Données personnelles : les nouvelles obligations des entreprises

Le futur règlement européen sur les données personnelles prévoit une obligation de notification en cas de violation de donnée et la désignation d’un délégué à la protection des données.

Le Parlement européen abordera dans les prochaines semaines l’examen d’un projet de règlement sur les données personnelles. Ce texte, proposé en 2012 par la Commission européenne, a vocation à remplacer notre actuelle loi Informatique et libertés qui date de 1978 et qui a été profondément remaniée en 2004. Le projet de règlement qui prévoit de nouveaux pouvoirs pour les Cnil étend aussi pour les entreprises des dispositions qui existaient déjà, mais qui étaient peu utilisées.

L’obligation de notification des violations de données

La sécurité des données fait partie des principes fondamentaux que le responsable d’un traitement de données personnelles doit garantir. Ce principe figure dans la loi actuelle et est réaffirmé par le projet de règlement. Mais l’actualité montre combien les données personnelles (numéro de carte bancaire, mais aussi contenu de dossiers médicaux ou administratifs) « fuitent » et se retrouvent, soit piratées, soit divulguées au public.

Souvent, c’est la négligence du responsable du traitement, qui n’a pas pris toutes les précautions nécessaires, qui est en cause. Notre code pénal punit déjà cette négligence de 5 ans de prison et 300 000 euros d’amende, mais reconnaissons qu’aucun juge n’a jamais prononcé de telles peines.

L’idée est donc d’obliger les entreprises à rendre publiques les violations qu’elles pourraient subir. De telles dispositions existent déjà par exemple aux Etats-Unis. En droit français, l’article 34bis de la loi Informatique et libertés, ajouté en 2011, oblige déjà les opérateurs internet à avertir la Cnil et les personnes dont les données ont été affectées. La Cnil a indiqué recevoir déjà régulièrement de telles notifications.

Le projet de règlement étend cette obligation à toutes les entreprises. Celles-ci devront notifier à la Cnil sous 24 heures les caractéristiques de la violation de données qu’elles auront subie. Les personnes concernées devront également être averties individuellement.

Ainsi, pour éviter la honte d’une annonce publique et le coût d’un avertissement personnalisé à toutes les personnes impactées, les entreprises seront incitées à protéger plus activement les données personnelles qu’elles hébergent, ce qui est finalement l’objectif de cette mesure. Le non-respect de l’obligation de notification serait puni d’une amende d’un million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise.

Le projet de règlement prévoit de rendre obligatoire la nomination d’un délégué à la protection des données (nouveau nom du CIL) pour les organismes publics, les entreprises de plus de 250 salariés, les traitements de suivi systématique des personnes. Le non-respect de l’obligation de désignation d’un délégué serait puni d’une amende de 1 million d’euros ou 2% du chiffre d’affaires mondial de l’entreprise.

Ce projet a entraîné une forte contestation, aussi bien sur le principe de l’obligation de nomination, que sur les critères retenus. Par exemple, concernant le critère de taille de l’entreprise, l’utilité d’un délégué est douteuse pour une entreprise du bâtiment de 250 ouvriers, qui n’a sans doute comme données que son fichier du personnel, tandis qu’une start-up de 10 personnes, qui propose une application de suivi médical sur smartphone, représente sans doute plus de risques pour la vie privée de ses clients.

Les débats au Parlement européen promettent d’être vifs, entre les partisans d’un renforcement des mesures de protection des données personnelles d’une part, et les lobbyistes cherchant à diminuer ce niveau de protection d’autre part. La Commission européenne espère une adoption du règlement d’ici la fin de l’année, pour une entrée en vigueur deux ans après sa promulgation.