La loi informatique et libertés du 6 janvier 1978 a bien souvent été oubliée ou mal traitée par les entreprises pensant pouvoir répondre aux exigences légales par les seules mentions obligatoires sur les sollicitations diverses et variées effectuées auprès de leurs clients et prospects. Or les obligations mises en place, il y a bientôt 40 ans, allaient déjà bien au-delà de ces seules mentions.
Quelle entreprise peut prétendre avoir la maîtrise complète de ses fichiers de données personnelles à tous les niveaux de son organisation, du fichier informatisé au simple tableau Excel tenu par un salarié lambda ?
Si tant est qu’elle connaisse l’exhaustivité des fichiers de données personnelles tenus en interne, l’entreprise est-elle toujours autorisée à être détentrice de ces données personnelles, maîtrise-t-elle l’accès à ces fichiers ?
La loi de 1978 a souffert probablement du manque de sanction à la clef et son respect a, bien souvent, été traité par les entreprises comme une question accessoire.
Le nouveau règlement européen sur la protection des données personnelles, paru au journal officiel de l’Union européenne entrera en application le 25 mai 2018, autrement dit demain.
Il remet sur le devant de la scène la question du respect des droits et libertés fondamentales dans un monde toujours plus connecté. L’adoption de ce texte doit permettre à l’Europe de s’adapter aux nouvelles réalités du numérique.
Selon la Commission nationale de l’informatique et des libertés (CNIL), la réforme de la protection des données poursuit trois objectifs :
- Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures ;
- Responsabiliser les acteurs traitant des données (responsables de traitement et sous-traitants) ;
- Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et des sanctions renforcées.
Les autorités de protection peuvent notamment :
- Prononcer un avertissement ;
- Mettre en demeure l’entreprise ;
- Limiter temporairement ou définitivement un traitement ;
- Suspendre les flux de données ;
- Ordonner de satisfaire aux demandes d’exercice des droits des personnes ;Ordonner la rectification, la limitation ou l’effacement des données.
S’agissant des nouveaux outils de conformité qui peuvent être utilisés par les entreprises, l’autorité peut retirer la certification délivrée ou ordonner à l’organisme de certification de retirer la certification.
S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Au-delà de la démarche de mise en conformité obligatoire, les entreprises auront un intérêt particulier à respecter ce dispositif réglementaire. En effet, le respect des libertés et droits fondamentaux des individus et en l’occurrence celui des salariés, fournisseurs clients et prospects, mais aussi bénévoles, donataires en secteur associatif est au cœur de toute démarche de responsabilité sociétale des entreprises.
La mise en conformité de votre entreprise aux nouvelles règles de protection des données personnelles pourra être mise en avant dans le cadre d’une démarche de responsabilité sociétale de l’entreprise bien comprise.
Elle pourra alors constituer un véritable avantage concurrentiel.
Alors, il est plus que temps de s’y intéresser !
Amélie CARDON-VALENTIN
Avocat associé Cabinet FAIR