3 objectifs essentiels poursuivis par l’Europe
Elle compte poursuivre 3 objectifs qui concernent les entreprises :
– renforcer le droit des personnes,
– encadrer les acteurs traitant les données,
– réguler les traitements de données par les entreprises en renforçant la coopération entre les autorités de protection.
Mais qu’entend-on par données ? Il s’agit de la collecte, de l’enregistrement, du stockage, de la recherche, de la transmission, du blocage ou de l’effacement de données gérées par des personnes morales, en provenance de personnes physiques.
Obligations et simplification pour les entreprises
Pour les entreprises, ces nouvelles dispositions s’accompagneront d’une simplification des formalités, et aussi de la possibilité de s’adresser à un interlocuteur unique pour toutes les autorités de protection des données européennes. Afin de se conformer aux obligations, elles disposeront d’une boîte à outils (ex : code de conduite, certification). Ces outils pourront être modulés en fonction du risque sur les droits et libertés des personnes. (comme la tenue d’un registre, la consultation des autorités de protection, la notification des failles de sécurité).
Quelles entreprises sont concernées par le RGPD
Le Règlement concerne toutes les entreprises qui traitent des données personnelles pour le compte de particuliers, dans le cadre d’un service ou d’une prestation. Une plus grande vigilance sera aussi exercée sur :
– les prestataires de services informatiques,
– les intégrateurs de logiciels,
– les sociétés de sécurité informatique,
– les entreprises de service du numérique ou anciennement sociétés de services et d’ingénierie en informatique (SSII) qui ont accès aux données,
– les agences de marketing ou de communication qui traitent des données personnelles pour le compte de leurs clients
– les sous-traitants des structures citées précédemment.
Les risques que vous courez
Les entreprises concernées ne doivent pas négliger ce Règlement européen. Les utilisateurs doivent être informés de l’usage de leurs données et doivent en principe donner leur accord pour le traitement de leurs données, ou pouvoir s’y opposer. En cas de litige, la charge de la preuve du consentement incombera au responsable de traitement dans l’entreprise. Et la loi est claire sur ce point, la matérialisation de ce consentement doit être non ambigüe. En cas de violation des droits de la personne physique, l’entreprise responsable pourra encourir une sanction pouvant s’élever à 4% de son chiffre d’affaires mondial. Des sanctions pénales peuvent être prononcées allant jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende en cas de négligence ou non-respect des dispositions légales.
Les recours ne seront plus seulement individuels. Les associations actives dans le domaine de la protection des droits et libertés des personnes auront la possibilité d’introduire des recours collectifs en cas de manquement à la protection des données personnelles.
Enfin, un droit à réparation des dommages matériel ou moral a été introduit. Toute personne ayant subi un dommage matériel ou moral du fait d’une violation du Règlement aura le droit d’obtenir du responsable du traitement ou du sous-traitant, réparation du préjudice subi.
Un arbitre unique : la CNIL (la Commission Nationale Informatique et Libertés )
Citoyens et entreprises auront comme seul interlocuteur, l’autorité de protection des donnés de l’Etat membre où ils se trouvent. Pour la France, il s’agit de la Commission Nationale Informatique et Libertés (CNIL), cette dernière assurant la présidence jusqu’en 2018 du G29, organisation qui réunit l’ensemble des CNIL européennes. D’ici là, les entreprises peuvent se préparer et anticiper le Règlement sur www.cnil.fr.
Le G29 se compose d’un représentant de l’autorité de contrôle désignée par chaque État membre, d’un représentant de l’autorité mise en place pour les institutions et organes de l’UE, et d’un représentant de la Commission européenne. Le G29 est présidé par Isabelle Falque-Pierrotin, présidente de l’autorité française pour la protection des données.
La CNIL comprend 18 personnalités dont 4 parlementaires (2 députés et 2 sénateurs), 2 membres du Conseil économique, social et environnemental, 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers maîtres à la Cour des comptes), 5 personnalités qualifiées : 3 désignées par décret, 1 par le Président de l’Assemblée nationale et 1 par le Président du Sénat.
Isabelle Falque-Pierrotin, conseiller d’État, Présidente de la CNIL depuis septembre 2011,
Marie-France Mazars, doyen de la Cour de cassation honoraire, Vice-présidente déléguée de la CNIL,
Eric Peres, membre du Conseil économique, social et environnemental, Vice-président de la CNIL,
Lætitia Avia, député de Paris (8ème circonscription)
Jean-François Carrez, président de chambre honoraire à la Cour des Comptes, Dominique Castera, membre du Conseil économique, social et environnemental,
Marc Dandelot, conseiller d’Etat honoraire, Président de la CADA (commission d’accès aux documents administratifs),
Sylvie Robert, sénatrice d’Ille et vilaine,
Joëlle Farchy, professeure de sciences de l’information et de la communication à l’Université Paris I et chercheure au Centre d’économie de la Sorbonne,
Philippe Gosselin, député de la Manche,
Loïc Hervé, sénateur de la Haute-Savoie
Philippe Lemoine, président du Forum d’Action Modernités et Président de la Fondation internet nouvelle génération
Alexandre Linden, conseiller honoraire à la Cour de cassation,
Marie-Hélène Mitjavile, conseiller d’Etat,
François Pellegrini, professeur des universités à l’université de Bordeaux
Valérie Peugeot, chercheuse au sein d’Orange Labs et Présidente de l’association Vecam
Maurice Ronai, chercheur à l’École des Hautes Études en Sciences Sociales (EHESS),
Jean-Luc Vivet, conseiller maître à la Cour des comptes