webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation en vidéo Notre approche Nos départements Nos avocats Nos publications Nos distinctions Nous contacter Agenda / évènements Nos événements Autres événements Photothèque / Vidéothèque Ouvrages de référence Lexique Newsletters Rechercher Nos sites internet Distribution Concurrence consommation Immobilier IT / IP Corporate Restructuring International Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre des réseaux
L'actualité juridique et économique des réseaux de distribution par Simon Associés
simon associés simon associés
Accueil >IT / IP
 

Traitement de données personnelles et analyse d'impacts : bientôt tous concernés !

Le groupement des autorités de protection des données personnelles (le « G29 »), que préside actuellement la présidente de la CNIL, a rendu, le 4 avril 2017, ses Lignes Directrices sur le champ d’application de la nouvelle obligation – qu’auront tous les organismes à compter du 25 mai 2018 – de réaliser des analyses d’impact, avant la mise en œuvre de certains traitements.

Le groupement des autorités de protection des données personnelles (le « G29 »), que préside actuellement la présidente de la CNIL, a rendu, le 4 avril 2017, ses Lignes Directrices sur le champ d’application de la nouvelle obligation – qu’auront tous les organismes à compter du 25 mai 2018 – de réaliser des analyses d’impact, avant la mise en œuvre de certains traitements.

Cette nouvelle obligation est imposée par le Règlement Général sur la protection des Données Personnelles 2016/679 (« RGDP »), qui entrera en application le 25 mai 2018. Une obligation d’autant plus essentielle que, en cas de contrôle de la CNIL qui constaterait qu’une telle analyse d’impact n’a pas été réalisée, l’organisme concerné encourt une amende pouvant aller jusqu’à 10 millions d’euros ou 2 % de son chiffre d’affaires mondial.

Les Lignes Directrices du G29 apportent des éclairages utiles et confirment l’urgence, pour toutes les entreprises, d’adopter une véritable culture « informatique et libertés ».

1) Qu’est-ce qu’une « analyse d’impact » ?

Il s’agit d’une analyse que tout organisme, public ou privé, doit réaliser avant de mettre en œuvre un traitement de données à caractère personnel, et qui :

  • décrit les caractéristiques du traitement ;
  • identifie les risques que peut impliquer ce traitement pour les personnes concernées, et évalue leur niveau de gravité ;
  • propose des mesures pour neutraliser ou minorer les risques identifiés.

2) Cette obligation s’applique-t-elle à toutes les entreprises et à tous les types de traitements ?

Oui, à toutes les entreprises, quelle que soit leur taille.

En revanche, seuls sont concernés les traitements susceptibles « d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». Le RGDP ne définit pas précisément ce qu’il faut entendre par « risques élevés ». Toutefois, il donne des exemples.

3) Quels sont ces exemples ?

Le RGDP en donne trois, dont notamment :

1. « Prise de décision automatisée produisant des effets juridiques ou affectant de manière significative » la personne concernée (il s’agit notamment des traitements pouvant aboutir à des exclusions ou à des discriminations) ;

2. « Surveillance systématique à grande échelle d’une zone accessible au public » ;

Dans ses Lignes Directrices, le G29 en donne sept autres :

3. « Traitement à grande échelle de données sensibles » (susceptible de faire apparaître les origines raciales ou ethniques, les opinions politiques, les convictions religieuses, philosophiques ou syndicales, l’état de santé, l’orientation sexuelle).

4. « Évaluation ou scoring » (par exemple, l’établissement de profils en fonction de la navigation d’utilisateurs sur un site Web) ;

5. « Traitement à grande échelle » (en corrélation avec la population concernée, le volume de données, la durée ou l’éventuel caractère permanent du traitement) ;

6. « L’existence de rapprochements ou interconnexions » ;

7. « Le caractère vulnérable » des personnes concernées (employés, enfants, personnes âgées, malades…) ;

8. « Caractère innovant des technologies employées » (biométrie par exemple) ;

9. « Transfert de données en dehors de l’Union européenne » ;

10. « Traitements susceptibles de priver les personnes d’un droit ou d’un contrat » (par exemple, l’établissement de notes fondant ensuite une décision d’octroi de crédits).

4) Les autorités publieront-elles une liste de traitements types soumis ou dispensés d’une telle obligation ?

Oui, ces deux listes sont prévues.

Selon le G29, les traitements dispensés d’analyse d’impact, au titre de cette liste, devraient être soumis à des conditions strictes de mise en œuvre qui, à l’image des actuelles normes simplifiées édictées par la CNIL, si elles ne sont pas respectées, l’organisme perdra le bénéfice de la dispense.

5) Le règlement communautaire indique qu’il est nécessaire de « demander l’avis » des personnes concernées : est-ce une obligation ?

Lorsqu’il effectue une analyse d’impact, le responsable de traitement, d’une part, doit demander « conseil » au délégué à la protection des données (si celui-ci existe)  et, d’autre part, peut demander « l’avis des personnes concernées ou de leurs représentants ».

Selon le G29, si cette consultation des personnes concernées constitue une simple faculté, le responsable de traitement doit conserver une trace documentaire du motif l’ayant conduit à s’en dispenser. S’il décide de mener une telle consultation, celle-ci peut prendre la forme de sondages auprès d’un échantillon représentatif de personnes. Enfin, si le responsable de traitement est libre de ne pas se soumettre à l’avis des personnes concernées, le G29 considère qu’il devra justifier d’un motif et en conserver une trace documentaire.

6) Les traitements mis en œuvre avant le 25 mai 2018 sont-ils concernés par cette nouvelle obligation ?

En principe « non », en vertu du principe de non-rétroactivité, sauf si de tels traitements subissent des évolutions postérieures à cette date.

Si le G29 recommande néanmoins de le faire, c’est avant tout pour inciter les responsables de traitement à réaliser un exercice d’autodiagnostic sur la conformité de leurs traitements en vérifiant, à cette occasion, la licéité ainsi que l’adéquation des mesures de sécurité aux risques identifiés, en particulier en tenant compte des éventuelles évolutions du traitement qui peuvent avoir accru les risques depuis leur création. Le G29 insiste particulièrement sur le caractère vivant d’une analyse d’impact : la recommandation est de mettre à jour ce document régulièrement, et a minima tous les trois ans.

VOIR AUSSI

Contrefaçon sur internet : le caractère licite de la collecte des données des présumés contrefacteurs est le préalable incontournable

TGI Paris, ordonnance de référé du 2 août 2019, Mile High Distribution / Orange

- Vu : 2080

L’absence du caractère licite du traitement des adresses IP de présumés contrefacteurs est un empêchement légitime à la communication, par un fournisseur d’accès internet, des données permettant d’identifier les titulaires de ces adresses IP.

> Lire la suite

Déchéance des droits sur la marque : conditions et mise en œuvre

CA Paris, 17 mai 2019, RG n°18/06796

- Vu : 1921

Le titulaire d’une marque encourt la déchéance de ses droits s’il n’en a pas fait un usage sérieux pendant une période ininterrompue de cinq ans sauf à pouvoir établir que ce défaut d’usage tient à un juste motif qui doit rendre l’usage de la marque impossible.

> Lire la suite


Les plus vus...
Le nouvel article 1231-5 du code civil relatif à la clause pénale
14 mai 2016 - Vu : 92756
Parmi les nombreuses dispositions qu'elle contient, la réforme du droit des contrats introduit un nouvel article 1231-5 au ...
> Lire la suite
Rappels concernant l’obligation périodique de statuer sur une augmentation de capital réservée aux salariés
15 janvier 2013 - Vu : 85450
La collectivité des associés d’une société par actions doit, lorsque le rapport de gestion présenté à l’AGO annuelle indique ...
> Lire la suite
MAPIC - 16-18 novembre 2016 - Cannes | Palais des Festivals
27 septembre 2016 - Vu : 40018
SIMON ASSOCIÉS sera présent au MAPIC du 16 au 18 novembre à Cannes. ...
> Lire la suite
Clauses de durée et poursuite des relations commerciales dans les contrats de distribution
1 décembre 2012 - Vu : 39728
La poursuite des relations commerciales dans les contrats de franchise, et plus généralement dans les contrats de distribution, ...
> Lire la suite
Copyright ©2016 La lettre des Réseaux | Création et réalisation Webcd©