« Seuls 37% des Français sont confiants dans l’usage d’Internet, notamment en raison des craintes liées à l’utilisation des données personnelles. Pour protéger et encadrer les données personnelles de ses citoyens, l’Union Européenne a adopté un nouveau règlement sur la protection des données personnelles en 2016. Accordant de nouveaux droits aux Européens, il crée de nouvelles obligations pour les entreprises. Comment se préparent-elles à affronter cette grande mutation ?
En remplaçant la directive sur la protection des données – qui datait de 1995 – la nouvelle réglementation, qui entrera en vigueur en mai 2018, renforce le contrôle des citoyens européens sur leurs données personnelles. En vertu du droit à l’oubli, ils pourront désormais exiger l’effacement de leurs données personnelles ; une demande que l’entreprise devra relayer à toute autre partie ayant eu accès à ces données. L’utilisateur pourra à présent demander la portabilité de ses données, c’est-à-dire leur transfert chez un autre fournisseur de services : plus de perte d’e-mails en changeant d’adresse ! Enfin, le respect de la vie privée devient sanctuarisé par la loi et le recours au profilage (la prédiction des comportements des individus suite à l’analyse de leurs données) plus sévèrement encadré. Une évolution bienvenue pour les citoyens de l’UE, mais qui implique une petite révolution pour les acteurs privés !
Les entreprises vont passer de la gestion de données chiffrées à une véritable ingénierie de la connaissance.
Contrôler l’utilisation et assurer la sécurité des données personnelles
Côté sécurité, la liste des devoirs des entreprises est longue ! Elles devront, entre autres, renforcer leur politique de sécurité des données (à travers le concept de Privacy by Design), désigner un délégué à la protection des données (ou Data Protection Officer, DPO), ou encore border l’utilisation des données par les sous-traitants. Pour leur part, les autorités de réglementation vont augmenter leurs contrôles. En cas de faille de sécurité, les entreprises devront désormais notifier la CNIL, ainsi que l’ensemble des parties ou organisations concernées, dans les 72 heures, sous peine de sanctions financières.
Aucune entreprise ne sera épargnée par l’application de ce règlement. Une entreprise engagera sa responsabilité juridique dès qu’elle recueillera, conservera ou utilisera des données personnelles de citoyens résidant au sein de l’Union Européenne. Selon Corinne Thiérache, avocate-associée et responsable du département Nouvelles Technologies de l’Information et de la Communication au sein du Cabinet Alerion, « la définition légale, très large, inclut toutes données permettant d’identifier directement ou indirectement une personne physique, comme les adresses IP ou encore les cookies. Cela concernera aussi bien les clients, les prospects que les salariés ».
Pour Bernard Lamon, avocat et fondateur du Cabinet Nouveau Monde, expert en droit du numérique et de l’innovation, ce texte va surtout permettre une clarification et une harmonisation des règles au sein de l’UE. Toutefois, cette mise en conformité aura un coût, que les entreprises auront intérêt à assumer ! En effet, les sanctions encourues pourront atteindre jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires annuel mondial de l’entreprise. De quoi inciter entreprises et prestataires à gérer leurs bases de données et traitements de manière plus stricte. »
Lire la suite sur le site de Axa https://www.newstoprotect.axa/entreprises-donnees-personnelles-clients
La date de publication de cet article est : 07/02/2017 . Des évolutions de la loi ou de la jurisprudence pouvant intervenir régulièrement, n’hésitez pas à nous contacter pour plus d’information.