué de protection des données partagé ou externe.

Le délégué devient le véritable «chef d’orchestre» de la conformité de la protection des données au sein de son organisation. Il est ainsi chargé:

  • Informer et conseiller le contrôleur ou le sous-traitant, ainsi que ses employés;
  • Surveiller le respect du règlement européen et de la Loi nationale sur la protection des données;
  • Conseiller l’organisation sur la réalisation d’une évaluation d’impact (ÉFVP) et vérifier son rendement;
  • De coopérer avec l’autorité de surveillance et d’être le point de contact pour elle.

Entre-temps 2018, vous pouvez déjà désigner un « correspondant informatique et des libertés », qui vous donnera un temps à l’avance et vous permettra d’organiser les actions à effectuer.

Unifeyes garantit,
Conformément aux lignes directrices de la CNIL:

Formation
et accompagnement
du pilote de données

Pour contrôler la gouvernance des données personnelles de votre structure, selon la taille de votre entreprise, il est nécessaire de désigner un agent de protection des données (PPO). Unifeyes propose de former ce collaborateur, un véritable chef d’orchestre qui effectuera une mission d’information, de Conseil et de contrôle interne, et de l’accompagner quotidiennement dans la réalisation de sa mission.

Gestion des risques

La solution Unifeyes vous permet d’identifier le traitement des données personnelles qui peuvent entraîner des risques élevés pour les droits et les libertés. Le cas échéant, le système effectue, pour chacun de ces traitements, une évaluation de l’impact de la protection des données (ÉFVP) et vous fournit un rapport spécifique.

Cartographie
de vos traitements
de données personnelles

Dans la solution Unifeyes, votre traitement de données est mappé et vos données sont parfaitement sécurisées. Vous savez quand, comment, par quels moyens les données personnelles sont revenues et peuvent facilement faire le point sur votre conformité aux directives européennes. La solution Unifeyes est votre registre de traitement des données, comme demandé par le CIL.

Organisation
Processus internes

Afin d’assurer un niveau élevé de protection des données personnelles en tout temps, les procédures internes qui garantissent la prise en compte de la protection des données à tout moment sont mises en place au sein de votre forum dédié, en tenant compte de tous les événements qui peuvent se produire pendant la durée d’un traitement (p. ex. violation de la sécurité, gestion des demandes de rectification ou d’accès, modification des données collectées, changement de fournisseur).

Priorités
ACTIONS à mener

Avec le système BPM (gestion des processus d’affaires) intégré à la DRM Unifeyes, les actions à prendre pour se conformer aux obligations actuelles et futures sont clairement identifiés et offerts à vous en temps utile. Les priorités sont automatiquement définies et contrôlent les risques posés par vos traitements sur le respect des droits et libertés des personnes concernées.

Documentation
de conformité

Pour prouver votre conformité aux règlements, le système contient toute la documentation nécessaire. Les actions et les documents générés à chaque étape sont revus et actualisés régulièrement afin de garantir une protection continue des données