27 février 2018

Une nOuvelle législatiOn : "LOi pOur une République numérique"

Dans le sillage de la RGPD (Réglementation Générale de la Protection des Données en Europe), qui entrera en vigueur début 2018, la Loi pour une République numérique passée l’année dernière a pour but d’améliorer les droits des citoyens français en introduisant un ensemble de principes généraux et de droits permettant aux individus de décider et de contrôler la façon dont leurs données personnelles sont utilisées et collectées.

Le 7 octobre 2016, la "Loi n°2016-1321 pour une République numérique" est entrée en vigueur, modifiant ainsi la Loi française pour la protection des données personnelles de 1978. Cette nouvelle réforme a modifié divers aspects de l’économie digitale en France en introduisant de nouvelles dispositions régulant les bases de données ouvertes, l’économie coopérative en ligne, la limitation des données à caractère pornographique et l’accès à internet.

La loi pour une République numérique est conçue pour compléter et travailler en coopération avec la régulation européenne, la RGPD, entrant en vigueur en 2018.

Selon la commission européenne, la RGPD prévoit "d’harmoniser les lois concernant la protection des données personnelles à travers l’Europe, de protéger et d’habiliter tous les citoyens européens à la confidentialité de leurs données et de réorganiser la façon dont les organisations de la région abordent cette protection".

C’est par ces deux règlementations -la RGPD et la Loi pour une République numérique- que les normes de protection des données sont établies en France.

5 principes clés

1. Finalité
DÉFINIR LES OBJECTIFS DE LA COLLECTE DE DONNÉES
Avant de collecter et/ou d’utiliser des données personnelles, l’enregistreur de données doit exposer précisément les objectifs visés et/ou le but de la collecte de données aux personnes concernées. Ces objectifs, appelés "finalités", doivent respecter les droits et libertés des individus. Ce principe limite l’utilisation ou la réutilisation future de ces données par les collecteurs de données.

2. Pertinence
VÉRIFIER LA PERTINENCE DES DONNÉES
Seules les données nécessaires à l’accomplissement d’un objectif prédéterminé peuvent être collectées ; cela constitue le principe de minimisation de la collecte de données. Le collecteur ne peut pas amasser plus de données que nécessaire pour réaliser les objectifs annoncés. Ce principe est destiné à limiter les méthodes arbitraires et abusives de collecte de données, ainsi qu’à réguler la façon et la mesure dans laquelle certaines données confidentielles peuvent ou ne peuvent être collectées.

3. Conservation
LIMITER LA CONSERVATION A LONG TERME DE DONNÉES
L’objectif visé de collecte ainsi atteint, il n’y a plus aucune nécessité de conserver les données, qui doivent être par conséquent supprimées. La durée de conservation de ces données ainsi que les raisons et les objectifs de la collecte doivent être définis par le collecteur avant la collecte, en justifiant toute intention de conservation de certaines données pendant un temps indéterminé ainsi que les motifs de cette nécessité.

4. Droits des individus
RESPECTER LES DROITS DES INDIVIDUS
Les renseignements concernant les individus peuvent être collectés à condition que les individus eux-mêmes en soient informés préalablement. Ces personnes disposent également de certains droits, qu’ils peuvent exercer à tout moment contre la personne retenant les informations les concernant, tels que le droit d’accéder aux données, le droit de les rectifier, ainsi que le droit de s’opposer à leur utilisation (cf. infra)

5. Sécurité et Confidentialité
SÉCURISER ET PROTÉGER LES DONNÉES
Le collecteur de données doit prendre toutes les mesures nécessaires pour assurer la sécurité des données collectées. De plus, les données doivent être conservées confidentiellement de façon à garantir leur accès aux seules personnes autorisées. Ces mesures peuvent être déterminées en fonction des risques du dossier (confidentialité des données, objectifs du traitement, etc.).

Droit des individus

  1. Droit pour les individus d’accéder aux données les concernant
  2. Droit de rectifier ou de modifier les données recueillies à leur propos
  3. Droit de s’opposer à l’utilisation de leurs données personnelles
  4. Droit à la confidentialité des données après la mort
  5. Droit d’être oublié (pour les personnes de mois de 18 ans)
  6. Droit à la portabilité et à l récupération des données
  7. Droit d’exercer électroniquement des droits pour les données collectées électroniquement

Points clés supplémentaires

1. Stockage des données
Le texte final de la Loi pour une République numérique a effacé une disposition exigeant le stockage des données en Europe et interdisant leur transfert à l’extérieur du continent. Il n’y a donc pas de règles de résidence des données obligeant les entreprises à stocker leurs données en France, et au contraire, les entreprises peuvent continuer de transférer les données personnelles à l’extérieur de l’Europe, tant qu’elles respectent les exigences européennes de protection des données énoncées par la RGPD.
2. CNIL et Règlementation Pénale
La loi pour une République numérique a prévu la croissance massive du pouvoir du CNIL -l’autorité française de protection des données- à appliquer des sanctions administratives. Auparavant plafonnés à 1500€, le CNIL a désormais le pouvoir d’infliger des sanctions de plus 3 millions d’euros pour les règles relevant du champ d’application de la Loi pour une République numérique, et d’autres supérieures à 20 millions d’euros ou à 4% du chiffre d’affaire global pour les règles relavant du champ d’application de la RGPD.

Conséquences pour les entreprises :

Avec l’adoption de cette loi, la France propage un message puissant qui soutient la protection personnelle au lieu de la liberté des données en ce qui concerne la façon dont les individus et les entreprises se conduisent sur internet. Ces nouvelles garanties sont destinées à protéger les données personnelles sur le net, et à donner plus de droits aux individus qui n’ont, le plus souvent, aucun moyen de contester la collecte des données les concernant -ni bien-sûr de les corriger. Plus encore, cette nouvelle loi montre que même si la RGPD établit un régime harmonisé de protection des données en Europe, les Etats peuvent toujours adopter des règles supplémentaires ou plus restrictives de protection des données, et par conséquent, des lois spécifiques aux différents pays continueront de s’appliquer. Cela signifie que les entreprises peuvent toujours se conformer à des lois nationales différentes lorsqu’elles traitent des données à caractère personnel à travers l’Europe.

Alexandre MEYRIEUX

PublicatiOns

Une nouvelle législation : "Loi pour une République numérique"

Dans le sillage de la RGPD (Réglementation Générale de la Protection des Données en Europe), qui entrera en vigueur début 2018, la Loi pour une République numérique passée l’année dernière a pour but d’améliorer les droits des citoyens français en introduisant un ensemble de principes généraux et de droits permettant aux individus de décider et de contrôler la façon dont leurs données personnelles sont utilisées et collectées. Le 7 octobre 2016, la "Loi n°2016-1321 pour une République numérique" est entrée en vigueur, modifiant ainsi la Loi française pour la (...)

La dénonciation d’un usage d’entreprise

L’usage d’entreprise est un avantage accordé librement et de manière répétée par un employeur à ses salariés, sans que le code du travail ou une convention ou un accord collectif ne l’impose.

COntact

116 boulevard Saint-Germain
75006 PARIS
Tel : + 33 (0)1 44 01 44 86
Fax : + 33 (0)1 40 46 86 17
contact@odeonavocats.fr

ODEON