RGPD et textes nationaux: vers trop de spécificités nationales ?

Opinion : Bruno Rasle  délégué général AFCDP*                       13 septembre 2017

 

 

RGPD et textes nationaux: vers trop de spécificités nationales ?

 

 

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

Bien qu’un règlement européen soit d’application directe, certains Etats membres se préparent à le compléter d’un texte national**.

  

Espagne :

L'Espagne va modifier sa loi pour accompagner le RGPD. Le texte apporte plusieurs précisions, dont certaines relatives au DPO.

Il précise les catégories de responsables de traitement qui doivent désigner un Délégué à la protection des données (centres d'enseignement, fournisseurs de services de la société de l'information, établissements de crédits financiers, compagnies d'assurance, entités qui développent des activités de publicité et de prospection commerciale, centres de santé, etc.) - voir l'article 35 du projet de loi.

Il indique que les responsables de sous-traitants peuvent désigner un DPO volontairement en se plaçant  sous le régime décrit.

Enfin elle dispose que les responsables de traitement doivent notifier à l'autorité de contrôle les fins de désignation ou de mission de leur DPO, et que l'autorité de contrôle publie la liste des DPO sous une forme accessible par voie électronique.

D'autres précisions notables concernent la gestion des demandes de droit d'accès (en précisant, par exemple, la notion de demandes répétitives), de rectification (la personne concernée doit indiquer les corrections à apporter et fournir, le cas échéant, la documentation justifiant l'inexactitude), le droit à la limitation (en décrivant la portée du "blocage" des données), la réalisation des analyses d'impact (en détaillant les cas où celle-ci doit être réalisée).

 

Luxembourg :

Le ministère de la Justice luxembourgeois a déposé le projet de loi relatif à la protection des personnes physiques à l'égard des données personnelles. On y relève, entre autres, les points suivants :

a) La création du droit d'accès direct ;

b) La création d'une seconde autorité de contrôle (Aux côtés de la Commission nationale pour la protection des données (CNPD), cette nouvelle entité veillera à la bonne application de la loi et en particulier des opérations de traitement de données à caractère personnel effectuées par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles) ;

c) Un article spécifique dédié à la "Journalisation" (traçabilité et exploitation de celle-ci). Les responsables de traitement auraient jusqu'en mai 2023 pour se mettre en conformité avec cette disposition spécifique, voire jusqu'en mai 2026 (attention, la journalisation est une obligation prévue par la directive (UE) 2016/680 qui concerne les traitements dits « régaliens » de police et de justice).

 

Allemagne :

Les Allemands, de leur côté, ont ajouté des précisions suivantes dans leur texte national, en complément du RGPD :

- Pour les DPO du secteur public, le retrait de la désignation par le responsable de traitement ne peut intervenir qu'au titre de la section 626 du Code civil. Il ne peut être mis fin aux missions du DPO sans préavis que pour des faits qui donne une raison dûment justifiée. Après la fin de sa mission de DPO, la personne qui a tenu ce rôle ne peut pas être licenciée dans l'année qui suit, sauf si l'organisme dispose d'une raison dûment justifiée.

- Les entreprises du secteur privé - indépendamment du nombre de leurs salariés - ont l'obligation de désigner un DPO dès qu'elles emploient au moins dix personnes en charge du traitement des données personnelles. De plus sont soumis à la même obligation les entreprises (dont les sous-traitants) qui sont dans l'obligation de réaliser des analyses d'impact et les entreprises qui réalisent des études de marché ou des enquêtes d'opinion et les

On trouve également dans ce texte des précisions intéressantes concernant la gestion des demandes de droit d'accès (sections 34 et 59), la sécurité (section 64) ou les distinctions qui peuvent être faites entre différents types de personnes concernées (section 72).

 

France :

Du côté de la France, un texte national est nécessaire pour trois raisons : a) pour préciser les points qui sont dans les « marges de manœuvre » nationales prévues par le RGPD (comme, par exemple, le régime de traitement du numéro de sécurité sociale) ; b) pour intégrer des spécificités nationales issues de la loi pour une République numérique ; c) pour apporter des précisions sur des points non traités par le RGDP, comme les pouvoirs de la CNIL ou le traitement des données de santé.

L’AFCDP a été auditionnée avant l’été par le Ministère de la justice pour faire entendre la voix des DPO français.

Nous y proposions que le texte intègre des précisions (par exemple pour éviter un texte qui aboutirait à une sclérose de la profession de Délégué à la protection des données aux seuls juristes et obtenir une définition des « autorités publiques » qui ne peuvent pas fonder leurs traitements sur l’intérêt légitime au titre du 1.f) de l’article 6 du RGPD et une définition de la notion de « coûts administratifs » utilisée dans l’article 12.5.a du RGPD), des clarifications (par exemple sur le fait qu’il est possible de désigner une personne morale comme Délégué à la protection des données, le fait que le nom du Délégué à la protection des données ne doit pas obligatoirement être rendu public ou le fait que la Tokenisation peut également permettre une exception à la communication aux personnes concernées),

Nous avons également demandé que, pour les quelques demandes d’autorisation auprès de la CNIL qui vont perdurer, soit appliqué le régime utilisé actuellement pour le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

L'Europe avait opté pour un Règlement afin d'éviter des différences entre les Etats membres (comme cela avait été constaté à l’occasion de la directive de 1995). Mais, au final, ne risquons-nous pas de nous retrouver à nouveau avec des spécificités nationales ?

 

CNIL : moins de demandes d'autorisation avec le RGPD

Le RGPD va considérablement réduire les cas où la CNIL aura à examiner des demandes d’autorisation et à se prononcer. L’actuel régime (silence de deux mois après réception du dossier complet vaut refus) se traduit dans les faits, pour les organismes qui déposent les demandes, par un manque de visibilité et de prédictibilité qui les pénalisent, notamment quand on compare cette procédure avec celle qui régit le traitement des demandes d’avis (silence de deux mois après réception du dossier complet vaut accord).

Compte-tenu du nombre moindre de demandes d’autorisation que la CNIL aura à gérer, et par équité entre les différentes catégories de responsables de traitement, l’AFCDP demande à ce que la règle « silence de deux mois après réception du dossier complet vaut accord » s’applique également aux demandes d’autorisation.

Concernant le calendrier, nous croyons savoir que le texte est parti en interministeriel et qu’il se compose d’un projet de loi (qui viendrait en discussion au Parlement en décembre, en procédure accélérée) et d’une ordonnance. A ce stade, nous ne savons pas quelle est la répartition (quelles sont les dispositions qui figurent dans chaque texte) et nous tenons prêts à les analyser et à faire part de nos réactions.

La Présidente de la CNIL, s’est dite inquiète de ce calendrier. Même avec la procédure accélérée, elle craint que cela ne laisse aucune marge de manœuvre pour éventuellement revoir certains points (le tout devant être terminé pour le 24 mai 2018).

* AFCDP: Association Française des Correspondants à la protection des Données à caractère Personnel.  l'AFCDP – au travers de CEDPO – a été désignée comme expert auprès de la Commission Européenne. L'AFCDP – qui a déjà contribué au travers de CEDPO aux lignes directrices du G29 sur le DPO et sur les analyses de risques – dans le cadre du FabLab se réjouit de cette nouvelle opportunité d’apporter sa contribution et de faire entendre au plus haut niveau la voix des CIL et des DPO.

 

BONUS: 

** http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679

http://www.cyberisques.com/mots-cles-20/685-dpo-news-gdpr-rgpd-guide-pratique-comment-documenter-la-conformite

http://cyberisques.com/mots-cles-5/83-categorie-3/687-guide-pratique-rgpd-gdpr-dpo-news-fiche-2-quels-sont-les-chantiers-prioritaires-des-dpo

http://www.afcdp.net/

 

C5amMvcWQAAp7jG GF GF GF

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires