Survey-Magazine : Suite à l’annonce du nouveau cadre réglementaire européen, quelles précautions sont à prendre en tant qu’institut d’études ?
Delphine Touboul : Le Règlement Général sera applicable dans un délai de 2 ans à compter de son adoption définitive, soit vraisemblablement au printemps 2018. Les instituts d’études, agissant en qualité de responsable de traitement de données personnelles, devront se conformer aux principales obligations suivantes, qui peuvent être anticipées dès à présent :
1. S’assurer de la légitimité des traitements de données personnelles mis en œuvre : les principaux fondements légitimant un traitement de données personnelles sont le consentement des personnes concernées, l’exécution d’un contrat, le respect d’une obligation légale ou les intérêts légitimes poursuivis par le responsable de traitement, sous réserve toutefois, dans cette dernière hypothèse, que ces intérêts ne soient pas outrepassés par les droits et libertés fondamentaux des individus.
2. S’assurer de la qualité du consentement des personnes concernées lorsque le traitement repose sur ce fondement : le consentement doit avoir été donné librement, de manière spécifique, éclairée et non ambigüe, soit par une déclaration soit par une action affirmative claire. Cela suppose que les personnes concernées soient, au minimum, dûment informées de l’identité du responsable de traitement et de la finalité du traitement. Cela suppose également que le consentement soit donné de manière active, c’est-à-dire qu’il ne résulte pas d’un silence ou d’une inaction (notamment d’une case pré-cochée), et qu’il ne soit pas imposé afin de pouvoir bénéficier d’un service lorsque cela n’est pas nécessaire. En outre, le consentement doit pouvoir être librement et simplement retiré à tout moment et des moyens devront donc être mis en place à cet effet. Concernant le traitement de données dites sensibles (parmi lesquelles figurent désormais les données génétiques et biométriques) et sous réserve des interdictions qui pourront être mises en place par les Etats Membres pour certaines catégories de données sensibles, le consentement doit être explicite.
3. Ne pas traiter de données personnelles de mineurs de moins de 16 ans (étant précisé que les Etats Membres pourront prévoir d’abaisser cette limite d’âge jusqu’à 13 ans) sans avoir obtenu le consentement préalable des parents ou représentants légaux. Des systèmes permettant de s’assurer du contrôle de l’âge et du recueil du consentement des parents devront être mis en place.
4. Informer les personnes concernées et s’assurer du respect de leurs droits : lors de la collecte de données personnelles, certaines informations doivent être fournies aux individus, telles que l’identité du responsable de traitement ou les finalités du traitement. Le Règlement Général impose la communication d’informations supplémentaires, notamment le fondement juridique sur lequel s’appuie le traitement, les durées de conservation ou encore le droit pour les individus de déposer une plainte auprès de l’autorité compétente. Par ailleurs, les personnes concernées doivent être informées des droits dont elles bénéficient (accès, rectification, suppression, opposition et portabilité) et être en mesure de les exercer de manière simple et effective. Les notices d’informations devront être revues et adaptées dans ce sens.
5. Désigner un Data Protection Officer (DPO) : les organisations dont l’activité principale implique le traitement régulier et systématique de données personnelles à une large échelle ou le traitement de données sensibles à une large échelle, auront l’obligation de désigner un DPO. Aucun seuil ne figure dans le Règlement Général mais il est vraisemblable que les instituts d’études seront concernés par cette mesure.
6. Tenir un registre des traitements mis en œuvre : si les obligations déclaratives envers les autorités de contrôle sont allégées, les organisations doivent en contrepartie tenir un registre interne contenant un certain nombre d’informations relatives au traitement (similaires à celles actuellement requises en cas de déclaration de traitement auprès de la CNIL). Cette obligation ne pèse pas sur les organisations de moins de 250 employés, sauf si les traitements mis en œuvre sont susceptibles de porter atteinte aux droits et libertés des personnes concernées, ne sont pas occasionnels ou concernent des données sensibles.
7. Mettre en place des procédures permettant de détecter, de notifier et d’enquêter sur les violations de données personnelles : en cas de violation de données personnelles, l’autorité compétente doit être informée sans retard injustifié et dans un délai maximum de 72h. Dans les cas les plus graves, les personnes concernées devront également être informées.
8. Être en mesure de démontrer la conformité aux dispositions légales : le Règlement Général impose un régime général de « responsabilisation » des responsables de traitement au titre duquel, en fonction de la nature, de l’étendue, du contexte et des finalités des traitements mis en œuvre et des risques qu’ils représentent, le responsable de traitement doit mettre en place les mesures techniques et organisationnelles nécessaires afin de s’assurer du respect des dispositions légales, et être en mesure d’en rapporter la preuve. Ces mesures peuvent notamment consister en des chartes de protection des données personnelles. L’adhésion à un code de conduite ou à des mécanismes de certification qui auront été approuvés par les autorités compétentes constituera un indice de conformité.
A NOTER que le Règlement Général impose un ensemble de nouvelles obligations et de restrictions aux organisations qui agissent en qualité de « sous-traitants », c’est-à-dire pour le compte du responsable de traitement. Lorsqu’ils traitent des données personnelles pour le compte de leurs clients ou partenaires, les instituts d’études devront donc également se conformer aux dispositions du Règlement et pourront voir leur responsabilité directement engagée en cas de manquement.
Survey-Magazine : A quels risques s’exposent ceux qui ne respectent pas les nouvelles obligations ?
Delphine Touboul : Les sanctions auxquelles s’exposent les organisations qui ne respectent pas les dispositions du Règlement Général seront nettement plus importantes que les sanctions actuelles. Le montant des sanctions financières qui pourront être prononcées par les autorités de contrôle variera en fonction de plusieurs facteurs (gravité du manquement, aspect intentionnel, nombre de personnes affectées, moyens mis en œuvre pour prévenir et minimiser les dommages, etc.). En fonction du manquement constaté, l’amende maximale s’élèvera soit à 2% du chiffre d’affaires annuel mondial, soit à 4% de ce chiffre d’affaires. En outre, le Règlement Général introduit le droit pour les personnes concernées de bénéficier de recours judiciaires efficaces et d’obtenir des dommages et intérêts en réparation du préjudice subi.