Droit des personnes concernées/ obligations des responsables de traitement
1. Principe général
L’article 1 consacre dorénavant un droit pour toute personne de décider et contrôler l’usage fait de ses données personnelles. La CNIL le qualifie d’un droit à l’autodétermination informationnelle.
2. Protection des mineurs
L’article 58 renforce et encadre la protection des mineurs dans le cadre de recherches, d’études ou d’évaluations dans le domaine de la santé.
L’article 40 prévoit aussi désormais un « droit à l’oubli » spécifique aux mineurs et une procédure accélérée pour l’exercice de ce droit :
– Lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement des données problématiques « dans les meilleurs délais ». En l’absence de réponse ou de réponse négative de la plateforme dans un délai d’un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour y répondre.
– Il y a un certain nombre d’exceptions à cette obligation.
3. La possibilité d’organiser le sort de ses données personnelles après la mort
L’article 40-1 pose les règles permettant aux usagers de définir, de leur vivant, les consignes à adopter, après leur disparition, à propos de leurs données personnelles mises en ligne. Lorsque ces directives sont générales et portent sur l’ensemble des données du défunt, elles peuvent être confiées à un tiers de confiance certifié par la CNIL.
Lorsqu’il s’agit de directives particulières, elles peuvent également être confiées aux responsables de traitement (réseaux sociaux, messagerie en ligne). Elles font l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci de conditions générales d’utilisation.
En l’absence de directives données de son vivant par la personne décédée, les héritiers auront la possibilité d’exercer certains droits.
4. Information des consommateurs
La loi ajoute à la liste des informations qui doivent être données au titre de l’article 32 : la durée de conservation des catégories de données traitées, et si c’est impossible, les critères déterminant cette durée.
5. Droit d’exercice par voie électronique
Article 43 bis prévoit que s’il y a collecte par voie électronique des données personnelles, le responsable de traitement doit permettre à la personne concernée « lorsque cela est possible » d’exercer ses droits par voie électronique.
Si le responsable de traitement est une autorité administrative, cette obligation lui incombe également, sous réserve des dispositions propres à l’administration[[1]]url:#_ftn1 .
Changements concernant les pouvoirs de la CNIL
1. Augmentation du montant maximum de la sanction
Le montant maximum que la CNIL peut infliger est passé de €150.000 € à 3 millions €.
À compter du 25 mai 2018, le plafond sera celui des sanctions prévu par le Règlement Général sur la Protection des Données 2016/679 (RGPD), soit au maximum 20 millions € ou 4% du chiffre d’affaires.
2. Autre pouvoirs en matière de sanctions et procédures
– La CNIL peut fixer le délai imparti à un responsable de traitement pour se mettre en conformité avec la loi, à 24 heures en cas d’extrême urgence, au lieu de cinq jours au moins jusqu’ici ;
– Le champ du référé judiciaire est élargi (toutes mesures nécessaires pouvant à présent être prononcées sous astreintes, il n’est plus obligatoire que ces mesures soient « de sécurité »);
– La CNIL pourra prononcer des sanctions financières sans mise en demeure préalable des organismes, lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité ;
– La formation restreinte de la CNIL peut désormais ordonner que les organismes sanctionnés informent individuellement de cette sanction et à leur frais, chacune des personnes concernées.
3. Coopération internationale
La CNIL peut, à la demande d’une autorité exerçant des compétences analogues aux siennes dans un Etat non membre de l’Union européenne, dès lors que celui-ci offre un niveau de protection adéquat des données à caractère personnel :
– procéder à des vérifications et
– lui communiquer les informations qu’elle recueille ou qu’elle détient.
La CNIL devra préalablement conclure une convention organisant ses relations avec l’autorité en question (qui sera publiée au Journal officiel).
4. Élargissement des missions de la CNIL
La CNIL sera saisie pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données.
Les avis de la CNIL sur les projets de loi ou certains décrets seront automatiquement publiés.
La CNIL pourra procéder à la certification de la conformité des processus d’anonymisation des données personnelles dans la perspective de leur mise en ligne et de leur réutilisation.
La CNIL pourra saisir pour avis l’ARCEP de toute question relevant de la compétence de celle-ci et vice versa.
***
Il s’agit-là de changements significatifs dont un certain nombre anticipent des dispositions prévues par le RGPD qui entrera en vigueur en mai 2018.
Contact : stephanie.faber@squirepb.com
[1] L. 112-7 et suivants du code des relations entre le public et l’administration.