< Renforcement de la protection des usagers des services bancaires en cas d’utilisation frauduleuse de leurs moyens de paiement.

Entreprises : Votre nécessité de désigner un CIL et bientôt un DPO !

---

Ce qui change pour vous en 2018 Le Data Protection Officier ou Délégué à la Protection des Données (DPO pour les initiés) va remplacer dès le 25 mai 2018[1] l’ancien Correspondant Informatique et Libertés (CIL). Mais ce changement opéré par le règlement européen n°2016/679 du 27 avril 2016 relatif la protection des données à caractère personnel va également être accompagné de nombreuses nouveautés pour les entreprises. Des nouveautés élargissant vos responsabilités Compte tenu de l’application du règlement dès lors qu’un résident de l’Union européenne est directement visé par un traitement de données, les entreprises étrangères, notamment dans le secteur de l’Internet, devront être vigilantes et respecter l’ensemble des dispositions applicables en la matière.[2] A la différence des anciennes dispositions, le règlement prévoit également une coresponsabilité lorsque deux responsables de traitement ou plus déterminent de manière conjointe les finalités et les moyens du traitement de données personnelles.[3] De même, les sous-traitants peuvent désormais assumer une responsabilité directe au même titre que les responsables de traitements, et ont à l’égard de ces derniers une obligation de conseil.[4] Afin de garantir la conformité des traitements de données avec le nouveau règlement, les responsables de traitements et les sous-traitants devront mettre en œuvre des mesures techniques de protection dès la conception du produit ou du service (« privacy by design »), ainsi que par défaut (« privacy by default »).[5] Par ailleurs, l’obligation de notification de violation de données ne pèse désormais plus seulement sur les fournisseurs d’accès internet, mais également sur l’ensemble des entreprises. Ainsi, en cas de violation de données, chaque entreprise devra la notifier à l’autorité de contrôle 72 heures au plus tard à compter de sa connaissance. Cette violation de données peut correspondre à la simple perte du téléphone professionnel d’un salarié ou à l’intrusion d’un pirate informatique dans le système de l’entreprise. Lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, ces dernières devront également être informées dans les meilleurs délais.[6] En outre, le règlement renforce les conditions applicables au consentement en imposant aux responsables de démontrer que les personnes concernées ont donné leur consentement au traitement. [7] Ainsi, le consentement ne pourra plus être déduit par des cases précochées ou par le silence. Dans un même objectif de protection des personnes physiques, le règlement consacre de nouveaux droits :

• droit à l’oubli numérique[8] ;
• droit à la limitation du traitement de données personnelles[9] ;
• droit renforcé pour les mineurs de moins de seize ans[10] ;
• droit à la portabilité des données personnelles[11] ;
• droit de refuser de faire l’objet d’une décision résultant exclusivement d’un traitement automatisé[12] ;
• droit à réparation des dommages matériel et moral du fait de la violation du règlement[13] ;
• droit d’introduire des actions collectives par le biais d’un organisme actif en matière de données personnelles[14].

 Des nouveautés simplifiant vos démarches Dès 2018, les entreprises bénéficieront d’un interlocuteur unique en matière de protection des données personnelles au sein de l’Union européenne. Il s’agira de l’autorité compétente sur le territoire où se situe l’établissement principal de l’entreprise concernée.[15] Une des grandes nouveautés du règlement est également la suppression des déclarations préalables auprès des autorités, en contrepartie d’un devoir pour les entreprises de démontrer que les traitements mis en œuvre sont conformes au nouveau règlement via notamment l’adoption de codes de conduite et de mécanismes de certification.[16] Par ailleurs, les responsables de traitement de données à caractère personnel, ainsi que leurs sous-traitants, auront l’obligation de désigner un DPO[17] dans les cas suivants :

• S’ils appartiennent au secteur public ;
• Si leur activité principale les amène à réaliser un suivi régulier et systématique des personnes à grande échelle ;
• Si leur activité principale les amène à traiter à grande échelle des données sensibles ou relatives à des condamnations pénales et infractions.

Pour les entreprises non soumises à la désignation du DPO, elles pourront néanmoins identifier une personne responsable de la protection des données à caractère personnel. A l’image du CIL, ce dernier pourra être interne ou externe à l’organisme, à condition qu’il soit indépendant. Il devra impérativement être désigné sur ses connaissances en droit et en matière de protection de données personnelles. Enfin, le texte vient harmoniser et durcir les sanctions relatives au non-respect des dispositions en matière de protection des données personnelles. Ainsi, le règlement fixe un régime de sanctions maximales, que chaque autorité nationale pourra appliquer de manière casuistique. Outre ces sanctions, la non-conformité à la loi Informatique et Libertés expose les entreprises à des risques en terme de réputation et de perte de chiffre d’affaires, les avertissements de la CNIL étant publiques.[18]Afin de vous accompagner dans l’anticipation de cette nouvelle réglementation, nos avocats se tiennent à votre disposition pour mettre en place au sein de votre entreprise une véritable politique de compliance en matière de données personnelles.N’hésitez donc plus à prendre contact avec le pôle DPO du cabinet ALTIJ !

---

[1] Article 99, paragraphe 2, du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [2] Article 3 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [3] Article 26 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [4] Article 28 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [5] Article 25 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [6] Articles 33 et 34 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [7] Article 7 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [8] Article 17 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016, consécration de l’arrêt CJUE, 13 mai 2014, C-131/12, Google Spain SL and Google Inc. V AEPD and Mario Costeja Gonzalez[9] Article 18 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [10] Article 8 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [11] Article 20 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [12] Article 22 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [13] Article 82 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [14] Article 80 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [15] Article 56 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [16] Article 24 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [17] Section 4 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016 [18] Articles 83 et 84 du règlement européen sur la protection des données à caractère personnel n°2016/679 du 27 avril 2016

---