Les TPE et PME risquent d’être soumises à la Directive données personnelles

Le 25 janvier 2013 – 14 h 55

Le projet de règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données examiné, le 16 janvier dernier par les parlementaires européens de la Commission affaires juridiques, élargit le périmètre d’application en faisant fi de la taille de l’entreprise.

Quels sont les changements éventuels pour les entreprises ?

Le projet contient plusieurs changements impactant.

Le seuil de la taille de structures de plus de 250 personnes est abandonné pour être remplacé par la notion de volume de traitement. Ainsi toute entreprise ou structures publiques réalisant un traitement sur plus de 5000 personnes par an devront désigner pour une durée minimum de 4 ans, un délégué à la protection des données, qui est un emploi protégé.

“Le délégué à la protection des données devrait, en particulier, être consulté préalablement à la conception, à la fourniture, au développement et à la mise en place de tout système de traitement automatique des données à caractère personnel, afin de garantir le respect des principes de protection de la vie privée dès la conception et par défaut” précise l’amendement. Les dispositions prévoyant des définitions de procédures et obligations administratives risquent d’être difficile à mettre en place dans les petites entreprises croulant sous les démarches administratives et fortement touché par “l’impôt papier”.

Par ailleurs, le texte prévoit qu’en cas de violation des données les responsables du traitement doivent notifier aux autorités compétentes sous un délai de 72 h et non plus 24 H. Les personnes concernées devront être informée uniquement lorsqu’une violation des données risque de porter atteinte à la protection des données à caractère personnel ou à la vie privée des personnes concernées, par exemple en cas de vol ou d’usurpation d’identité, de perte financière, de dommages physiques, d’humiliation grave ou d’atteinte à la réputation.

Du côté des sanctions, un nouveau système est proposé et repose sur un certain nombre de critères pour déterminer la sanction administrative et le montant de l’amende. Les paramètres sont donc les suivants:

a) la nature, la gravité et la durée de l’infraction,

b) le fait que l’infraction a été commise de propos délibéré ou par négligence,

c) le degré de responsabilité de la personne physique ou morale en cause et les violations antérieurement commises par elle,

d) les mesures et procédures techniques et d’organisation mises en œuvre,
e) les catégories particulières de données à caractère personnel affectées par l’infraction,
f) le caractère répétitif de l’infraction,
g) le niveau du préjudice subi par les personnes concernées,
h) l’intérêt pécuniaire à l’origine de l’infraction commise par la personne responsable et le niveau des bénéfices engrangés ou des pertes évitées par cette dernière, dans la mesure où ces éléments peuvent être déterminés,
i) le degré de coopération avec l’autorité de contrôle en vue de remédier à la violation et d’atténuer les éventuels effets négatifs de l’infraction,

j) le refus de coopérer ou l’obstruction faite au déroulement des inspections, audits et contrôles menés par l’autorité de

Ainsi, le montant de l’amende de l’autorité de contrôle que l’autorité peut infliger ne pourra atteindre sans excéder 1.000.000 EUR.

 

Parer aux pratiques d’entreprises implantées dans un pays tiers mais exerçant sur le sol de l’UE.

Par ailleurs, les 350 amendements qui ont été déposés visent à protéger contre une exploitation non contrôlée par des entreprises exerçants au sein de l’UE mais implantées sur un autre territoire et précisent le mécanisme de lever des protections.

Ainsi, le projet de règlement s’appliquerait à tout responsable du traitement qui n’est pas établi dans l’Union européenne lorsque les activités de traitement sont destinées à l’offre de biens ou de services aux personnes concernées au sein de l’Union, indépendamment de savoir si ces biens ou services sont fournis à titre onéreux, ou à l’observation de leur comportement. Chacun comprendra que les entreprises Outre-Atlantique sont essentiellement visées.

Toujours dans ce sens, le projet mentionne que le transfert de données vers des pays tiers devrait être autorisé que par l’autorité chargée de la protection des données sous certaines conditions spécifiques.

De la même manière, les députés précisent que le règlement s’applique à toutes activités “indépendamment de savoir si ces derniers sont fournis à titre gracieux ou onéreux”.

Dans cet esprit, le règlement couvre “non seulement l’observation du comportement des résidents de l’Union par tout responsable du traitement qui n’est pas établi dans l’Union, notamment par le traçage sur internet, mais aussi la collecte et le traitement des données à caractère personnel des résidents de l’Union”.

Le mécanisme de lever de la protection des données

Les éditeurs de systèmes de traitement automatisé des données (matériel et logiciel) sont également invités à  tenir compte du principe de respect de la vie privée dès la conception et par défaut, même s’ils ne procèdent pas eux-mêmes au traitement de données.

Le droit à l’effacement et le droit à la rectification sont renforcés. Toutefois, lorsque la personne a consenti à la publication de ses données le droit à l’oubli numérique ne serait pas légitime.

Le traitement des données à caractère personnel est précisé avec l’ajout d’un paragraphe dans l’article 6. Il précise “Si aucun des fondements juridiques  visés au paragraphe 1 ne sous-tend le  traitement des données à caractère  personnel, le traitement des données à  caractère personnel n’est licite que si et  dans la mesure où il est nécessaire aux  fins des intérêts légitimes poursuivis par  le responsable du traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui  exigent la protection des données à caractère personnel. Dans un tel cas, le responsable du traitement des données informe expressément et séparément la personne concernée du traitement des données. Le responsable du traitement publie également les motifs qu’il a de croire que ses intérêts prévalent sur les intérêts ou les libertés et les droits fondamentaux de la personne concernée”.  Ce paragraphe ne s’applique pas au traitement effectué par les autorités publiques dans l’exécution de leurs missions.

Un troisième paragraphe, toujours dans cet article 6, fournit des indications sur les intérêts légitimes du responsable du traitement qui prévalent en principe sur les intérêts ou les libertés et droits fondamentaux de la personne concernée. Dans quel cas ? A titre d’exemple, le traitement des données à caractère personnel est donc considéré comme légitime s’il intervient dans le contexte de relations professionnelles entre entreprises et les données ont été collectées auprès de la personne concernée à cette fin. Ou encore, le traitement prévaut, lorsque les données à caractère personnel est nécessaire à des associations, des fondations et des organisations caritatives enregistrées et sans but lucratif, dont la mission est reconnue d’intérêt général en vertu du droit de l’Union ou de la législation  nationale, dans le seul objectif de collecter des dons.

Le quatrième paragraphe, a contrario, indique les libertés qui prévalent sur les intérêts légitimes du responsable du traitement. Ainsi, par exemple l’article 8, autorise le traitement des données à caractère personnel relatives à un enfant de moins de 13 ans que si, et dans la mesure, où le consentement est donné ou autorisé par un parent de l’enfant ou par son représentant légal. Cependant la disposition du quatrième paragraphe prévaut si la personne concernée est un enfant.

Le règlement inscrit également plusieurs mesures visant à garantir clairement le consentement en connaissance de cause et l’information sur le recueil et traitements des données. Il instaure des mécanismes de contrôle et de certification, l’encouragement à l’établissements de Label mais aussi la gratuité du droit d’opposition.

Enfin, elle met en place l’autorité de protection des données, établissement principal qui sera l’autorité chef de file et servira de point de contact unique pour le responsable ou le sous-traitant en vue de simplifier et coordonnée les démarches.

Patrice REMEUR