Points de vue
Les 10 principes du GDPR. #7 : Méthodes d’exécution de l’autorité de protection des données
De quelles méthodes d’exécution l’autorité de protection des données (Data Protection Authority - DPA) dispose-t-elle pour garantir la conformité ?
Le nouveau GDPR introduira de nouveaux droits pour les sujets des données ainsi que des règles régissant ces droits. Des droits et des règles inutiles si la conformité au règlement ne peut être mise en œuvre. De quelles méthodes d’exécution la DPA dispose-t-elle pour garantir le respect du règlement ?
Auteur : Alex Tolsma
À compter de mai 2018, l’Union européenne disposera d’une nouvelle loi en matière de protection de la vie privée applicable à toute l’union : le Règlement général sur la protection des données (GDPR). Ce nouveau règlement aura une force juridique équivalente dans tous les pays de l’UE.
Il introduira non seulement plusieurs nouveaux droits pour les sujets des données, mais aussi un grand nombre de nouvelles règles s’imposant aux entreprises et aux personnes physiques qui doivent par ailleurs prouver qu’elles les respectent.
Quelles sont ces règles ? Quelles seront les conséquences en cas de non-respect ? Quel impact cela aura-t-il sur votre entreprise (par exemple, sur les plans financier et stratégique) ? Plus important encore, comment la conformité sera-t-elle assurée ?
Les nouveaux droits des personnes concernées prévus par le GDPR comprennent, entre autres, le droit à la portabilité des données, le droit à la limitation du traitement et le droit d’être informé du droit de s’opposer au traitement par les responsables du traitement des données.
Le GDPR oblige les États membres à créer une autorité de contrôle: l’autorité de protection des données (DPA). Ces autorités nationales devront contrôler l’application du règlement afin de protéger les droits fondamentaux et les libertés des personnes physiques en lien avec le traitement des données à caractère personnel les concernant et de faciliter les échanges de celles-ci au sein de l’Union.
L’obligation de la DPA, du point de vue de la mise en œuvre, se subdivise en deux pans :
- Contrôler si les personnes physiques peuvent exercer leurs droits ; et
- Évaluer si le traitement des données à caractère personnel est conforme aux règles de traitement énoncées dans le GDPR.
Suspicion de violation
Les DPA disposeront de différents pouvoirs d’investigation pour découvrir d’éventuelles violations. Dans le cadre d’une enquête, les DPA peuvent ordonner au responsable de traitement des données et au sous-traitant de fournir tous les renseignements dont elles ont besoin pour s’acquitter de leur mission. Les DPA peuvent par ailleurs demander un accès à toutes les données à caractère personnel et à toutes les informations nécessaires aux fins de l’exécution de leur mission. Une enquête peut comprendre des audits de la protection des données et, au besoin, les DPA peuvent obtenir un accès aux locaux du responsable du traitement des données et du sous-traitant, y compris tout matériel et support de traitement des données. S’il est prévisible qu’un type de traitement sera contraire au GDPR, les DPA peuvent émettre un avertissement au responsable du traitement des données ou au sous-traitant.
Violations confirmées
Si les DPA concluent qu’une violation est survenue, elles disposent de plusieurs mesures de sanction. La moins intrusive d’entre elles est la possibilité d’attribuer un blâme à un responsable de traitement des données ou à un sous-traitant si les opérations de traitement contreviennent au GDPR. Si le blâme ne suffit pas, les DPA peuvent également ordonner au responsable de traitement des données ou au sous-traitant de mettre les opérations de traitement en conformité avec le GDPR. Si un responsable de traitement des données ou un sous-traitant a ignoré les droits d’un sujet de données, les DPA peuvent exiger de lui qu’il se plie à la demande de la personne concernée d’exercer ses droits. Les DPA peuvent par ailleurs ordonner la rectification ou l’effacement des données à caractère personnel ou en limiter le traitement, conformément aux droits des personnes concernées. Les entreprises dont l’activité est axée sur le traitement des données ou celles qui doivent traiter des données dans le cadre de leur modèle d’entreprise peuvent être fortement affectées si elles sont contraintes de supprimer l’ensemble de leurs données en raison d’un manquement à la conformité. De nombreuses entreprises perçoivent de plus en plus les données comme leur plus précieux atout. En cas de violation des données, les DPA peuvent ordonner au responsable du traitement des données de communiquer cette violation aux personnes concernées.
Des mesures draconiennes
Les DPA disposent également, au besoin, de mesures draconiennes, notamment s’il s’avère que des moyens plus légers n’ont pas abouti aux résultats escomptés. Dans ce cas, les DPA pourront limiter le traitement de manière temporaire ou définitive, voire l’interdire, ce qui peut avoir d’importantes répercussions sur les opérations commerciales d’une entreprise, sur sa capacité à servir ses clients et à réaliser ses objectifs généraux. Les DPA peuvent également ordonner la révocation d’un agrément (indiquant que le traitement s’effectue conformément au GDPR). Les DPA peuvent par ailleurs ordonner la suspension des flux de données vers un destinataire établi dans un pays tiers ou vers une organisation internationale, le cas échéant.
Imposition d’amendes
Le pouvoir le plus lourd de conséquences dont les DPA disposent est celui d’imposer des amendes administratives. Pour les violations les moins graves, les amendes administratives peuvent s’élever à 10 000 000 EUR (10 millions d’euros) ou, pour une entreprise, à 2 % du chiffre d’affaires annuel mondial total de l’année précédente, le montant le plus élevé prévalant. Pour les violations plus graves, ce montant passe à 20 000 000 EUR (20 millions d’euros) ou à 4 % du chiffre d’affaires annuel mondial total de l’année précédente, le montant le plus élevé prévalant. Ces amendes sont conséquentes et peuvent lourdement grever les finances d’une entreprise, voire la pousser à la faillite. Il est donc important de satisfaire aux obligations du GDPR.
Recommandations
Les 10 principes aspects du GDPR. #8: La pseudonymisation et son utilisation en matière de profilage
L’avantage que la pseudonymisation peut constituer pour vous et vos clients
Les 10 principes du GDPR. #9: Sécurité et notification des violations
Que dit le GDPR sur la manière de sécuriser les données à caractère personnel ?