Bien informé, vous savez sans doute que deux textes européens vont entrer en vigueur prochainement : le « paquet données personnelles ». Il s’agit plus précisément :
- du RGPD: le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques dans le cadre du traitement des données personnelles entrera en vigueur le 25 mai 2018
- De la Directive UE 2016/680 (le volet pénal) : cette directive est relative aux traitements mis en œuvre à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites ou d’exécution de sanctions pénales. Elle entrera en vigueur le 6 mai 2018.
L’objectif de l’Union européenne est d’apporter un cadre commun avec des règles claires et uniformisées afin d’offrir aux citoyens européens un haut niveau de protection des données personnelles.
Comment notre législation va t’elle « digérer » ce paquet données personnelles ? Nous en savons désormais davantage.
En effet, à l’heure où les entreprises se mettent en conformité avec les nouvelles exigences apportées par le RGPD (cartographie des traitements, rédaction d’un registre des traitements, mise en conformité des contrats, des sites internet, etc), le Sénat vient d’adopter en première lecture le projet de loi sur la protection des données personnelles qui modifie la loi n°78-17.
Les points importants à retenir de ce projet de loi :
- Une nouvelle « majorité numérique » mise en place :
Les mineurs de moins de 16 ans devront recueillir l’autorisation de leurs parents pour transmettre leurs données personnelles.
L’entreprise qui recueille les données de mineurs devra mettre en place des dispositifs permettant d’informer les mineurs sur la nécessité de recueillir cet accord, et prendre des mesures adaptées pour s’assurer du recueil de données de mineurs de 16 ans révolus.
- Le profilage en matière de santé est prohibé :
Les données de santé vont bénéficier d’un régime spécial de protection. Le RGPD apporte une définition à ces données très spécifiques : « les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ».
Les données personnelles de santé ne pourront pas être utilisées pour fixer les prix des assurances.
- Le chiffrement des données devient le B-A-BA en matière de sécurité :
L’obligation de sécurité prévue dans le RGPD se traduit en obligation de chiffrer de bout en bout chaque fois que cela est possible.
Le chiffrement de bout en bout permet aux seules personnes autorisées d’accéder aux données concernées (par exemple l’expéditeur et le/les destinataire/s d’un message), seuls ces derniers ont la clef et cela limite considérablement les risques d’intrusion et d’interception.
- L’instauration d’une certification CNIL pour les objets connectés
Les objets connectés envahissent notre quotidien, du bracelet mesurant le rythme cardiaque à l’enceinte de musique connectée, en passant par les jouets connectés. Ces objets brassent une quantité importante de données et ne sont pas sans poser des questions de sécurité.
Un amendement visant à faire certifier leur niveau de sécurité par la CNIL a été adopté, ce qui n’est pas sans poser la question de l’accompagnement juridique qui sera nécessaire pour les entreprises qui commercialisent ces produits.
- Le renforcement des pouvoirs de la CNIL
La CNIL aura un pouvoir de contrôle sur place et sur pièces, en plus des pouvoirs de mise en demeure et d’injonction qu’elle détient à ce jour.
En cas de manquement, la CNIL a déjà vu son pouvoir de sanction considérablement renforcé du fait que le RGPD prévoit des amendes jusqu’à 10 Millions d’Euros ou 2 % du chiffre d’affaires total annuel mondial de l’exercice social précédent (ces sanctions étant doublées en cas de violation portant sur des données personnelles sensibles).
L’évolution du texte définitif de ce projet de loi est donc à surveiller jusqu’à son adoption définitive : restez informés !
Valérie Chazaud, avocate
Noé Marmonier, élève-avocat