Protection des données personnelles : les apports du nouveau règlement européen
![Traitement des données personnelles Protection des données personnelles : les apports du nouveau règlement européen](/wp-content/uploads/2015/07/personal-data-700x325.jpg)
1 juin 2017
Le règlement européen n°2016/679 du 27 avril 2016 relatif à la protection des données vient remplacer la directive 95/46 /CE du 24 octobre 1995 et apporte des modifications importantes au régime français de protection des données issu de la loi du 6 janvier 1978.
Le règlement européen du 27 avril 2016, qui entrera en vigueur à compter du 25 mai 2018, a pour objectif d’harmoniser le cadre juridique applicable à la protection des données dans l’Union européenne, de renforcer les droits des personnes, de responsabiliser les entreprises et de renforcer les sanctions applicables.
Dans la perspective d’une entrée en vigueur laissant peu de temps aux entreprises pour se conformer à leurs nouvelles obligations, il est opportun de revenir sur les principaux apports de ce nouveau règlement.
Les droits des personnes concernées par le traitement de données
Le nouveau cadre européen vient renforcer les droits déjà connus (droit d’accès, droit de rectification, droit d’opposition, droit à l’oubli) mais innove également en reconnaissant un droit à la limitation du traitement et un droit à la portabilité des données. Ce droit à la limitation permet de désigner certaines données dont le traitement futur sera en principe interdit. Quant au droit à la portabilité, il permet de récupérer les données fournies à un prestataire sous-traitant (par exemple un opérateur de téléphonie) afin de les transmettre à un autre.
Un changement de logique : d’un système déclaratif vers une responsabilisation des responsables de traitement et des sous-traitants
Le règlement européen met fin au régime de déclaration des traitements à la CNIL à compter du 25 mai 2018 pour le remplacer par un système d’ « autocontrôle » visant à responsabiliser non seulement les responsables de traitement mais également les sous-traitants qui sont désormais également visés par le dispositif.
Ainsi, il leur appartiendra désormais de mettre en œuvre des mesures techniques et organisationnelles appropriées pour s’assurer, et être en mesure de démontrer, que le traitement est effectué conformément à la réglementation.
Le responsable de traitement pourrait également être tenu de réaliser une étude d’impact sur la protection des données personnelles dès lors qu’en raison du type de traitement les droits et libertés des personnes seront exposés à un risque élevé.
Enfin, le règlement impose à chaque responsable de traitement la tenue d’un registre des activités effectuées sous sa responsabilité.
La désignation d’un Data Protection Officer (DPO) en substitution du CIL
La désignation d’un DPO est rendue obligatoire par le règlement pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ou les amènent à traiter à grande échelle des données sensibles ou relatives aux condamnations pénales et aux infractions.
Dès lors, qu’adviendra-t-il des quelques 18 500 CIL déjà désignés en France ?
Le DPO étant le successeur du CIL il pourra reprendre ses attributions mais avec un rôle et des missions élargis. En effet, ce délégué à la protection des données sera principalement chargé d’informer et de conseiller le responsable du traitement ainsi que ses employés, de contrôler le respect du règlement européen et du droit national, de conseiller le responsable du traitement dans l’éventuelle réalisation d’une étude d’impact et de coopérer avec l’autorité de contrôle.
Le traitement transnational de données
Les deux principales nouveautés issues du règlement visent à faciliter le respect des règles relatives aux traitements des données lorsque celui-ci dépasse le cadre national. Dans un premier temps, les entreprises concernées devront désigner un « établissement principal » en Europe, afin de bénéficier d’un bureau unique auprès des différentes autorités. Ensuite, ces différents organismes adopteront conjointement, sous la direction de l’autorité de contrôle de l’établissement principal, les décisions relatives au traitement transnational en cause.
Concrètement, les entreprises n’auront plus qu’un interlocuteur par traitement.
S’agissant du transfert de données personnelles vers des États hors Union européenne, le règlement confirme le principe selon lequel le responsable d’un traitement ne peut procéder au transfert de données personnelles vers un État tiers que si ce dernier assure un niveau de protection adéquat des droits et libertés des personnes concernées. Le règlement met en outre l’accent sur la « décision d’adéquation » pouvant être rendue par la Commission européenne grâce à laquelle tout transfert transnational pourra être effectué sans autorisation spécifique.
Des sanctions sensiblement renforcées
Outre la possibilité de sanctions jointes en matière de traitements transnationaux, la nouveauté issue du règlement réside dans les montants des sanctions qui pourront désormais s’élever à hauteur de 20 millions d’euros ou 4% du chiffre d’affaires mondial pour une entreprise, étant précisé que ces montants constituent un plafond.
Par ailleurs, les missions et les pouvoirs, notamment de sanction, de la CNIL seront sensiblement renforcés.
Le règlement du 27 avril 2016 se veut donc beaucoup plus contraignant et coercitif que la directive de 1995 afin de répondre aux objectifs ambitieux qu’il fixe.
Enfin, si en principe le règlement sera directement applicable dès le 25 mai 2018 sans mesure de transposition, il laisse, sur de nombreux points, les États membres préciser les conditions de sa mise en œuvre. Dès lors, dans l’attente de ces mesures, certaines incertitudes demeurent quant au contenu et à l’étendue exacte du futur dispositif de protection des données personnelles.
Auteurs
Caroline Froger-Michon, avocat associée, droit social.
Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Protection des données personnelles : les apports du nouveau règlement européen – Article paru dans Les Echos Business le 31 mai 2017
A lire également
Révocation de mandat social et licenciement : les liaisons dangereuses... 29 septembre 2023 | Pascaline Neymond
![](/wp-content/uploads/2015/06/chess-420x215.jpg)
A la recherche de la loi applicable au contrat de travail... 14 février 2017 | CMS FL
![](/wp-content/uploads/2015/08/contrat-signature-2-420x215.jpg)
Biométrie sur les lieux de travail : publication du règlement type de la CNIL... 3 mai 2019 | CMS FL
![](/wp-content/uploads/2019/04/Biometric-420x215.jpg)
Open Data : protection des archives publiques par le droit sui generis des produ... 5 août 2015 | CMS FL
![](/wp-content/uploads/2015/08/iStock_000068917065_Large-420x215.jpg)
Prospectus : les changements envisagés par le projet de règlement européen... 10 février 2016 | CMS FL
![Commission Européenne](/wp-content/uploads/2013/08/commission-europeenne-420x215.jpg)
Premières jurisprudences sur la répartition des responsabilités dans la mauva... 31 mai 2016 | CMS FL
![](/wp-content/uploads/2014/12/serveurs-420x215.jpg)
Les apports du futur règlement européen sur la protection des données personn... 3 novembre 2015 | CMS FL
![](/wp-content/uploads/2015/07/personal-data-420x215.jpg)
L’accès aux messages instantanés du salarié par l’employeur... 30 octobre 2020 | CMS FL Social
![](/wp-content/uploads/2017/10/Data-privacy-email-420x215.jpg)
Articles récents
- Dénonciation de faits de harcèlement moral : enquête ou pas enquête ?
- Contre-visite médicale : ses modalités de mise en œuvre précisées par décret
- Le détourage d’activités dans les opérations de M&A : enjeux juridiques, fiscaux et sociaux
- Rupture d’un commun accord du contrat de travail d’un salarié protégé via un PDV inclus dans un PSE : pas de contrôle du motif économique par l’inspection du travail
- Restructuration et harmonisation des régimes de protection sociale complémentaire
- Devoir de vigilance : de premières décisions de cour d’appel précisent les conditions de recevabilité de l’action
- Rupture conventionnelle : le vice de consentement de l’employeur peut entrainer sa nullité, qui produit les effets d’une démission
- Droit social des plateformes : ça bouge encore en France et dans l’Union européenne (MAJ)
- L’appréciation de l’étendue du secteur géographique pour déterminer l’existence ou non d’une modification du contrat de travail : la Cour de cassation retiendrait-elle de nouveaux critères ?
- Participation : pas de remise en cause possible du bénéfice net fiscal établi par une attestation du commissaire aux comptes