mardi 2 juin 2020    || Inscription
BanniereNews
 
 

Lundi dernier, le 10 octobre, la loi "pour une République Numérique" a enfin été publiée au Journal Officiel. Or, un certain nombre de ses articles, notamment ceux qui parlent des sanctions en cas de manquement aux obligations des responsables de traitement sur la protection des données à caractère personnel, sont, de l’avis de ceux qui traduisent le discours en entreprise, peu lisibles. Dommage… 

Il faut pas mal de culture juridique et une certaine habitude des allers-retours entre les textes pour comprendre exactement ce qu’il en est : l’article 65 de la loi "pour une République Numérique", qui fait référence de manière précise à l’article 47 de la loi du 6 janvier 1978, prévoit expressément en cas de manquement une sanction « qui ne peut excéder trois millions d’euros ». Or, dans les précédents débats, cette sanction avait été portée à 10 millions, et 2% du chiffre d’affaires mondial consolidé.

Notons que dans le règlement européen UE 2016/679, qui s’applique à partir du 25 mai 2018, c’est 20 millions d’euros ou 4% du chiffre d’affaires mondial consolidé qui doit être pris en considération dans les cas les plus graves. La valeur à prendre en compte sera le maximum de ces 2 valeurs : 20 millions ou 4% du chiffre d'affaires mondial.

De plus, il est mentionné dans cet article 65 de la loi "pour une République Numérique", qu’à compter du 25 mai 2018, les sanctions appliquées aux entreprises le sont conformément à l’article 83 dudit règlement européen UE 2016/679. « En dehors de ce champ », précise l’article 65 de la loi "pour une République Numérique", « l’article 47 de la loi n° 78-17 du 06 janvier 1978 relative à l’informatique, aux fichiers et aux libertés dans sa rédaction résultant du présent article, est applicable ». 

Faut-il lire trois textes pour comprendre une loi ? 

Ce qui veut dire deux choses :  d’une part, que pour comprendre une loi, il faut lire trois textes : la loi de 1978 (78-17), le règlement européen du printemps 2016 (UE 2016-679), et la loi "pour une République Numérique" de l'automne 2016 (2016-1321). Ce n’est pas des plus simples. Qu’ensuite, la loi s’applique jusqu’à ce que le règlement européen entre en vigueur. Autrement dit, et sauf erreur de notre part, jusqu’au 25 mai 2018 la sanction est de, maximum, 3 millions d’euros, pour passer à 20 millions le 25 mai 2018. Un peu rude comme écart…

La Cnil, qui vient de déménager sur le site de Fontenoy-Ségur le 10 octobre, commente que le chiffre de 2% était déjà en discussion depuis un certain temps, et que, de toutes façons, 3 millions d'euros par rapport à 150.000 euros d’amende (ou 300.000 Euros en cas de récidive - Ndlr-), c’est déjà une progression sensible. Sans nul doute, mais n’aurait-on pas pu faire plus simple et intégrer un montant supérieur comme c’était le cas dans le projet de loi en discussion au printemps dernier, voire intégrer tout de suite le chiffre du règlement européen (20 millions en cas de manquement grave ou de non-réponse à injonction) pour que les entreprises sachent à quoi s’en tenir ? Les bureaux d’avocats vont avoir un peu de travail pour faire de l’explication de texte… 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142661
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI