Revue Lamy : Les données à caractère personnel et l’entreprise

13 octobre 2016
twitterlinkedinmailtwitterlinkedinmail

 

Les technologies permettent aujourd’hui aux entreprises privées d’exploiter les données comme jamais auparavant dans le cadre de leurs activités. L’ampleur de la collecte et du partage des données est inédite. On ne cesse en outre d’évoquer l’idée d’une « révolution digitale » à laquelle les entreprises devraient se préparer.

Ces évolutions ne pourront toutefois se faire que dans le strict respect des limites posées par le droit quant au traitement des données à caractère personnel. Or, le droit des données personnelles est à l’aube de mutations juridiques importantes. Régie depuis près de trente ans par la loi dite « loi informatique et libertés » à laquelle tous étaient habitués, la protection des données est aujourd’hui encadrée par un règlement européen ayant pour objectif d’uniformiser le niveau de protection en Europe.

Ce texte européen intitulé « règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données) », sera directement applicable dans les pays de l’Union européenne le 2.5 mai 2018.

Il laisse donc deux ans aux personnes physiques et aux personnes morales pour adapter leurs pratiques et leurs politiques. Il conduira nécessairement les entreprises et leurs dirigeants à la mise en oeuvre de plans de conformité efficaces et plus généralement au développement de leur activité de compliance.

Le règlement est en cela particulièrement incitatif puisqu’il renforce les obligations des responsables de traitements de données et sanctionne les manquements en imposant des amendes administratives aux montants inégalés. Les autorités de contrôle nationales, la Commission nationale informatique et libertés en France, chargées de la mise en oeuvre de ces sanctions, sont ainsi placées au coeur du droit des données à caractère personnel.

Les sanctions administratives ne constituent pas les seuls risques auxquels s’exposent les particuliers et les entreprises. Le risque pénal ne doit pas être éludé. Le règlement prévoit que les États membres sont libres de déterminer le régime des sanctions applicables en cas de violation du texte (Régi. n° 2016/679 préc., consid. 149). Pour l’heure, les amendes pénales et peines d’emprisonnement des articles 226-16 à 226-24 du code pénal restent applicables. Il conforte en outre la possibilité d’actions en responsabilité civile afin d’obtenir réparation du dommage subi en raison d’une violation des obligations imposées par le règlement (Règl n02016/679, art 82). À l’aune de ces nouveaux enjeux, il paraît essentiel de procéder à une analyse croisée des différentes obligations auxquelles seront assujettis les responsables de traitement relativement à la sécurité des données, aux transferts des données, aux droits des personnes et de mettre en lumière les nouveaux pouvoirs des autorités de contrôle.

Veuillez télécharger le PDF  afin d’accéder à l’ensemble des articles du dossier spécial consacré aux données à caractère personnel et l’entreprise :

Article rédigé par : Emmanuel Daoud, Flora Plénacoste et Géraldine Péronne