La loi pour une République numérique protège encore plus nos données personnelles
La loi pour une République numérique protège encore plus nos données personnelles |
Quels sont les apports de la loi république numérique en matière de protection des données personnelles ?
La loi pour une République numérique du 7 octobre 2016 crée de nouveaux droits informatique et libertés et permet ainsi aux individus de mieux maîtriser leurs données personnelles. Elle renforce les pouvoirs de sanctions de la CNIL et lui confie de nouvelles missions. Elle contribue également à une meilleure ouverture des données publiques. Certaines dispositions anticipent le règlement européen sur la protection des données personnelles applicable en mai 2018. Publiée au Journal Officiel du 8 octobre 2016, la loi pour une république numérique introduit de nombreuses dispositions directement applicables, d’autres doivent attendre la publication de décrets d’application. Nous recensons ci-dessous les dispositions d’application directe. Ce recensement sera mis à jour au fur et à mesure de la publication des décrets d’application. De nouveaux droits pour les personnes
L’affirmation du principe de la maîtrise par l’individu de ses données Le droit à l’autodétermination informationnelle s’inspire d’un droit similaire dégagé par la juridiction constitutionnelle allemande. Il renforce positivement les principes énoncés à l’article 1er de la loi Informatique et Libertés en affirmant la nécessaire maîtrise de l’individu sur ses données.
Le droit à l’oubli pour les mineurs L’article 40 de la loi Informatique et libertés prévoit désormais un « droit à l’oubli » spécifique aux mineurs et une procédure accélérée pour l’exercice de ce droit. Lorsque la personne concernée était mineure au moment de la collecte des données, elle peut obtenir auprès des plateformes l’effacement des données problématiques « dans les meilleurs délais ». En l’absence de réponse ou de réponse négative de la plateforme dans un délai de un mois, la personne peut saisir la CNIL qui dispose alors d’un délai de 3 semaines pour y répondre.
La possibilité d’organiser le sort de ses données personnelles après la mort Le nouvel article 40-1 de la loi Informatique et libertés permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à la communication de leurs données après leur décès. Une personne peut être désignée pour exécuter ces directives. Celle-ci a alors qualité, lorsque la personne est décédée, pour prendre connaissance des directives et demander leur mise en œuvre aux responsables de traitement concernés. Ces directives sont :
Lorsque ces directives sont générales et portent sur l’ensemble des données du défunt, elles peuvent être confiées à un tiers de confiance certifié par la CNIL.
Lorsqu’il s’agit de directives particulières, elles peuvent également être confiées aux responsables de traitement (réseaux sociaux, messagerie en ligne) en cas de décès. Elles font l’objet du consentement spécifique de la personne concernée et ne peuvent résulter de la seule approbation par celle-ci des conditions générales d’utilisation. En l’absence de directives données de son vivant par la personne, les héritiers auront la possibilité d’exercer certains droits, en particulier :
La possibilité d’exercer ses droits par voie électronique Le nouvel article 43 bis de la loi Informatique et Libertés impose, « lorsque cela est possible », de permettre à toute personne l’exercice des droits d’accès, de rectification ou d’opposition par voie électronique, si le responsable du traitement des données les a collectées par ce vecteur. Plus d’information et de transparence sur le traitement des données.L’information des personnes sur la durée de conservation de leurs donnéesL’obligation d’information prévue par l’article 32 de la loi Informatique et Libertés est renforcée. Les responsables de traitements de données doivent désormais informer les personnes de la durée de conservation des données traitées ou, en cas d’impossibilité, des critères utilisés permettant de déterminer cette durée.
Les compétences de la CNIL confortées et élargies
Un pouvoir de sanction renforcé Le plafond maximal des sanctions de la CNIL passe de 150.000€ à 3 millions € (anticipation sur l’augmentation du plafond du montant des sanctions par le règlement européen qui sera applicable le 25 mai 2018 et prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial). La formation restreinte de la CNIL peut désormais ordonner que les organismes sanctionnés informent individuellement de cette sanction et à leur frais, chacune des personnes concernées. Elle pourra également prononcer des sanctions financières sans mise en demeure préalable des organismes lorsque le manquement constaté ne peut faire l’objet d’une mise en conformité.
Une consultation plus systématique de la CNIL. La CNIL sera saisie pour avis sur tout projet de loi ou de décret ou toute disposition de projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de telles données. Cette rédaction permettra à la CNIL d’apporter son expertise aux pouvoirs publics de manière plus systématique, alors que les textes actuels ne prévoient sa saisine que sur les dispositions relatives à la « protection » des données personnelles.
La publicité automatique des avis de la CNIL sur les projets de loi. Cette disposition renforce la transparence sur les avis de la CNIL.
De nouvelles missions :
L’ouverture des données publiques étendueLa loi pour une république numérique ne remet pas en cause l’équilibre entre transparence administrative et protection de la vie privée et des données personnelles. En effet, les critères de communicabilité n’ont pas changé, et la publication – donc la réutilisation – est subordonnée au caractère librement communicable du document. Pour autant, en passant d’une logique de la demande d’un accès à une logique de l’offre de données publiques, la loi vise clairement à ouvrir très largement les données publiques. La CNIL va accompagner cette ouverture, notamment en répondant aux demandes de conseil des collectivités publiques ou des réutilisateurs, puisque toute réutilisation de données personnelles est soumise au « droit commun » Informatique et Libertés. La possibilité pour la CNIL d’homologuer des méthodologies d’anonymisation constituera un élément important de cette régulation. En matière de gouvernance de la donnée, la loi prévoit un rapprochement entre la CNIL et la CADA, à travers, notamment, une participation croisée dans les deux collèges. Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84). Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement. Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles
|
Original de l’article mis en page : Ce que change la loi pour une République numérique pour la protection des données personnelles | CNIL