La réforme des données personnelles applicable en 2015 ?
La Commissaire européenne en charge de la Justice souhaite parvenir à un accord en 2015 au sujet de l’adoption du règlement.
D’une manière générale, l’objectif de la Commission Européenne est de voir supprimées les obligations administratives inutiles, comme celles en matière de notifications qui incombent aux entreprises, et en échange, d’imposer davantage d’obligations aux entités procédant au traitement de données à caractère personnel et d’accroître leur responsabilité.
Les principales dispositions seraient les suivantes :
– Application du Règlement même si le responsable du traitement est situé hors UE si personne concernée située dans l’UE ;
– Suppression du système actuel basé sur des formalités administratives préalables (déclarations, autorisations, etc.) ;
– Principe général de « Responsabilité » (dit « accountability ») impliquant une obligation de rendre compte et d’expliquer, avec une idée de transparence et de traçabilité ;
– Mise en place d’un système d’analyse de risques à réaliser en interne concernant les répercussions potentielles du traitement des données et l’évaluation des traitements susceptibles de présenter des risques spécifiques ;
– Obligation d’avoir une documentation de l’ensemble des mesures internes définies et prises par le responsable du traitement afin d’attester du niveau de conformité ;
– Nomination systématique d’un Délégué à la Protection des Données Personnelles (dit « DPO ») dans certaines hypothèses (ex : le traitement est effectué par une personne morale et porte sur plus de 5.000 personnes concernées sur une période de 12 mois consécutifs) ;
– En cas de violation des données, obligation de notifications par le responsable du traitement à l’Autorité de contrôle et à la personne concernée, sans retard injustifié ;
– Obligation pour le responsable du traitement de prouver le consentement au traitement de la personne concernée ;
– Renforcement, clarification et garantie des droits de la personne concernée par le traitement, qui doivent être clairs et univoque ;
– Renforcement du droit à l’effacement des données de la personne concernée ;
– Obligation d’informer la personne concernée de son droit à s’opposer au profilage ;
– Mise en place du Guichet Unique : l’Autorité de contrôle de l’Etat Membre où se situe l’établissement principal du responsable du traitement est l’ « Autorité chef de file » responsable du contrôle des activités pour le traitement des données dans tous les Etats Membres ;
– Alourdissement des sanctions administratives en cas de non-respect des obligations énoncées dans le Règlement et notamment de l’amende, qui peut atteindre 100 millions d’euros ou au maximum 5% du chiffre d’affaires annuel mondial (montant le plus élevé retenu).