Le projet de règlement Européen

Download Report

Transcript Le projet de règlement Européen

E-Justice, Droit et Justice en réseaux
dans l’ Union Européenne
vendredi 23 novembre 2012
Traitement des données à caractère personnel et circulation de
ces données au sein d’E-Justice : quelle(s) réglementation(s), quel(s) outils
au sein de l’Union ?
Le projet de règlement Européen
Nathalie Métallinos, Avocat Bird & Bird AARPI,
Responsable de l’atelier ADIJ « Protection des données personnelles »
[email protected]
Le nouveau règlement a vocation à remplacer les
règles actuelles posée par la Directive 95/46 et
harmoniser le cadre européen
Le règlement est directement
applicable
Adoption prévue en 2014, entrée en
vigueur : 2016
Harmonisation partielle en dépit
de l’instauration d’un mécanisme
de cohérence
1) Projet de Directive Police-Justice
(ex-3èle pilier)
2) Conséquence nationale résiduelle:
Extrême complexité du texte
91 articles/90 pages + 139
considérants + renvoi à plus de 50
actes délégués (contre 34 articles, 72
considérants pour la directive 95/46)
•
Condamnations pénales (Art 9)
•
•
•
•
•
Prévention des infractions (A. 21)
Journalisme (A.80)
Santé (A.81)
Emploi (A.82)
Recherches statistiques et
historiques (A.83)
Secret professionnel (A.84)
Eglises (A.85)
•
•
Page 2
© Bird & Bird LLP 2012
Plan
1. Nouvelles règles de compétence des autorités
2. Obligation de prouver la conformité
3. Nouvelle définitions des traitement « à risques »
4. Régime des sanctions
5. Obligation de désigner un délégué des données personnelles
6. Notification des « violations de sécurité
7. Renforcement des droits des personnes
8. Transferts de données – reconnaissance des “Règles internes
d’entreprises” et simplifications
Page 3
© Bird & Bird LLP 2012
1. Nouvelles règles de compétence des autorités :
dépend du lieu de l’établissement principal (Art.
51 & 4, 13)
Responsable des traitements
Sous-traitant
Lieu où sont prises les principales
décisions ou à défaut
Lieu de
l’administration
centrale
Lieu où sont exercées les “principales
activités de traitement”
Page 4
© Bird & Bird LLP 2012
1.1 Les limites de la règle du guichet unique
Compétence exclusive
de l’autorité du
principal établissement
pour
• Formalités
• Supervision du
groupe
Conjointe si des individus situés dans
d’autres Etats membres sont concernés
Individus pouvant saisir l’autorité de leur
droit
Individus pouvant exercer un recours dans
les états membres
Mécanisme de cohérence – rôle du CEPD
Exigences droit local (droit du travail,
dérogations, ..)
Page 5
© Bird & Bird LLP 2012
2. Les traitements « à risques » (Art.33 et 34)
Notamment :
•Profils automatisés… « systématiques » ou « à grande échelle »
•vidéosurveillance …« à grande échelle »
•données sensibles (dont condamnations) données relatives aux mineurs,
données génétiques ou biométriques
Mais aussi :
• ceux identifiés comme présentant des risques (rôle de l’étude d’impact)
•Ceux listés par l’autorité de contrôle
•Ceux qui seront prévus dans les actes délégués
Page 6
© Bird & Bird LLP 2012
3: Nécessite de prouver la conformité
(Art 5-f)
Tenue de la
documentation
(Art.28)
“Privacy by
Etudes d’impact
design” (Art. 23) (Art.33)
Audit (Art.22)
Maintien de la
documentation
relative aux
traitements
(remplace
formalités)
Mesures et
procédures
appropriées pour
assurer conformité
(en particulier
s’agissant de la
minimisation),
protection par
défaut / dès la
conception
Règles internes
et audit
indépendant
Page 7
© Bird & Bird LLP 2012
Pour les
traitements “à
risques”
4: Des sanctions qui se veulent dissuasives
Exemple de manquements
Amende (% du CA
mondial)
Absence de mécanismes permettant l’exercice
droit d’accès ou insuffisance de la réponse
0.5%
Manque de transparence, défaut de respect des
droits des personnes, défaut de tenue de la
documentation
1%
Défaut de base légale pour traiter les données
2%
Non prise en compte du droit d’opposition
Défaut de notification des failles de sécurité
Page 8
© Bird & Bird LLP 2012
5. Obligation de désigner un délégué des
données personnelles (art.35) (y compris dans
le secteur public)
Durée minimale
de 2 ans
•
Peut être
mutualisé
Expertise
professionnelle
ou
•
CIL
Peut être
externalisé
Indépendant
Absence de
Conflit d’intérêt
Page 9
© Bird & Bird LLP 2012
Seuil de 250
employés
Activités exigeant
un « suivi régulier
et systématique des
individus »
6. Notification des « violations de sécurité »
(Art. 31)
Toute violation de sécurité conduisant à la perte, accidentelle ou illicite,
ou l’altération des données personnelles ou un accès / une
communication non autorisés
Notification à l’autorité de
contrôle
Toute faille doit être notifiée
dans les 24 heures de la
découverte
Notification aux individus
• Si susceptible de porter atteinte
à la protection des données
personnelles/vie privée
• Sans retards indu
• Non requis si mesures de
protection technologiques
appropriées
Conservation de traces documentaires de la violation
Sanction maximum (Arts. 31 – 32, Considérants 67 – 69)
Page 10
© Bird & Bird LLP 2012
7. Renforcement des droits des personnes (tenir
compte des problématique propres à internet –
mais concerne aussi le “hors ligne”)
●
●
●
●
Droit à l’oubli/effacement
Portabilité des données
Droit d’opposition aux mesures de profilage
Droit à réclamation auprès de l’autorité de contrôle, droit à un
recours juridictionnel, Droit à réparation + étendu à des
organismes/associations œuvrant à la protection des personnes
● Condition de consentement (ne vaut si « déséquilibre significatif »)
● Traitement des données relatives aux enfants
● Extension aux sous-traitants de la responsabilité du fait des
traitements
Page 11
© Bird & Bird LLP 2012
8: Transferts de données – reconnaissance des
“Règles internes d’entreprises” et simplifications
● Principe d’adéquation (vise également les organisation internationales et les
secteurs de traitement)
● BCR reconnus dans le règlement et étendus pour couvrir données traitées
pour le compte de clients (BCR sous-traitants)
● Clauses contractuelles type - y compris ad hoc (sous réserve d’approbation)
● Transferts basés sur l’intérêt légitime(sous réserve de formalité auprès de
l’autorité de contrôle
● Transferts exclusivement destinés à reporter à des obligations
issues de législations étrangères (hors UE) – principe
d’interdiction
Page 12
© Bird & Bird LLP 2012
Questions & discussion?
Page 13
© Bird & Bird LLP 2012
Thank you
[email protected]
Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated and associated businesses.
Bird & Bird LLP is a limited liability partnership, registered in England and Wales with registered number OC340318 and is regulated by the Solicitors Regulation
Authority. Its registered office and principal place of business is at 15 Fetter Lane, London EC4A 1JP. A list of members of Bird & Bird LLP and of any non-members
who are designated as partners, and of their respective professional qualifications, is open to inspection at that address.
www.twobirds.com