Actualités

Publié le 14 octobre 2016 dans "Actualités"

Flash info – données personnelles

Alors que tous les responsables de traitement de données personnelles sont (en tous cas devraient-il sans doute déjà l’être…) activement en train de se mettre en ordre de bataille pour la révolution que constituera pour eux l’entrée en application prochaine, le 25 mai 2018, du règlement européen sur les données personnelles, le législateur français a pris les devants. La loi pour une République numérique qui vient d’être promulguée, assez discrètement il faut le dire, le 7 octobre 2016, anticipe certains aspects du règlement.

Certes, la révolution qui guette est encore loin, mais plusieurs évolutions notables sont à relever.

Parmi elles, certaines ont en effet des implications opérationnelles immédiates :

  • Des précisions supplémentaires doivent maintenant être intégrées aux fameuses « mentions CNIL » des sites internet et autre supports d’information des personnes (y compris les salariés) dont les données sont utilisées :

– Indication de la durée de conservation des différentes catégories de données traitées (ou des critères utilisés pour la déterminer si cela est impossible) ce qui ne sera pas une mince affaire pour qui connaît la difficulté pratique que représentent la définition et la mise en place d’une (véritable) politique de gestion des durées de conservation …

– Information (assez délicate à formuler) sur les nouveaux droits des personnes relatifs au sort de leurs données personnelles après leur mort.

  • Les données personnelles collectées par les services de la société de l’information (services fournis sur internet, par les applications, etc.) sur une personne lorsqu’elle était mineure doivent, sauf exception, être effacées sur simple demande de cette personne.
  • Un certain parallélisme des formes doit désormais exister pour permettre aux personnes concernées, en cas de collecte des données par voie électronique, d’exercer leurs droits par la même voie électronique (droits d’accès, d’opposition, de rectification, de suppression et donc désormais également droits sur leurs données après leur mort ou de demander la suppression des données collectées lorsque l’on était mineur).

L’on signalera surtout un durcissement important des pouvoirs de sanctions de la CNIL, allant de la possibilité qui lui est désormais offerte de ne plus devoir faire précéder ses sanctions notamment pécuniaires d’une mise en demeure préalable (lorsque le manquement constaté ne peut pas faire l’objet d’une mise en conformité), à un alourdissement très net du montant desdites sanctions pécuniaires. Ces dernières peuvent désormais atteindre, en fonction de la gravité des manquements et du comportement du responsable de traitement en cause, 3 millions d’euros. La CNIL peut également maintenant ordonner l’information individuelle des personnes concernées par les manquements sanctionnés.

La loi nouvelle offre ainsi sans doute la possibilité de s’habituer en douceur au risque financier accru lié non-respect de la règlementation, en attendant l’entrée en application du règlement européen qui plafonnera les sanctions applicables aux manquements les plus graves à 20 millions d’euros, voire, pour une entreprise, 4% du chiffre d’affaires annuel monde (le plafond à retenir étant alors le plus élevé des deux) !

L’entrée en vigueur de la loi pour une République numérique n’ayant pas, contrairement au règlement européen, été anticipée par le marché, une mise en conformité des pratiques constatées risque de se faire attendre. Que l’on se rassure : la CNIL elle-même s’est laissée déborder par l’actualité riche de ces derniers temps en matière de régulation des données personnelles (règlement européen précité, vote définitif de la loi instaurant une action de groupe en matière de données personnelles, etc.). Peut-être aussi par le lancement de son nouveau site internet, par son récent déménagement Rive gauche de Paris et par son changement de logo ?! A la date à laquelle nous diffusons le présent message, elle n’a pas encore fait évoluer son site internet pour se conformer, elle aussi, à ses nouvelles obligations notamment d’information. A suivre le principe du parallélisme des formes évoqué plus haut, la CNIL ne devrait-elle pas, dans ces conditions, attendre pour faire usage de ses tous nouveaux pouvoirs de sanction pour faire respecter la loi nouvelle ?…