Trouvez votre solution

  1. 1

    Vous voulez...

  2. 2

    Dans quel but ?

  3. 3

    Pour quel objectif ?

recommencer
Témoignage : « Finsy est une solution simple de financement des factures »
Article précédent Témoignage : « Finsy est une solution simple de financement des factures »
Digitalisation des outils RH : enjeux, bénéfices et solutions
Article suivant Digitalisation des outils RH : enjeux, bénéfices et solutions

Protection des données : attention aux différents arbitrages européens !

03/07/2018

La "nouvelle loi Informatique et Libertés" a été publiée au JO du 21 juin 2018. Elle vise à mettre à jour l’ancienne loi de 1978 au regard du RGPD. Le législateur français a par ailleurs usé du droit offert à tous les pays de l’UE d’adapter certains points du règlement. Explications et implications.

RGPD : une marge de manœuvre laissée à chaque pays de l’UE

La nouvelle loi Informatique et Libertés française adoptée le 14 mai 2018

Pourquoi une nouvelle loi sur la protection des données alors que le RGPD (Règlement Européen sur la protection des données personnelles) ne nécessite pas une transposition en droit national pour être applicable ?

Si le RGPD impose un ensemble d’obligations et de règles à tous les pays de l’UE, il accorde néanmoins une marge de manœuvre sur certains points aux États membres et ce, afin de garantir la cohérence et de rendre les dispositions nationales compréhensibles pour les personnes auxquelles elles s'appliquent. Ainsi, plusieurs articles du RGPD prévoient que les États membres puissent adopter par la loi, dans les limites du règlement, des règles spécifiques. C’est, par exemple, le cas de l’article 121 qui stipule que « les conditions générales applicables au(x) membre(s) de l'autorité de contrôle devraient être fixées par la loi dans chaque État membre… »

Dans ce cadre, il appartient à chaque pays de se saisir - ou non - des différentes latitudes offertes par le règlement européen. C’est ce qu’a fait la France avec la loi sur la protection des données personnelles, publiée au Journal officiel du 21 juin 2018. Par ailleurs, la loi Informatique et Libertés, en vigueur depuis 1978, devait être révisée en liaison avec la nouvelle réglementation européenne. Le but est de faire en sorte qu’il n’y ait pas de contradiction entre le RGPD et la loi nationale.




La loi tricolore protège les résidents français

Les dispositions françaises issues de la nouvelle loi Informatique et Libertés s’appliquent du moment que la personne réside en France, même si le responsable de traitement n’est pas établi en France. En cas de divergence entre les législations entre États membres, c’est le critère de résidence qui prime.

Il faut donc en tenir compte si vous collectez des données personnelles dans les autres pays de l’UE. Par exemple : la loi allemande s’applique aux résidents outre-Rhin. Et ainsi de suite.Une exception toutefois : lorsque le traitement est effectué à des fins journalistiques, d'expression académique, artistique ou littéraire mettant en cause le droit à la liberté d'expression et d'information, c’est la législation du responsable du traitement qui prévaut.

" Les États peuvent adopter des règles spécifiques "
Les États peuvent adopter des règles spécifiques

Disparition des formalités déclaratives sauf cas particuliers

Ainsi, la nouvelle loi Informatique et Libertés supprime l’obligation de formalités préalables auprès de la Cnil (déclaration ou autorisation des traitements des données). En effet, le RGPD implique un changement de paradigme avec une auto-responsabilisation des acteurs. De fait, la vérification en amont de la conformité des traitements en vigueur en France n’avait plus lieu d’être. Les contrôles sont dorénavant a posteriori.

Il est donc nécessaire de documenter précisément et de manière exhaustive les moyens mis en œuvre par votre entreprise pour être en conformité avec la réglementation, et ce tout au long du cycle de vie des données : registre des traitements tenu à jour, études d’impact menées, personnes formées, procédures en cas de violation des données, collecte des consentements, etc.

Cette documentation est obligatoire afin de prouver votre conformité en cas de contrôle d’une autorité de contrôle (Cnil…).

Néanmoins, les formalités préalables restent d’actualité pour les traitements :

Ces régimes d’exception seront précisés par décret.

D’autres points de la loi restent à préciser par décret comme par exemple la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données en cas de risque pour sécurité ou défense nationale.




Vigilance si vous collectez les données personnelles de mineurs

L’âge de la majorité numérique correspond à l’âge minimum requis pour consentir au traitement de ses données personnelles sur Internet. En dessous de cet âge, le consentement des parents est nécessaire.

La majorité numérique est l’un des points laissés à la libre appréciation de chaque pays. Selon le RGPD, il doit être compris entre 13 et 16 ans. Il convient donc de vérifier et de se conformer aux dispositions de chaque pays européen où vous collectez des données personnelles de mineurs.

Par exemple, l’Allemagne (loi Bundesdatenschutzgesetz - BDSG) et l’Irlande (Irish Data protection Act 2018) ont opté pour la fourchette haute, à savoir 16 ans. L’Autriche (loi autrichienne DSG 2018) a, quant à elle, tranché pour 14 ans. En France, l’âge du consentement des mineurs est fixé à 15 ans.

Dans un souci d’accompagnement des mineurs dans leur apprentissage d’Internet, il est demandé aux responsables de traitements de les informer dans des termes clairs et simples, et aisément compréhensibles.




Cnil : plus de pouvoirs pour contrôler les entreprises

Le texte français renforce les prérogatives de l’autorité de contrôle nationale. Ainsi les agents de la Cnil peuvent accéder aux programmes informatiques et aux données ainsi qu’en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle. Le secret ne peut leur être opposé sauf concernant les informations couvertes par le secret professionnel (avocats), par le secret des sources des traitements journalistiques ou par le secret médical.

Dorénavant, les agents de la Cnil peuvent réaliser toute opération en ligne nécessaire à leur mission sous une identité d’emprunt. Un décret viendra préciser les conditions dans lesquelles se dérouleront ces contrôles.

La Cnil peut également mener des opérations conjointes avec les autorités de contrôle des autres pays européens, qui peuvent aussi se prêter assistance mutuelle. Les modalités de coopération de la Cnil avec ses homologues européennes sont précisées dans l’article 6 de la nouvelle loi.



Les sanctions restent quasi inchangées

Si le montant des amendes administratives (de 2 à 4% du chiffre d’affaires mondial) est imposé par le RGPD, le régime des autres sanctions applicables en cas de violation du règlement sont propres à chaque pays.

En France, la Cnil peut ainsi par exemple prononcer une injonction de se mettre en conformité assortie d’une astreinte de 100 000 € maximum par jour de retard à compter de la date fixée par la formation restreinte (contentieuse) de la Cnil.

En revanche, les sanctions pénales prévues en France n’ont pas changé : articles 226-16 à 226-24 du Code pénal pour les délits et articles R625-10 à R625-13 du Code pénal pour les contraventions. Les manquements aux règles en matière de protection des données restent punis de cinq ans d'emprisonnement et de 300 000 € d'amende. Par ailleurs, le fait d’entraver l’action de la Cnil est puni d’un an d’emprisonnement et de 15 000 € d’amende. Enfin, l’absence d’information des personnes concernées, par exemple concernant leurs droits d’opposition, d’interrogation, d’accès et de rectification, est sanctionné par 1 500 € d’amende par infraction.




Une action de groupe pour obtenir la réparation des préjudices

En France, depuis 2016, les personnes victimes d’un même dommage peuvent mener des actions collectives devant la justice en cas de violation de leurs données personnelles. Au mieux, elles pouvaient obtenir la cessation du manquement (exemple : colmatage d’une faille de sécurité). Dorénavant, avec la nouvelle loi Informatique et Libertés, elles peuvent, en sus, espérer obtenir la réparation de leurs préjudices matériels et moraux.

Des plaintes collectives commencent déjà à voir le jour… L’association française La Quadrature du Net a déposé, lundi 28 mai, jour d’entrée en application du RGPD, cinq plaintes collectives (représentant 12 000 personnes !) contre Facebook, Google, Apple, Amazon et LinkedIn, afin d’exiger un consentement libre et éclairé des usagers.

Quatre organisations de défense de consommateurs de Belgique, d’Italie, du Portugal et d’Espagne ont également introduit une action collective, dans leur pays respectif, contre Facebook pour avoir exploité illégalement les données personnelles de ses usagers.

Nous vous recommandons également
Article
Protéger et sécuriser vos données, mode d’emploi

Le piratage informatique est loin d’être la seule cause de perte de données. Des salariés aux concurrents, en passant par la défaillance matérielle, de nombreuses menaces planent sur vos données. Voici quelques précautions pour minimiser les risques.

Article
Comment éviter les cyberattaques ?

Les cyberattaques par malware sont en forte augmentation en France. Vigilance et bons réflexes sont indispensables pour éviter de vous faire escroquer !

Article
Projet IT : facteurs d’échec et bonnes pratiques

Un système d’information est un levier hautement stratégique pour la compétitivité des entreprises. Pourtant, de nombreux projets sont en difficulté ou échouent par manque de préparation et d’implication. Voici quelques clés pour une transformation réussie.