Non classé

Traitement des datas, la vigilance s’impose avec la GDPR

by OBS. COM MEDIA 0

Traitement des datas, la vigilance s’impose avec la GDPR

La GDPR (General Data Protection Regulation) qui a été approuvée le 14 avril 2016 va considérablement modifier les règles d’utilisation des données dans toute l’union européenne que leur traitement soit exécuté en Europe ou non. Il convient dès à présent d’être vigilant.

Une date à retenir : 25 MAI 2018

C’est à cette date que tous les membres de la communauté européenne devront se conformer à cette nouvelle réglementation qui remplace la directive 95/46/EC. Les objectifs de cette réglementation sont d’harmoniser les lois sur les données personnelles en Europe, de protéger les données personnelles des citoyens européens et de réformer la manière dont les organisations traitent les données personnelles.

Il reste moins d’un an et demi aux entreprises pour respecter la GDPR sous peine d’amendes qui pourront monter jusqu’à 4 % du chiffre d’affaires annuel ou un maximum de 20 M d’euros ! Par conséquence, elles doivent s’y préparer dès maintenant aussi un premier rappel sur les grandes lignes du GDPR est d’ores et déjà utile.

L’impact du GDPR sur les sujets de droit (1)

A)  Sur les citoyens
 Le règlement GDPR renforce la protection des citoyens de plusieurs manières.

La protection des enfants de moins de 16 ans

Tout d’abord, il instaure un principe de protection des données personnelles des enfants de moins de 16 ans. Désormais, pour s’inscrire sur les réseaux sociaux, ces enfants devront obtenir l’autorisation de leurs parents. Cette règle était déjà appliquée dans la plupart des Etats européens.

Consentement systématique et droit à l’oubli

Le GDPR impose aussi le « consentement explicite et positif » du citoyen. Pour chaque traitement de donnée, l’utilisateur devra donner son consentement de manière claire, non équivoque et donc assurément non tacite.

Ce consentement renforcé s’accompagne d’un droit à l’oubli. Ce droit permet à un individu de demander le retrait ou l’effacement de toute information ou donnée qui lui porte préjudice, à moins que l’entreprise de traitement ait un « motif légitime » de conserver cette donnée.

Les citoyens acquièrent par ailleurs un droit à être informé du piratage de leurs données, ainsi que la mise en œuvre d’actions collective pouvant être exercé à travers des associations d’utilisateurs.

B)  L’impact sur les entreprises et les professionnels

Le règlement européen élargit le champ d’application du droit de la protection des données. En effet, en plus des entreprises de traitement des données, ce sont aussi leurs sous-traitants qui seront concernés par le règlement, à partir du moment où ils sont établis sur le territoire de l’UE.

Le GDPR a l’ambition de responsabiliser de diverses façons les entreprises de traitement. Elle leur impose notamment de désigner un « DPO », délégué à la protection des données, qui devra s’assurer de la conformité aux normes européennes des protections mises en place par l’entreprise.

Par ailleurs, si le citoyen a un droit de savoir s’il a été piraté, cela emporte une obligation pour l’entreprise de notifier dans les 72 heures ce piratage.

Aussi, le règlement impose aux entreprises de mener des études d’impact pour déterminer leur traitement et leur utilisation de « données sensibles », celles relatives à l’orientation politique ou religieuse par exemple d’une personne. Ces données répondent en effet à un droit particulier et leur protection est renforcée.

L’impact du GDPR sur les organismes de contrôle

A)  Le renouvellement des prérogatives des « CNIL » européennes

Tout d’abord, le règlement permet aux citoyens de saisir pour n’importe quelle affaire traitant de leurs données personnelles l’autorité de protection de leur Etat.

Les autorités de protection, sur le fond, voient leurs pouvoirs étendus, notamment en ce qu’ils obtiennent un pouvoir de sanction. Ils peuvent obliger les entreprises à effacer des données, et surtout peuvent leur infliger des amendes comprises entre 2 et 4% de leur chiffre d’affaire annuel mondial.

Enfin, les différentes autorités de protection européennes auront aussi un devoir de coopération lors d’opérations transnationales, c’est à dire qu’il concernera les citoyens de plusieurs Etats membres. Il y aura dans le cadre de chaque opération une « autorité chef de fil » qui définira la conduite à suivre par les autres autorités de protection. Les décisions seront néanmoins prises conjointement.

B)  La création d’un organisme de contrôle au niveau européen, le CEPD

Le CEPD, Comité Européen de Protection des Données, a vocation à remplacer en 2018 le G29.

Le G29 est l’organe européen indépendant qui s’occupe de la protection des données. Il a principalement un rôle consultatif auprès de la Commission Européenne à laquelle il donne des avis, il émet aussi des recommandations aux entreprises.

Le règlement dresse déjà le portrait du CEPD. Il interviendra principalement lors de la coopération des différentes autorités de protection nationales, en s’assurant de l’uniformité sur le territoire de l’union européenne du droit de la protection des données.

D’abord, les différentes autorités de protections nationales comme la CNIL seront toutes représentées au sein du CEPD.

Concrètement, le CEPD représentera l’autorité suprême européenne en matière de protection des données, comme le Conseil d’Etat ou la Cour de cassation pour le droit français. En effet, le citoyen s’adresse en premier lieu à l’autorité nationale en cas de litige, et celle-ci s’adressera en dernier ressort au CEPD dont la décision sera définitive. Il reprendra également le rôle de conseiller auprès de la Commission Européenne qu’a actuellement le G29.

Une contrainte transformée en opportunité

Nous avions écrit dans notre article consacré à la data Cf.  Quand la data révolutionne le marketing, que la data serait belle si elle ne se cachait pas. Cette nouvelle réglementation verra des sanctions plus sévères être infligées aux détenteurs de données peu scrupuleux. Au-delà de l’aspect répressif de cette réglementation, la commission européenne encourage les entreprises à mettre en place des procédures tournées vers l’instauration de datas vertueuses et de communiquer auprès de leurs clients sur les mesures qu’elles auront prises. Cette réglementation n’est pas le fruit du hasard, elle émane des abus constatés en Europe, par des associations de défense des consommateurs et des interrogations exprimées par ces derniers sur l’utilisation de leurs données. Il convient pour tout l’écosystème de la communication globale, gros consommateur de données, de s’interroger sur ses pratiques et de se préparer à cette future réglementation sous peine, en l’absence d’une discipline collective, de prendre le risque de voir s’instaurer un « data bashing » qui nuiraient à l’ensemble de son activité.

En savoir plus (en anglais) : www.eugdpr.org/ (1) Source : www.juritravail.com

About the Author

L’Observatoire COM MEDIA regroupe, depuis 2008, près de 300 acteurs de la filière de la communication (annonceurs, prestataires et institutionnels). L’association a matérialisé son positionnement autour des enjeux de la nouvelle économie de la communication. Les travaux réalisés portent sur le décloisonnement des métiers/secteurs, sur la structuration de la filière (constituée de 41 000 entreprises réparties en 19 secteurs d’activité) et sur l’accélération du business des entreprises par leur mise en relation entre les acteurs à travers des événements, des groupes de travail et des plateformes numériques.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.