Le rapport de la CNIL est caractérisé par l’activité intense, annuelle, diversifiée au sein de l’autorité. Le rapport reflète notamment cette année la densité de textes normatifs et juridiques.
Le règlement européen sur la protection des données personnelles (RGPD) :
Adopté le 14 avril 2016 le RGPD dont l’entrée en vigueur est prévue le 25 Mai 2018 renforce le droit des personnes à l’ère du numérique impliquant des obligations plus importantes pour les entreprises ; la CNIL accompagne ainsi la mise en conformité des acteurs et propose des instruments de sécurisation juridiques.
Plusieurs principes en découlent :
-comme le principe à minima : avec une minimalisation de la collecte en réponse aux besoins de l’entreprise.
-la portabilité des données, avec la possibilité de récupérer ses propres données et de permettre une transmission via un support de manière lisible.
-le principe d’accountability : logique de responsabilisation des organismes traitant les données personnelles selon les responsables de traitements et sous-traitants devant mettre en place des mesures de protection appropriées tout en mettant en place des mesures capables de démontrer la conformité de la protection notamment en pratique à travers une documentation plus importante pour l’entreprise.
-principe de privacy by design : mise en place d’un processus de protection des données ab initio en matière d’organisation et de fonctionnement. Les entreprises devront :
L’émergence du DPO (désignation du délégué à la protection des données) : rôle d’information de conseil à l’égard du responsable du traitement et de contrôle quand au respect de la réglementation
-tenir un registre
-mener des études d’impact sur la vie privée pour les traitements à risque comme les traitements à grande échelle
-obligation de notifier les failles de sécurité.
Le système de contrôle et de plaintes se veut renforcé, avec une sanction concernant les amandes pouvant aller jusque 4% du chiffre d’affaire mondial de l’entreprise et 20 millions d’euros.
On tend alors ainsi vers une suppression des obligations déclaratives avec le nouveau règlement.
Concernant les données biométriques elles sont à présent qualifiées de données sensibles au même titre que des données de santé par exemple.
On a aussi un encadrement juridique renforcé en matière de chiffrement.
La question de l’open data pose un nouveau cadre juridique : avec l’ouverture sur des données personnelles. On parle d’ouverture et de réutilisation des données publiques.
Il s’agit de la mise à disposition de tout internaute des informations du secteur public sous une forme brute et réutilisable.
On a une prise en compte indirecte des données ouvertes dans l’open data, exemple les données de géolocalisation, de téléphones portables, de fréquentation de certains établissements.
Une prise en compte directe des données personnelles, données nominatives en application d’obligations légales a lieu.
On a de plus en plus de demandes sociales et économiques dans le secteur notamment du big data.
L’open data est porté par des objectifs de transparence administrative et démocratique (fondement de la loi CADA) mais aussi par la création de valeur économique ; reste à concilier ces objectifs avec la vie privée.
