La Commission européenne a adopté, le 25 janvier 2012, un projet de règlement européen relatif à la protection des données personnelles. Ce projet de règlement vise à réformer la directive n° 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
S’agissant d’un règlement européen, il ne fera pas l’objet d’une transposition dans le droit national, mais sera d’application immédiate. Il est donc important d’appréhender, en amont, les modifications induites par ce texte, afin d’assurer la conformité de vos entreprises au regard de la règlementation Informatique et libertés, dès l’entrée en vigueur des nouvelles dispositions.
D’après mes informations, l’adoption du texte pourrait avoir lieu d’ici un an et demi. La version définitive du texte pourrait, bien entendu, être sensiblement différente de celle publiée le 25 janvier dernier et sur laquelle je base aujourd’hui mon analyse. Il importe donc de suivre l’évolution du projet de règlement de façon régulière.
En premier lieu, le projet de règlement apporte des modifications substantielles concernant l’information qui doit être fournie aux personnes concernées. Ainsi, aux termes de l’article 12 du projet de règlement, en sus des informations déjà exigées par l’article 32 de la loi Informatique et libertés, le responsable de traitement devra informer les personnes sur :
- les coordonnées du responsable du traitement et le cas échéant, du Cil ;
- les termes du contrat ou les conditions générales concernées, si le traitement est fondé sur l’exécution d’un contrat ou de mesure précontractuelle ;
- la durée de conservation des données ;
- le droit de déposer une plainte auprès de l’Autorité nationale de protection des données et les coordonnées de cette dernière ;
- l’origine des données, lorsque les données n’ont pas été collectées directement auprès de la personne concernée.
Par ailleurs, le projet de règlement requiert du responsable de traitement qu’il établisse des politiques de protection des données transparentes et facilement accessibles.
L’article 21 du projet de règlement consacre également la notion de co-responsables du traitement. Le texte prévoit l’application d’une responsabilité conjointe aux co-responsables de traitements, si les obligations mutuelles des parties, vis-à-vis des dispositions du règlement, n’ont pas été préalablement définies contractuellement. Cela signifie qu’en l’absence de contrat détaillant précisément le rôle et les obligations, tant de votre entreprise que de ses partenaires co-responsables de traitements, une personne concernée pourrait, dans l’exercice de ses droits, se retourner vers n’importe lequel des co-responsables de traitement.
En outre, aux termes de l’article 30 du projet de règlement, une nouvelle obligation, qui pourrait vous concerner, est mise à la charge du responsable de traitement.
En effet, lorsque le traitement risque, de par la nature des données collectées ou de l’objectif du traitement, de porter atteinte aux droits et libertés de la personne concernée, le responsable de traitement doit effectuer une évaluation préalable de l’impact du traitement envisagé sur la protection des données personnelles.
Pratiquement, cette obligation s’impose notamment lorsque :
- les données traitées concernent la vie sexuelle, la santé, la race ou l’origine ethnique, etc. ;
- le traitement vise à évaluer la performance professionnelle, la solvabilité, la situation économique, la santé, le comportement, etc.
L’évaluation préalable devra contenir une description générale du traitement envisagé, une évaluation des risques pour les droits et libertés des personnes concernées et les mesures qui seront mises en œuvre pour assurer la protection des données collectées.
De plus, les personnes concernées ou leurs représentants devront être consultés pour avis avant le début du traitement et l’évaluation préalable effectuée devra être accessible au public.
Enfin, le projet de règlement rend obligatoire la désignation d’un Cil pour le responsable de traitement et le sous-traitant lorsque :
- le traitement est mis en œuvre par une autorité ou un organisme public ou une entreprise qui emploie au moins 250 personnes ;
- ou lorsque le traitement mis en œuvre exige un suivi régulier et systématique des personnes concernées et présente ainsi des risques particuliers au regard des droits et libertés.
Au regard de ce qui précède, les actions suivantes seraient à effectuer afin de permettre d’anticiper l’entrée en vigueur du règlement :
- A1 : analyse et, le cas échéant, modification de la politique de protection des données personnelles ;
- A2 : modification des mentions d’information ;
- A3 : analyse et, le cas échéant, modification des contrats liant votre entreprise à ses partenaires co-responsables de traitement ;
- A4 : analyse des traitements nécessitant la réalisation d’une évaluation d’impact et, le cas échéant, établissement des évaluations d’impact.