Protection des données personnelles : de nouvelles obligations pour les responsables de fichiers

La directive européenne du 24 octobre 1995, qui constitue le texte de référence en matière de protection des données personnelles, sera remplacée par un règlement général, dont le projet a été déposé en janvier dernier au Parlement européen. Ce nouveau cadre juridique, outre le renforcement des droits des personnes inscrites sur un fichier [1] prévoit de nouvelles obligations incombant au responsable du traitement.

Désignation d’un correspondant Informatique et Libertés. Le responsable du traitement des données personnelles et son sous-traitant (la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui traite de ces données pour le compte du responsable du traitement) devront désigner systématiquement un délégué à la protection des données (correspondant Informatique et Libertés) lorsque le traitement est effectué par une autorité ou un organisme publics, ou une entreprise employant 250 personnes ou plus, ou lorsque les traitements, qui constituent l’activité de base du responsable du traitement ou du sous-traitant, du fait de leur nature, de leur portée et/ou de leurs finalités, exigent un suivi régulier et systématique des personnes concernées.

Tenue d’une documentation. Chaque responsable du traitement (et, le cas échéant, son représentant) ainsi que chaque sous-traitant devront conserver une trace documentaire de tous les traitements effectués sous leur responsabilité. Toutefois, la tenue de cette documentation ne s’appliquera pas aux personnes physiques traitant des données personnelles en l’absence de tout intérêt commercial, ni aux entreprises ou organismes comptant moins de 250 salariés traitant ces données uniquement dans le cadre d’une activité qui est accessoire à leur activité principale.
Analyse d’impact. Lorsque les traitements présentent des risques particuliers au regard des droits et libertés des personnes concernées en raison de leur nature, de leur portée ou de leurs finalités, le responsable du traitement ou le sous-traitant devra effectuer une analyse de l’impact des traitements envisagés sur la protection des données à caractère personnel. Cette analyse d’impact s’appliquera, par exemple, aux fichiers informatisés de grande ampleur concernant des enfants, au traitement de données génétiques ou biométriques, ou encore à la vidéosurveillance.

Privacy by design. Dans le cadre de l’obligation de sécurité et de confidentialité, la proposition de règlement européen intègre les principes de « protection des données dès la conception » et de « protection par défaut ». Ainsi, le responsable du traitement devra mettre en œuvre des mécanismes visant à garantir que, par défaut, seules seront traitées les données à caractère personnel nécessaires à chaque finalité spécifique du traitement.

Notification d’une violation de données. Le responsable du traitement devra signaler à l’autorité de contrôle (la Cnil, en France) toute violation de données personnelles ( perte vol, piratage... ) sans retard injustifié et, si possible, 24 heures au plus tard après en avoir pris connaissance. Après ce délai, la notification doit comporter la justification de ce retard.

Le sous-traitant devra alerter et informer le responsable du traitement immédiatement après avoir constaté la violation de données à caractère personnel.

La notification devra au moins :
 décrire la nature de la violation de données personnelles, y compris les catégories et le nombre de personnes concernées et les catégories et le nombre d’enregistrements touchés ;
 communiquer l’identité et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
 recommander des mesures à prendre pour atténuer les éventuelles conséquences négatives de la violation de données ;
 décrire les conséquences de la violation de données à caractère personnel et les mesures proposées ou prises par le responsable du traitement pour y remédier.

De plus, ce renforcement global des obligations de sécurité et confidentialité des données traitées s’accompagne d’un renforcement des clauses contractuelles exigées en cas de sous-traitance.

Renforcement des pouvoirs des autorités de contrôle. Chaque autorité de contrôle a le pouvoir de sanctionner les infractions. Lors du premier manquement non intentionnel au règlement, elle pourra donner un avertissement par écrit, mais n’imposer aucune sanction lorsqu’une personne physique traite des données à caractère personnel en l’absence de tout intérêt commercial ; ou qu’une entreprise ou un organisme de moins de 250 salariés gère ces données uniquement dans le cadre d’une activité accessoire à son activité principale.

Ensuite, en fonction des cas, l’autorité de contrôle peut infliger des amendes pouvant atteindre un million d’euros.
Cette réforme européenne, qui devrait être adoptée en 2014, imposera la mise en œuvre de procédures internes pour assurer les principes de protection : audits interne ou externe, registres, prise en compte de la protection des données dès la conception dans les produits et services des entreprises...