mardi 11 décembre 2018    || Inscription
BannierePresse
 
 

Bonn, Paris, La Haye, Madrid, le 2 avril - Le 25 janvier 2012, la Commission européenne a adopté une proposition de règlement en vue d’établir le futur cadre pour la protection de la vie privée dans l’Union européenne.

Projet de Règlement européen (synthèse des principales mesures)
  • Règlement européen (application directe uniforme) 
  • Actes délégués et d’exécution (Commission européenne)
  • Moins de formalisme, mais Documentation (Accountability) 
  • Guichet unique (établissement principal), mais les personnes pourront assigner à leur choix
  • Consentement, Transparence, Droit à l’oubli 
  • Portabilité des données personnelles 
  • Action de concert (Class action) 
  • Statut légal du sous-traitant 
  • Assouplissement des flux transfrontières 
  • Désignation obligatoire d’un DPO (CIL) 
  • Analyses d’impact et Privacy by Design 
  • Notification des violations aux traitements de données personnelles

Créée en septembre 2011 du rapprochement des associations de délégués à la protection des données française, allemande, espagnol et néerlandaise, la CEDPO (Confederation of European Data Protection Organisations) publie ce jour sa première note de position sur ce projet de Règlement européen appelé à modifier en France la loi « Informatique et Libertés ».

La CEDPO porte un regard globalement favorable sur le projet, car il tend vers une simplification et une harmonisation des règles.

De plus, il place au centre du dispositif le Délégué à la protection des données (DPO - pour Data Protection Officer - ou CIL – pour Correspondant Informatique et Libertés), que celui-ci soit interne, externe ou mutualisé.

La CEDPO salue l’obligation de désignation obligatoire du CIL, mais propose en parallèle la mise en place une campagne de communication afin de mettre en lumière son rôle et ses conséquences bénéfiques sur l’organisme qui l’emploie.

Pour renforcer l’efficience du CIL, plusieurs points concrets sont proposés :

  • L’exemption de demande d’autorisation à l’autorité de contrôle nationale pour un traitement de données à caractère personnel, à partir du moment où l’entreprise a désigné un CIL. Cette mesure optimiserait l’allègement administratif annoncé par Bruxelles ;
  • La mise en place une procédure de médiation auprès du CIL lorsqu’une personne concernée, dont les données personnelles font l’objet d’un traitement, a une réclamation ou souhaite se plaindre, et ceci avant assignation devant un tribunal ou avant une plainte à l’autorité de contrôle ; 
  • Dans le cadre de la future obligation de notification des violations aux traitements de données à caractère personnel à l’autorité de contrôle nationale, l’analyse du CIL sur l’incident et son conseil au responsable de traitement sur la pertinence de la notification à l’autorité de contrôle ; 
  • L’obligation, pour le responsable de traitement, de fournir au CIL une qualification adéquate: La CEDPO insiste sur le fait que l’employeur doit permettre à son Correspondant Informatique et Libertés de poursuivre une formation qualifiée ; 
  • La création d’un contexte visant à protéger l’indépendance du CIL : La création d’une période minimum de désignation de deux ans reconductible laisse la CEDPO dubitative. Pour garantir au CIL l’indépendance nécessaire à la bonne exécution de sa mission, la CEDPO propose plutôt de lui offrir des protections contre un renvoi injustifié, en s’inspirant de la loi « Informatique et Libertés » actuelle1.

Cette première note de position et les propositions formulée ci-avant par la CEDPO seront transmises à la Commission européenne, en espérant que cette dernière prenne compte des remarques formulées par les professionnels en la matière.

A propos de CEDPO

CEDPO a été créée en septembre 2011 par des associations européennes de protection des données personnelles, à savoir, l’AFCDP (Association Française des Correspondants à la Protection des Données à Caractère Personnel) en France, l’APEP (Asociación Profesional Española de Privacidad) en Espagne, la GDD (Gesellschaftfür Datenschutz und Datensicherheit) en Allemagne, et la NGFG (Nederlands Genootschaap van Functionarissenvoor de Gegevensbescherming) dans les Pays Bas. CEDPO a pour objet de promouvoir le rôle du délégué à la protection des données personnelles, de fournir des conseils pour une protection des données personnelles prenant en compte les intérêts en présence, pragmatique et effective et de contribuer à une meilleure harmonisation de la règlementation et des pratiques en matière de protection des données personnelles au sein de l’UE/EEA.

A propos de la GDD (Allemagne)

L’association allemande pour la protection et la sécurité des données (GesellschaftfürDatenschutz und Datensicherunge.V., GDD) a été créée en 1977. La GDD est un organisme à but non lucratif ayant pour objet la protection effective et pragmatique des données. Avec plus de 2400 membres– essentiellement des sociétés – la GDD est l’association de protection des données leader en Allemagne. Outre le fait de fournir différentes prestations à ses membres, telles que de l’enseignement, de la formation et la certification des DPO, des guides pratiques et des opportunités de mise en contact de professionnels de la protection des données à travers toute l’Allemagne, la GDD représente également la position de ses membres à un niveau national et européen.

A propos de l’AFCDP (France)

L’AFCDP, Association Française des Correspondants à la Protection des Données, a été créée en 2004 suite à la réforme de la loi du 6 janvier 1978 sur la protection des données à caractère personnel, qui a donné naissance à la fonction de DPO («Correspondant à la protection des données à caractère personnel» également appelé CIL, « Correspondant Informatique & Libertés »). L’AFCDP est un lieu d’échange qui accueille toute personne intéressée par la protection des données à caractère personnel: CIL, chargés de la protection des données, avocats, responsables ressources humaines, DSI, RSSI, directeurs qualité et directeurs conformité, professionnels du e-commerce et du marketing … Plus de 1.300 personnes ont déjà rejoint cette association à but non lucratif. L’AFCDP encourage la discussion et les échanges d’informations en matière de protection des données personnelles en vue de faciliter la communication entre ses membres et de promouvoir les meilleures pratiques. L’AFCDP entretient un dialogue avec la CNIL et d’autres autorités concernées au niveau français et européen par la protection des données personnelles.

A propos de la NGFG (Pays-Bas)

Het NederlandsGenootschap van Functionarissenvoor de gegevensbescherming (NGFG) est l’association néerlandaise des DPO, une fonction prévue à l’article 62 de la loi néerlandaise de protection des données personnelles, la Wet beschermingpersoonsgegevens (WBP). La WBP comprend une disposition au terme de laquelle les entreprises, les organismes sectoriels, l’état et les institutions peuvent designer en interne un superviseur afin de protéger les droits des personnes concernées par un traitement, à savoir le délégué à la protection des données. Cette personne assure en interne la correcte application et le respect des lois applicables, des règlementations et des codes de conduite sectoriels, en matière de protection des données personnelles. De part leurs missions statutaires, leurs responsabilités et leurs pouvoirs, les délégués à la protection des données sont en mesure d’agir de façon indépendante au sein de leur organisme. La désignation des délégués à la protection des données correspond à la façon dont la WBP a mis en oeuvre les dispositions de l’article 18, second paragraphe de la Directive 95/46/CE relatif aux “délégués à la protection des données ».

A propos de l’APEP (Espagne)

L’Association Espagnole des Professionnels de la Vie Privée (Asociación Profesional Española de la Privacidad) a été créée en 2009 par des personnes de différents profils professionnels à l’intention de professionnels des secteurs privés et publics intéressés par la protection des données personnelles et de la vie privée: juristes d’entreprises, avocats, experts IT, IS et CTI ainsi qu’enseignants. En 2010, elle a lancé la certification APEP pour des professionnels “responsables” afin de mettre en valeur les rôles professionnels de la protection des données et ainsi participer à la création de la confiance dans le marché émergent et dynamique qu’est celui de la « privacy ». L’APEP a établi des liens réguliers avec plusieurs autorités de contrôle ainsi qu’avec des associations et des institutions dans le domaine de la protection de la vie privée tant au niveau national, européen, qu’international.





Partenaires Mag-Securs