CONSULTATION PUBLIQUE DE LA COMMISSION EUROPEENNE SUR LE « DATA ACT »

Du 3 juin au 3 septembre 2021, la Commission européenne lance une consultation publique afin de recueillir les avis de toute personne physique ou morale permettant d’élaborer l’acte législatif sur les données, le « Data Act ». Sont ainsi invités à participer tant les associations professionnelles, les entreprises que les syndicats et citoyens.

Par cette initiative, la Commission entend créer « une économie fondée sur des données équitables en garantissant l’accès aux données et leur utilisation pour des finalités légitimes, y compris dans des situations interentreprises et entre les entreprises et les administrations publiques ».  

Différents points sont abordés au travers de cette consultation :

  • Le partage des données entre les entreprises et les administrations publiques dans l’intérêt public ;
  • Le partage de données entre entreprises ;
  • Les outils de partage des données avec notamment les contrats intelligents (« smart contracts »)
  • Les droits relatifs aux données de l’internet des objets à caractère non personnel découlant d’un usage professionnel ;
  • L’amélioration de la portabilité pour les utilisateurs professionnels du cloud ;
  • L’étoffement du droit à la portabilité ;
  • Les droits de propriété intellectuelle et la protection des bases de données ;
  • Les garanties pour les données à caractère non personnel au niveau international.

La Commission prévoit de présenter sa proposition de « Data Act » pour la fin de l’année 2021.

Si vous êtes intéressé par cette consultation publique et vous souhaitez participer, rendez-vous directement sur cette page pour remplir le questionnaire en ligne.  

Comment désigner un DPO auprès de la CNIL ?

Une fois l’identification du futur DPO faite, le responsable de traitement rédige une lettre de missions. Cette lettre de mission décrit les missions du DPO ainsi que les ressources mises à sa disposition pour exercer ses fonctions. Celle-ci devra être signée par le futur DPO pour marquer son acceptation.

En cas de recours à un DPO externe, n’appartenant donc pas à l’organisme, alors un contrat de services devra être signé et reprendra les éléments de la lettre de mission.

Cette formalisation de la désignation du DPO au sein de l’organisme n’est toutefois pas suffisante pour que la personne remplissant ce rôle revête officiellement la qualité de DPO au sens de la règlementation. Pour ce faire, l’identité du futur DPO doit être communiquée auprès de la CNIL, l’autorité compétente en France.

Cette désignation du DPO s’effectue, en ligne sur le site de la CNIL, par la soumission d’un formulaire comportant les éléments suivants :

Pour l’organisme

  • Les nom, prénom et adresse électronique du représentant légal de l’organisme ainsi que la dénomination, adresse, effectif et secteur de l’organisme responsable de traitement ou du sous-traitant, et le cas échéant, le numéro SIREN de l’organisme.

Pour le DPO

  • Les nom, prénom et adresse électronique.  

Une fois le formulaire électronique de la CNIL complété, la désignation prend officiellement effet le lendemain de la saisie en ligne.

Il appartient, ensuite, à l’organisme de communiquer les moyens de joindre le DPO vis-à-vis de l’extérieur (par ex. une adresse électronique). Il n’y a pas d’obligation de divulguer l’identité du DPO.

L’identité du DPO doit être divulguée vis-à-vis des personnes de l’organisme et, en cas de notification de violation de données, vis-à-vis des personnes concernées.

Quel profil pour être DPO ?

La Règlementation prévoit que le DPO doit être désigné « sur la base de ses qualités professionnelles et, en particulier de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir [ses] missions ».

Il n’existe pas de profil particulier pour être DPO. Néanmoins, le DPO devra présenter certaines qualités relatives à son expertise et à sa posture ainsi qu’à son positionnement au sein de l’organisme.

Les qualités professionnelles attendues du DPO s’entendent   

  • des connaissances spécialisées du droit et des pratiques en matière de protection des données
  • d’une bonne connaissance du secteur d’activité dans lequel il va intervenir, de l’organisme qui va le désigner et des besoins de cet organisme sur le sujet.

Ainsi, par exemple, il sera nécessaire de bien connaître les essais cliniques pour un DPO d’une biotech.

Une fois désigné, le DPO doit continuer d’entretenir ses connaissances.

Le DPO doit également disposer de qualités humaines et professionnelles du DPO pour accomplir ses missions.

Il devra :

  • faire preuve d’une aptitude à communiquer efficacement
  • être en capacité d’exercer ses fonctions et missions en toute indépendance
  • être pédagogue et patient pour réussir à impliquer les différents acteurs de l’organisme et ainsi obtenir les réponses nécessaires pour remplir ses missions.

Dans quel cas est-il obligatoire de désigner un DPO ?

La désignation d’un DPO est vivement recommandée par la CNIL et le Comité européen à la protection des données (CEPD). Elle permet en effet de confier à un expert l’identification et la coordination des actions à conduire en matière de protection des données personnelles.

Néanmoins, la désignation d’un DPO est obligatoire dans trois cas :

  • le traitement de données est réalisé par une autorité ou un organisme public, sauf juridictions agissant dans l’exercice de leur fonction juridictionnelle 
    • ex. les communes, les conseils départementaux, les régions
  • les activités de base de l’entité consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées ;
    • ex. traitement de données d’une biotech réalisant des essais cliniques
  • les activités de base de l’entité consistent en un traitement à grande échelle de données sensibles ou de données à caractère personnel relatives à des condamnations pénales et à des infractions.
    • ex. traitement de données de patients par hôpital dans le cadre du déroulement normal de ses activités.

Il n’est pas nécessaire pour un médecin exerçant en libéral à titre individuel de désigner un DPO.

Tout organisme qui décide de ne pas nommer un DPO doit prendre soin de documenter cette décision afin de prouver qu’il se trouve dans un cas où la désignation d’un DPO n’est pas obligatoire.

Le choix du DPO est libre. Les organismes peuvent désigner une personne en interne chargée de cette fonction ou décider d’externaliser la fonction de DPO sur la base d’un contrat de service. Le DPO peut être mutualisé entre plusieurs organismes du même groupe ou autorités selon la structure organisationnelle et taille.

Quelles sont les missions d’un DPO ?

Le DPO est au cœur de la règlementation sur la protection des données. Il est le « chef d’orchestre » de la conformité. Sa mission principale est de veiller au respect de la règlementation en la matière. Il tient compte du risque associé aux opérations de traitement en fonction de la nature, la portée, le contexte et des finalités du traitement.

Cette mission comprend :

  • Information et conseil de l’organisme qu’il soit responsable de traitement ou sous-traitant ainsi que les employés en matière de protection des données
    • Répondre aux interrogations,
    • Inciter à adopter de bonnes pratiques,
    • Apprécier les risques présentés par les traitements mis en œuvre et
    • Préconiser le cas échant, des mesures visant à réduire, voire effacer, ces risques.
  • Dispensation de conseils sur demande
    • Définir les traitements pour lesquels une analyse d’impact doit être menée
    • Veiller à la réalisation des analyses d’impact préconisées
  • Contrôle de la conformité à la règlementation sur la protection des données
    • Veiller à la répartition des responsabilités
    • Sensibiliser et former le personnel 
    • Vérifier et auditer  
  • Coopération avec l’autorité de contrôle – en France, la CNIL.
  • Contact privilégié de la CNIL 
    • Consulter au préalable pour les analyses d’impact et sur d’autres sujets si nécessaire
  • Contact des personnes concernées
    • Répondre aux questions des personnes concernées relatives au traitement de leurs données à caractère personnel et à l’exercice de leurs droits au regard de la Réglementation

Futures décisions d’adéquation de la Corée du Sud et du Royaume-Uni

Depuis 2017, des discussions avec la République de la Corée du Sud étaient ouvertes pour parvenir à une décision d’adéquation au titre du Règlement général sur la protection des données (RGPD).

La récente réforme de la loi sur la protection des données personnelles (PIPA) en République de Corée du Sud et le renforcement des pouvoirs de la Commission de protection des données personnelles (PIPC) vont permettre la finalisation des discussions sur l’adéquation entre l’Union européenne et la République de Corée du Sud, confirmé par une déclaration conjointe du 30 mars 2021. 

Par conséquent, la Commission européenne devrait procéder prochainement au lancement de la procédure en vue de faire adopter la décision d’adéquation dans les mois à venir. 

Dans le même temps, la Commission a lancé la procédure d’adoption de la décision d’adéquation pour les transferts de données à caractère personnel vers le Royaume-Uni, en vertu du règlement général sur la protection des données (RGPD). Cette adoption mettra fin à l’application de l’accord temporaire post-Brexit et assurera la conformité des transferts de données entre l’Union européenne et le Royaume-Uni.

Qu’est-ce qu’un transfert de données?

Un transfert de données est une communication, copie ou déplacement de données personnelles en vue d’un traitement dans un pays tiers à l’Union européenne ou l’Espace économique européen. L’accès à distance depuis un pays tiers est un transfert de données.

De tels transferts sont légalement possibles sous réserve que le niveau de protection des données soit suffisant et approprié, notamment que les personnes concernées disposent des mêmes droits et garanties concernant leurs données qu’au sein de l’Union européenne.

La Règlementation encadre les transferts internationaux de données par différents outils juridiques :

  • Décisions d’adéquation

– Décision de la Commission européenne prise sur la base d’un examen global de la législation dans un Etat

– Niveau de protection des données équivalent à celui applicable dans l’Union européenne

  • Clauses contractuelles types de la Commission européenne

– Modèles de contrats de transfert adoptés par la Commission

  • Règles internes d’entreprises ou « Binding Corporate Rules » (« BCR »)

– Politique de protection des données intra-groupe en matière de transferts de données

– Entreprises privées implantées dans plusieurs pays de l’Union européenne et hors Union européenne

  • Clauses contractuelles spécifiques

– Clauses différentes de celles adoptées par la Commission européenne

  • Code de conduite approuvé

– Engagement contraignant pris par les destinataires des données hors Union européenne d’appliquer certaines garanties

  • Instruments juridiquement contraignants et exécutoire entre autorités publiques

– Tel qu’arrangement administratif entre l’Autorité des marchés financiers et ses homologues hors Union européenne

Selon l’outil juridique privilégié, le transfert pourra nécessiter en sus une autorisation de la CNIL.  

Fuite de données de santé

Début mars 2021, la presse relayait la publication sur internet d’un fichier contenant des données médicales de près de 500 000 patients qui proviendraient de laboratoires d’analyse médicale.

La CNIL a communiqué sur les investigations en cours entourant cette violation de données. Elle a notamment procédé à des opérations de contrôle auprès des organismes concernés et s’est assurée que les personnes impactées par cette violation de données avaient bien été informées par les organismes. L’enquête de la CNIL se poursuit.

En outre, elle a informé avoir saisi le tribunal judiciaire de Paris lequel a adopté une décision demandant aux principaux fournisseurs d’accès à internet de restreindre l’accès à un site hébergeant les données en cause.

Pour l’heure, l’enquête se poursuit en coopération avec le parquet de Paris et l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Quand le registre de traitements est-il obligatoire ?

La mise en place d’un registre de traitements est prévue à l’article 30 du RGPD. Il s’agit d’un document recensant et analysant les traitements de données personnelles réalisés par un responsable de traitement.

L’obligation de tenir un registre de traitements concerne tous les organismes qu’ils soient publics ou privés. Elle incombe au responsable de traitement et au sous-traitant.

Les entreprises ou organisations comptant moins de 250 employés bénéficient d’une dérogation leur permettant de ne pas tenir ce registre. A la condition que l’entreprise ou l’organisation effectue des traitements occasionnels, des traitements qui ne comportent pas de risque pour les droits et libertés des personnes, ni sur des données sensibles.

Si tel n’est pas le cas, alors devront néanmoins être inscrits a minima dans le registre

  • les traitements non occasionnels : gestion de la paie, gestions des clients/prospects et fournisseurs…
  • les traitements susceptibles de comporter un risque pour les droits et libertés des personnes concernées : système de géolocalisation, de vidéosurveillance…
  • les traitements portant sur des données sensibles : données de santé, infractions…

Dans les faits, cette dérogation est donc limitée à des cas très spécifiques de traitements.

En cas de doute sur le bénéfice de cette dérogation, il est recommandé de mettre en place le registre et d’y recenser tous les traitements et non le limiter aux traitements mentionnés ci-dessus.

C’est un outil essentiel de pilotage de la conformité à la Règlementation. Mis à jour régulièrement, il contribue à la démonstration de la conformité.

Qu’est-ce qu’une violation de données ?

Une violation de données est un incident de sécurité, intentionnel ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.

La violation de données peut se caractériser par la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles ou l’accès non autorisée à de telles données de manière accidentelle ou illicite.

A titre d’exemples, constituent des violations de données :

  • L’envoi d’un mail contenant des données personnelles au mauvais destinataire
  • La perte d’une clé USB non sécurisée contenant un fichier de clients
  • La suppression accidentelle de données clients

Tous les organismes traitant des données personnelles doivent mettre en place des mesures pour sécuriser les données qu’ils traitent et donc prévenir les violations de données ainsi que réagir de manière adéquate en cas de violation.

Si la violation de données présente un risque pour les personnes concernées, le responsable de traitement devra effectuer une notification à la CNIL dans les 72 h et, en cas de risque élevé pour les personnes concernées, celles-ci devront en être informées.

 Article 32 du RGPD – Sécurisation des données

Article 33 du RGPD – Notification à une autorité de contrôle d’une violation de données à caractère personnel