Assistance au DPD - Evaluation des risques

La proposition de règlement européen publié en janvier 2012 et relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données doit permettre de doter l’Union Européenne d’un cadre juridique harmonisé en matière de protection des données.

A ce titre le projet de règlement prévoit des sanctions pénales et administratives, et notamment des amendes pouvant aller jusqu’à 2% du chiffre d’affaires Groupe ou 1 millions d’euros pour un organisme public.

Ce projet de règlement, qui aura pour effet d’abroger la directive 95/46/CE adoptée en 1995 et devenue inadaptée dans un contexte d’évolution technologique très rapide, a fait l’objet de plusieurs propositions d’amendements dont, en janvier 2013 par le rapporteur du parlement européen, Jan Albrecht ou en juin 2013 par le président du conseil de l’union européenne.

Actuellement, les négociations sont en cours et l’adoption du texte n’est pas envisagée avant mars 2014.

Quels points majeurs ?

  • Obligation de désigner un délégué à la protection des données pour les entreprises privées et collectivités (notamment pour les organismes publics, et les entreprises de plus de 250 personnes)
  • Droit à l’oubli numérique pour les personnes concernées et droit à la portabilité des données ;
  • Obligation de mise en œuvre de la protection des données dès la conception et par défaut : vers le « privacy by design »
  • Obligation de notification des violations de données à caractère personnel ;
  • Réalisation d’une analyse d’impact pour les risques pour les personnes concernant certains traitements sensibles préalablement aux traitements qui présentent des risques
  • Responsabilisation accrue du responsable du traitement et du sous-traitant avec obligation de rendre des comptes : application du principe de « l’accountability »

Une contrainte majeure pour les entreprises et collectivités concernées : d’ores et déjà se préparer et mettre en œuvre une démarche globale en interne.

Les points clés de l’approche :

  • Une approche top – down
  • Une identification documentée du périmètre d’analyse des risques
  • Une approche d’amélioration continue
  • Une approche d’analyse des risques en harmonie avec les pratiques CNIL
  • Une implication des acteurs pertinents lors de l’analyse d’impact