La protection des données personnelles est devenue, avec l'essor de l'utilisation des nouvelles technologies et le nombre croissant de données personnelles utilisées, un défi important pour les entreprises.
L’entrée en vigueur et l’application à partir du 25 mai 2018 du Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ("Règlement Général sur la Protection des Données ou “RGPD”) renforce les obligations des entreprises dans ce domaine mais aussi les droits des personnes physiques concernées.
Contexte de la réforme
Au Luxembourg, la protection des données personnelles résulte actuellement de la transposition de la directive européenne 95/46/CE du 24 octobre 1995 par la loi du 2 août 2002 relative à la protection des personnes à l’égard du traitement des données à caractère personnel telle que modifiée.
Le système de la directive prévoit l’obligation de notifier à l’autorité nationale de protection des données personnelles (la CNPD au Luxembourg) tous les traitements de données personnelles réalisés par un responsable de traitement voire, pour ceux comportant un risque accru pour les droits et les libertés des personnes, une autorisation préalable (par exemple au Luxembourg les traitements à des fins de surveillance).
Toutefois ce système s’est avéré être inadapté aux évolutions technologiques récentes qui ont accru à la fois sensiblement le nombre de traitements de données personnelles ainsi que les risques pour les droits et les libertés des personnes.
Dans cette optique, le Règlement Général sur la Protection des Données modernise l'appréhension des traitements de données.
Les entreprises sont tenues de mettre en place de nouvelles mesures afin de garantir la régularité de leur traitement de données personnelles. Les personnes physiques concernées bénéficient quant à elles de nouveaux droits qu’elles peuvent faire valoir quant aux traitements qui sont réalisés sur leurs données personnelles.
Les obligations des responsables de traitement et des sous-traitants
Le responsable de traitement
Le GDPR crée de nouvelles obligations pour le responsable de traitement, parmi lesquelles :
L'obligation de tenir un registre des activités de traitements effectuées (Article 30), sauf pour les entreprises de moins de 250 employés, effectuant des traitements de données sans risques, occasionnels et ne portant pas sur des catégories particulières de données personnelles ou des données personnelles relatives à des condamnations pénales et à des infractions.
L'obligation de nommer un délégué à la protection des données "DPO" pour certains types de traitement (Article 37), notamment dans le cas d'une activité de base du responsable traitement exigeant un suivi régulier et systématique à grande échelle des personnes concernées ou lorsque cette activité de base consiste en un traitement à grande échelle de catégories particulières de données et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
L’obligation de procéder à une analyse d'impact des traitements de données comportant un risque élevé pour les droits et libertés des personnes (Article 35).
L’obligation d’informer en cas de violation de données personnelles (Article 33 et 34 GDPR) l’autorité de protection des données compétente et, le cas échéant, les personnes concernées lorsque la violation comporte un risque élevé pour les droits et libertés de ces dernières.
Le responsable de traitement doit notifier la violation de données à l’autorité compétente dans les 72 heures après en avoir pris connaissance, sauf si la violation en question n’est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques
Les personnes concernées doivent également être informées dans les meilleurs délais dans le cas où cette violation comporte des risques élevés pour leurs droits et libertés.
Les sous-traitants
Les entités agissant en tant que sous-traitant dans un traitement de données personnelles, c’est à dire agissant pour le compte et sous les instructions du responsable de traitement, sont aussi soumises à des obligations.
L’obligation de tenir un registre des activités de traitement et de nommer un délégué à la protection des données s’appliquent ainsi également à elles. Elles sont également tenues de collaborer pleinement avec le responsable de traitement afin de notifier les violations de données personnelles et, en tout état de cause, d’informer le responsable du traitement de toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. Cette obligation d’assistance existe aussi pour les analyses d’impact réalisées par le responsable de traitement.
Les relations entre le responsable de traitement et le sous-traitant doivent faire également l’objet d’un acte juridique qui définit l'objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement.
En outre, cet acte doit prévoir tout un ensemble de dispositions obligatoires, comme par exemple, et sans être exhaustif, l’obligation pour le sous-traitant de ne traiter les données que sur instructions documentées du responsable de traitement, de mettre en place les mesures de sécurité requises ou la possibilité pour le responsable de traitement de réaliser des audits en matière de données personnelles.
Sanctions en cas de manquements
En cas de non-respect des règles qui précèdent, l'entreprise peut se voir infliger une amende de 10.000.000 EUR ou 2% du chiffre d’affaire annuel mondial de l'entreprise, voire dans certains cas de 20.000.000 EUR ou 4% du chiffre d’affaire annuel mondial de l'entreprise.
Les nouveaux droits des personnes concernées
Parmi les nouveaux droits créés au bénéfice des personnes concernées, on pourra notamment retenir:
Le droit à l'effacement (Article 17 RGPD). Il garantit à la personne concernée le droit d'obtenir de la part du responsable de traitement l'effacement de ses données personnelles dès lors notamment qu'elles ne sont plus nécessaires au vu des finalités du traitement ou que le consentement sur lequel est fondé le traitement est retiré et qu’il n‘existe plus aucun autre fondement juridique justifant le traitement de données personnelles.
Le responsable de traitement peut toutefois opposer certaines exceptions à l’exercice de ce droit tel que, par exemple, l'exercice du droit à la liberté d'expression et d'information ou pour respecter une obligation légale auquel il est soumis.
Le droit d’obtenir la limitation du traitement (Article 18 GDPR). La personne concernée peut demander que les données personnelles ne soient plus traitées sans pour autant être effacées. C’est un droit qui a essentiellement pour vocation à remplacer le droit à l’effacement lorsque celui-ci n’est pas adapté à certaines situations.
Ainsi, la limitation peut s’appliquer notamment lorsque l'exactitude des données à caractère personnel est contestée par la personne concernée. Cette dernière peut demander la limitation du traitement pendant la période nécessaire au responsable de traitement pour vérifier l’exactitude des données.
Pareillement, elle peut s’appliquer lorsque le responsable du traitement n'a plus besoin des données à caractère personnel aux fins du traitement mais que les données personnelles sont encore nécessaires à la personne concernée pour la constatation, l'exercice ou la défense de droits en justice
Le droit à la portabilité (Article 20 GDPR). Il désigne la possibilité pour la personne concernée de demander à recevoir les données à caractère personnel la concernant qu'elle a fourni à un responsable du traitement dans un format structuré, couramment utilisé et lisible et de pouvoir les transmettre à un autre responsable du traitement.
Le droit pour la personne concernée de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé (Article 22 GDPR) produisant des effets juridiques la concernant ou l'affectant de manière significative de façon similaire.
Conclusion
Les nouvelles obligations au titre du Règlement Général sur la Protection des Données impliquent pour les entreprises des adaptations nécessaires à la fois dans son organisation interne mais aussi dans ses relations avec ses prestataires avant la date d’application au 25 mai 2018.
Pourtant, un grand nombre d’entreprises ne sont toujours pas prêtes, malgré l’importance des sanctions. Pour ces entreprises, la mise en conformité avec les exigences du Règlement doit être leur priorité numéro un pour l’année 2018.
