Il y a moins de 100 jours jusqu’à 25 mai 2018, quand sera mise en œuvre, dans toutes les États membres de l’Union Européenne, le Règlement General sur la Protection des Données (RGPD) – le Règlement (UE) 2016/679. Donc, les nouvelles règles de l’UE en matière de protection des données entreront en application, deux ans après leur adoption et leur entrée en vigueur.
Nous vous rappelons que le 4 Mai 2016, a été publié dans le Journal Officiel de l’Union Européenne, l’ensemble des règles visant la protection de données dans l’UE, qui contient:
- Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), applicable directement dans tous les Etats membres, y compris la Roumanie, à partir du 25 mai 2018;
- Directive (UE) 2016/680 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil.
Orientations de la Commission relatives à l’application directe du règlement général sur la protection des données pour faciliter l’application directe et uniforme des normes
Pour soutenir ceux concernées, la Commission Européenne (CE) a récemment publié une série des orientations pour faciliter l’application directe et uniforme des nouvelles règles pour la protection de données, dans l’UE, à partir du 25 mai. Les orientations rappellent les principales innovations et perspectives prévus par le nouvel Règlement, prennent acte des préparatifs déjà engagés et mettent en exergue ce qui doit encore être accompli par la Commission Européenne, les autorités nationales de protection des données et les administrations nationales. La Commission a alloué jusqu’à présent 1,7 million d’euros au financement des autorités de protection des données ainsi qu’à la formation des responsables du traitement dans ce domaine-là. s. Une enveloppe supplémentaire de 2 millions d’euros est à la disposition des autorités nationales pour les aider à sensibiliser les entreprises, les PME en particulier.
Le règlement général sur la protection des données permet la libre circulation des données dans tout le marché unique numérique. Ceci protégera mieux la vie privée des Européens et renforcera la confiance et la sécurité des consommateurs, tout en ouvrant de nouvelles perspectives aux entreprises, en particulier aux plus petites d’entre elles.
Les orientations rappellent les principaux éléments de RGPD:
- Un ensemble unique de règles pour tout le continent, garantissant la sécurité juridique pour les entreprises et un même niveau de protection des données pour tous les citoyens de l’UE;
- Des règles identiques applicables à l’ensemble des entreprises offrant leurs services dans l’UE, même lorsque ces entreprises sont basées hors du territoire de l’UE;
- Des droits nouveaux et plus forts pour les citoyens: le droit à l’information, le droit d’accès et le droit à l’oubli sont renforcés. Un nouveau droit à la portabilité des données permet aux citoyens de transférer leurs données d’une entreprise à l’autre. De nouveaux débouchés commerciaux s’ouvriront ainsi aux entreprises;
- Une protection accrue contre les violations de données: une entreprise victime d’une violation de données, qui fait courir un risque aux personnes concernées, doit en informer l’autorité de protection des données dans les 72 heures;
- Des règles contraignantes et des amendes dissuasives: toutes les autorités de protection des données pourront infliger des amendes pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.
Des droits nouveaux et plus forts pour les personnes physiques
La protection conférée par RGPD devrait s’appliquer aux personnes physiques, indépendamment de leur nationalité ou de leur lieu de résidence, en ce qui concerne le traitement des données à caractère personnel. Donc, les nouveaux règlements donnent plus droits aux citoyens qu’ils peuvent exercer gratuitement dans les entités qui traitent les données – les opérateurs des données, ainsi: le droit à l’information, le droit d’accès aux données, le droit de rectification, le droit d’effacement (droit à l’oubli), le droit à la limitation du traitement, le droit à la portabilité des données, le droit à l’opposition. Ces droits sont détaillés sur le site de l’Autorité Nationale de Contrôle du Traitement des Données à Caractère Personnel.
Nouvel outil en ligne pour soutenir l’application pratique du Règlement
La connaissance des possibilités et des avantages liés aux nouvelles règles n’est pas répartie équitablement. Dans ce contexte, la Commission Européenne considère qu’il est nécessaire en particulier de renforcer la sensibilisation et d’accompagner les efforts de mise en conformité pour les PME. Dans ce but, la Commission a lancé une boite à outils en ligne sous la forme de questions et réponses, destinée à aider les citoyens, les entreprises, notamment les PMEs et autres organisations. C’est une mesure à aider les parties prenantes dans leurs préparatifs pour appliquer le RGPD et pour se conformer aux nouvelles règles européennes en matière de protection des données. Le guide en ligne est disponible sur le site internet de la Commission Européenne.
Guide pour l’application du Règlement General sur la Protection des Données pour les opérateurs
Pour soutenir les efforts des opérateurs en respecter les nouvelles règles relatives au traitement de données à caractère personnel, sur le site de l’Autorité Nationale de Contrôle du Traitement des Données à Caractère Personnel est publié, dans la section spéciale dédié au RGPD, le Guide pour l’application du Règlement général sur la Protection des Données pour les opérateurs. Ce document est prévu comme outil pour tous les opérateurs dans leurs efforts de préparer l’application de Règlement (UE) 2016/679.
Délégué à la protection des données à caractère personnel
Un élément de nouveauté que cet acte législatif européen apporte dans le paysage juridique roumain est l’obligation de nommer, à côté du responsable du traitement et le sous-traitant, dans certains cas, un délégué à la protection des données. Pour garantir l’application uniforme de RGPO, le Groupe de Travail Art. 29 de la Commission Européenne a délivré le Guide pour le Délégué à la protection des données (DPO), disponible dans la section dédié au Règlement Général sur la Protection des Données, sur le site internet de ANSPDCP.
Les cas où est obligatoire la désignation d’un délégué à la protection des données:
- quand le traitement est effectué par une autorité publique ou un organisme public, à l’exception des juridictions agissant dans l’exercice de leur fonction juridictionnelle;
- si les activités principales du responsable du traitement ou du sous-traitant consistent en des opérations de traitement qui exigent un suivi régulier et systématique à grande échelle des personnes concernées;
- si les activités principales du responsable du traitement ou du sous-traitant consistent en un traitement à grande échelle de catégories particulières de données visées à l’article 9 et de données à caractère personnel relatives à des condamnations pénales et à des infractions.
Quand n’est pas obligatoire la désignation d’un délégué à la protection des données?
- Quand des données à caractère personnel ne sont pas traitées à grande échelle. Par exemple: traitement des données des patients par un médecin exerçant à titre individuel; traitement des données à caractère personnel relatives à des condamnations pénales et à des infractions par un avocat exerçant à titre individuel.
Les taches du délégué à la protection des données:
- d’informer et conseiller l’opérateur du traitement ou le sous-traitant ainsi que les employés qui procèdent au traitement;
- de surveiller l’application du règlement, d’autres dispositions du droit de l’Union ou du droit des États membres en matière de protection des données;
- conseiller l’opérateur, en ce qui concerne l’analyse de l’impact relative à la protection des données et suivre l’application de celle-ci;
- coopérer avec l’Autorité de Contrôle et faire office de point de contact pour cette Autorité;
- tenir dûment compte, dans l’accomplissement de ses missions, du risque associé aux opérations de traitement.
Il a été validé le standard professionnel pour le rôle de Délégué à la protection des données à caractère personnel (DPO), introduit dans la Classification des Professions en Roumanie (CPR)
Lorsque les nouveaux règlements entreront en vigueur proche, le standard professionnel pour le rôle du Délégué à la protection des données à caractère personnel a été introduit dans la Classification des Professions en Roumanie et validé par le Ministre de l’Education Nationale (MEN).
Selon un communiqué de presse, „PwC Roumanie et D&B David et Baias ont obtenu la validation pour le rôle du Délégué à la protection des données à caractère personnel (DPO) du Comité Sectoriel d’Administration et Services Publiques de l’Autorité Nationale pour les Qualifications, structure du Ministre de l’Education Nationale. Ce standard développé par l’équipe PwC avec D&B David et Baias sera à a base des cours de formation professionnelle pour cette position qui seront organisées à l’avenir en Roumanie”. Cette réussite est due aussi aux mesures prises par la même équipe auprès du Ministère du Travail pour introduire cette occupation pour la première fois dans la CPR.
Le rôle de Délégué à la protection des données à caractère personnel (DPO) est prévu par le nouveau Règlement général sur la protection de données.
Campagnes d’information pour les PMEs
Même si, généralement, l’obligation d’avoir de registres ne s’applique pas au PMEs, les entreprises ou les organisations comptant moins de 250 employés doivent tenir des registres si le traitement qu’elles effectuent est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, s’il n’est pas occasionnel ou s’il porte notamment sur les catégories particulières de données, des nombreuses entreprises étant dans cette situation.
Selon les représentants du Conseil National des Entreprises Petites et Moyennes de Roumanie (CNIPMMR), dans notre pays il n’y a pas des mesures/programmes des conseil et soutien pour les PMEs pour mettre en œuvre le RGDP. Dans ce contexte, les représentants des petites et moyennes entreprises considèrent nécessaire d’adopter les mesures suivantes:
- assurer un service de conseil gratuit pour les PMEs, au moins deux mois avant la date de mise en œuvre du Règlement;
- réaliser un guide d’application exhaustif pour PMEs, avec les étapes à suivre, les procédures de fonctionnement, les institutions, les dates limites, les formulaires etc., disponible en ligne.
- réaliser une campagne d’information vaste adaptée au spécifique des PMEs; d’appliquer l’art. 3 par. (1) de la Loi sur la prévention no. 270/2017, selon lequel „Tous les autorités/institutions publiques avec des attributions de contrôle, constat et de sanction des infractions ont l’obligation, selon les domaines de responsabilité et dans un délai de 3 mois après l’entrée en vigueur de cette loi, de développer et diffuser des matérielles documentaires et des guides et de créer des rubriques spéciales sur leurs site internet pour informer le publique ”;
- d’appliquer l’art. 3 par. (3) de la Loi sur la prévention no. 270/2017, selon lequel les autorités/institutions publiques avec des attributions de contrôle ont l’obligation d’élaborer des procédures d’orientation et contrôle, d’afficher sur leurs sites internet les affaires plus souvent et les solutions d’orientation émises, d’exercer le rôle d’orientation, en offrant, selon les procédures, les instructions et les directions nécessaires pour éviter à l’avenir la violation des dispositions légales;
- d’appliquer l’art. 3 par. (4) de la Loi sur la prévention no. 270/2017, selon lequel „l’Autorité de l’administration publique centrale avec des attributions de coordination au niveau national de l’environnement commercial (ça veut dire le Ministère des Affaires, du Commerce et des Entreprises)dans un délai de 6 mois de l’entrée en vigueur de cette loi, doit développer et faire fonctionner un portail dédié au services centralisées en ligne et des sources d’information sur les aspects prévues au par. (1)”.
ANSPDCP: L’application de la sanction maximale n’est pas l’objectif principal du Règlement
Dans le cas de violation des droits des personnes concernées, le Règlement offre aux personnes physiques visées le droit de déposer une réclamation à l’Autorité Nationale de Contrôle du Traitement des Données à Caractère Personnel (ANSPDCP). La réclamation est exonérée d’impôt.
Si la réclamation est acceptée, il aura après une enquête réalisée à l’utilisateur de données qui a été réclamé.
Les mesures de correction prises par ANSPDCP selon le RGDP sont: d’avertir un responsable du traitement, donner une réprimande, imposer au l’utilisateur d’informer la personne concernée sur la violation de la protection des données, imposer une limite temporaire ou permanente y compris une interdiction du traitement, rectification ou effacement ou restriction du traitement etc.
Selon les informations fournis par ANSPDCP en ce qui concerne l’établissement des sanctions y compris d’amende, ceci sera basé sur „une évaluation complète, selon les caractéristiques de chaque cas. Pour décider si c’est le cas d’imposer une amende administrative et établir le montant de celle-ci, pour chaque cas particulier, une attention spéciale devrait être accordée aux critères prévues par le Règlement Général sur la Protection des Données, conformément au principe de proportionnalité”.
Etant donné que, récemment, dans l’espace public ont été véhiculées des opinions selon lesquelles s seront appliqués des amendes aux niveau maximal dans pour les violations des nouvelles règles, ANSPDCP a déclaré: „L’Autorité de Contrôle vise d’accroitre le niveau d’information et compréhension des risques, des règles, des garanties et des droits en matière de traitement des données à caractère personnel en se dissociant d’opinions erronées, lancées plus souvent dans l’espace public, que les sanctions d’amende maximale sont les seuls mesures correctives à appliquer. En même temps, l’Autorité de Contrôle se dissocie et rejet la publicité agressive des certaines tiers en essayant de monétiser les prévues du Règlement général sur la protection des données, en médiatisant «la possibilité d’appliquer l’amende maximale de 4% du chiffre d’affaires» et l’idée fausse que l’application de l’amende maximale est l’objectif principale du Règlement. Donc, l’Autorité de Contrôle va dédier, sur son site internet www.dataprotection.ro, une section avec des questions fréquentes, sur les objectifs principaux du RGDP”.