Le règlement européen sur la protection des données personnelles enfin sur des rails | Par Fabien Honorat, avocat associé, Péchenard & associés

Suite à l’accord intervenu entre le Parlement européen et le Conseil de l’Union européenne en décembre dernier, le règlement sur la protection des données (à qui il reste à passer la validation du Parlement Européen) devrait s’appliquer au 1er janvier 2018 dans tous les pays de l’Union Européenne et pour la France venir se substituer à l’ancestrale loi Informatique et Libertés du 7 janvier 1978. On y retrouve les classiques obligations de transparence, de loyauté et de proportionnalité dans le traitement des données personnelles mais aussi de vraies nouveautés. Détails… 

1° Le principe de l’Opt-in

Le principe pour la légalité d’un traitement de données personnelles est l’accord préalable des personnes concernées (opt-in). L’accord tacite reste possible mais devient l’exception (en cas d’obligation légale, pour préserver les intérêts des personnes concernées …).

Le consentement doit être donné de façon claire, non ambigüe et c’est au responsable du traitement de justifier de celui-ci.

Ce consentement peut être retiré à tout moment.

Cela ne devrait pas révolutionner les pratiques dans la mesure où la « case à cocher » est devenue depuis longtemps la règle notamment dans le domaine du marketing. 

2° La fin des traitements des données des mineurs

Le traitement des données personnelles des mineurs (en dessous de 16 ans pour la règle générale ou par exception 13 ans s’il existe des dispositions spécifiques dans le pays concerné) est subordonné à l’accord préalable des titulaires de l’autorité parentale. Ce sera au responsable du traitement de le vérifier.

Cette nouvelle disposition qui se calque sur le droit américain risque de modifier sensiblement les opérations à destination des mineurs qui ne faisaient pas l’objet par la pratique de précaution particulière.

3° La portabilité des données

Le règlement intronise le principe de portabilité de ses données personnelles, à savoir la possibilité de se voir transmettre sur un support numérique ou transférer sur un serveur l’ensemble de ses données.

Il s’agit d’un renforcement du principe de droit d’accès à ses données personnelles qui figurait dans la loi Informatique et Libertés. 

4° Des informations à communiquer au public

Le responsable du traitement devra communiquer aux personnes concernées les informations suivantes au moment de la collecte des données :

  • L’identité du responsable du traitement (et son adresse)
  • L’objet du traitement
  • Les destinataires des données
  • La durée de conservation des données
  • Le droit d’accès, de rectifier ou de supprimer les données
  • Le droit à la portabilité des données
  • Le droit de saisir la CNIL
  • L’obligation de fournir ses données pour remplir une obligation contractuelle

Si les données n’ont pas été reçues de la personne concernée mais d’un tiers (on peut penser aux opérations de parrainage en matière de marketing), il conviendrait de fournir en plus l’information sur la source ayant fourni les données (notion de traçabilité des données). 

6° La consécration du droit à l’oubli

Le règlement encadre le principe de droit de retrait qui existait dans la Loi Informatique et Libertés pour consacrer un véritable droit à l’oubli numérique mais sous conditions.

Le responsable du traitement se trouve contraint d’effacer dans un bref délai les données personnelles de toute personne en faisant la demande.  Cette demande doit toutefois être justifiée et il est possible pour le responsable du traitement de s’y opposer en arguant notamment du principe du droit à l’information, de liberté d’expression ou dès lors que ce traitement de données procède d’un intérêt scientifique, historique ou vise à protéger le public d’une manière ou d’une autre.

Sur ce point du droit à l’oubli, le règlement européen vient valider les différentes décisions judiciaires qui sont intervenues depuis le fameux arrêt de la Cour Européenne du 13 mai 2014 qui avait imposé à Google la mise en œuvre du droit au déréférencement.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?