4 points à retenir sur le règlement européen sur la protection des données

La Commission nationale de l’informatique et des libertés (CNIL) a jusqu'à très récemment conservé le monopole de la régulation du web français. Toutefois, l’Union européenne et ses instances dirigeantes prennent la main avec un nouveau règlement sur la protection des données personnelles qui sera effectif à partir du 25 mai 2018.

Il est donc temps d’adapter vos pratiques en matière de collecte et de traitement des données avant l’entrée en vigueur de cette réglementation européenne. Mais que dit-elle vraiment ?

Voici 4 points importants à retenir sur les nouvelles règles qui encadrent le traitement des données en Europe.

Jusqu’à l’adoption du règlement européen en matière de données personnelles, seules les instances nationales (comme la CNIL) étaient habilitées à statuer sur la légalité (ou non) des pratiques constatées. Résultat : des contournements évidents des législations nationales par les responsables de traitement de données, qui pouvaient profiter des « flous » juridiques de certains pays européens pour cibler les résidents d’un pays plus sévère en la matière.

Désormais, l’ensemble des pays membres de l’Union européenne sont tenus de respecter un règlement unique, qui prévaut sur les dispositions juridiques nationales. Cette législation unifiée permettra également de sanctionner des responsables de traitement des données établis en dehors de l’Union européenne, mais qui « cibleraient » des ressortissants européens.

Le nouveau règlement européen sur la protection des données personnelles vise en premier lieu à protéger le droit des personnes (et donc des internautes). C’est pourquoi il met l’accent sur la notion de consentement, dont la preuve doit pouvoir être apportée par le responsable de traitement des données.

Plus concrètement, cette notion de consentement doit se traduire par une information claire, explicite et accessible sur l’usage des données collectées. Cette information doit être mise à la disposition de l’internaute à chaque fois que ses données personnelles sont collectées et traitées : dans le cas contraire, le responsable du traitement peut s’exposer à de graves sanctions.

Et si la notion de consentement a été éclaircie pour les internautes majeurs, elle a également été approfondie pour mieux protéger les mineurs de moins de 16 ans sur le web. En effet, les informations relatives au traitement des données doivent être adaptées à l’âge du public concerné. Pour les enfants et les adolescents de moins de 16 ans, ces informations doivent donc être parfaitement claires et compréhensibles par tous.

Par ailleurs, le consentement d’un individu mineur n’a aucune valeur juridique en matière de données personnelles : seul un titulaire de l’autorité parentale est en mesure de consentir au traitement de ces données.

Enfin, le nouveau règlement européen sur la protection des données personnelles étoffe l’arsenal juridique mis à la disposition des instances concernées. La CNIL sera ainsi en mesure d’émettre des avertissements aux responsables de traitement, mais aussi d’imposer la limitation et/ou la suspension d’un flux de données présumé illicite. Enfin, les instances de régulation seront en mesure d’obliger les responsables de traitement à rectifier ou à effacer des données personnelles.

Un système d’amendes administratives vient compléter cet important dispositif juridique, destiné à protéger la liberté et la vie privée des internautes avant tout.