Étiquettes

, , , , , , , , , , , , , , ,

CNIL

Correspondant Informatique et Libertés (CIL)

Je vous invite à prendre connaissance des transformations organisationnelles et juridiques au sein des entreprises qu’implique la nouvelle réglementation européenne à propos de la protection des données personnelles.

Le texte définitif est prévu pour juin 2016 et un délai de transition de deux ans sera accordé aux entreprises.

Il ne s’agit pas d’apporter de simples modifications ou d’adaptations de procédures internes, mais de mettre en place une véritable stratégie de protection des données personnelles. Pour cette raison, ce projet doit être impulsé par la gouvernance et décliné auprès de toutes les parties concernées de l’entreprise.

Cette nouvelle réglementation a un impact évident sur la conformité, mais également sur le contrôle permanent (contrôle interne) et le contrôle périodique (audit interne).

Les principaux points recensés sont :

  1. La tenue d’un registre des différents traitements de données personnelles.
  2. La rédaction d’une politique de vie privée intégrant le principe de « Privacy by design ».
  3. L’adoption de procédures internes formalisées, l’obligation de diligenter des audits internes et de réaliser des études d’impacts.
  4.  La répartition et la définition contractuelle des obligations et des responsabilités des différents intervenants dans la chaîne de traitement des données personnelles.
  5. La sécurisation des données personnelles contre tout traitement non autorisé ou illégal, mais aussi contre la perte accidentelle, la destruction ou l’altération des données personnelles.
  6. La notification auprès de l’autorité de contrôle compétente des failles de sécurité.
  7. La désignation d’un délégué à la protection des données.

Un grand soin doit être apporté à la mise en place de cette nouvelle réglementation : les sanctions financières en cas de manquement à la nouvelle réglementation étant particulièrement lourdes (amendes pouvant atteindre 100 millions d’euros ou 4% du chiffre d’affaires annuel mondial de l’entreprise).

La proposition de règlement européen, en discussion depuis janvier 2012, a débouché sur un accord global entre les institutions, le 15 décembre dernier. Cette nouvelle réglementation, qui remplacera la loi Informatique et Libertés en France, s’appliquera aux entreprises établies au sein de l’Union européenne, mais également à toutes entreprises établies en dehors de l’UE qui, dans le cadre de la fourniture de leurs produits et services, collectent et traitent des données personnelles de personnes résidant dans un pays membre de l’UE.

Par Betty SFEZ, Avocat au Barreau de Paris
En savoir plus sur http://www.village-justice.com/articles/reforme-marche-des-regles,21600.html#Id6VZducZQWO2vuX.99

Sources européennes :

http://ec.europa.eu/justice/data-protection/reform/index_fr.htm

https://www.cnil.fr/fr/le-projet-de-reglement-europeen

http://www.lemonde.fr/pixels/article/2015/12/16/accord-de-principe-de-l-ue-sur-la-protection-des-donnees-personnelles-en-ligne_4832848_4408996.html

http://www.numerama.com/politique/135243-reglement-europeen-sur-les-donnees-personnelles.html