La médiation du Groupe ENGIE participe aux rencontres juridiques organisées par la CNIL à Bercy

30 jan La médiation du Groupe ENGIE participe aux rencontres juridiques organisées par la CNIL à Bercy

Le droit de la protection des données personnelles est un droit en continuelle évolution. Dans un souci de protection maximale garantie aux consommateurs et afin d’anticiper les nombreuses évolutions juridiques dans ce domaine, il paraissait essentiel à la médiation du Groupe ENGIE de participer aux rencontres juridiques organisées par la CNIL à Bercy le 24 janvier dernier, dont le thème abordé était « le régime juridique de la protection des données personnelles ». Cette conférence était dispensée par M. Édouard Geffray, Secrétaire général de la Commission nationale de l’informatique et des libertés (CNIL).

Le consommateur est actuellement protégé par une directive européenne de 1995[1]. Pourtant, la protection offerte au consommateur par cette directive apparaît encore trop faible par rapport aux évolutions du monde numérique. Dans cet objectif de protection maximale des données personnelles du consommateur, un règlement européen a été adopté en 2016[2] dont les dispositions seront directement applicables dans les pays de l’UE en mai 2018. Le but de ce règlement est de rechercher la mise en conformité du texte avec la situation actuelle. Il se substituera à la directive de 1995 qui avait été rédigée et pensée pour un environnement stable. Or le numérique évolue considérablement dans le temps, ce qui rend la directive obsolète sur différents points :

  • tout d’abord, le champ d’application territorial de la directive n’est plus adapté à la multiplication des échanges hors UE. En effet, le texte n’est applicable que lorsque le responsable du traitement est installé dans l’UE, ce qui ne protège pas le consommateur dont les données seraient traitées par un responsable installé en dehors de l’UE.
  • Ensuite, ce texte a été conçu par rapport à celui qui traite les données et non par rapport à celui dont les données sont traitées, ce qui permet à celui qui traite les données de facilement échapper à la règlementation, notamment en s’installant hors de l’UE.
  • La directive a été transposée différemment dans les 28 Etats membres, ce qui entraine des régimes différents selon les pays, notamment au niveau des sanctions en cas de violation du texte.

Quelles sont les principaux changements causés par le règlement de 2018 ?

  • L’application du règlement hors de l’UE : le règlement s’appliquera dès lors qu’un particulier est affecté par le traitement de ses données, y compris quand l’acteur qui traite les données est établi hors de l’UE.
  • Les sanctions seront plus sévères : en cas de violation des règles fixées dans le règlement, la sanction pourra aller jusqu’à 4% du chiffre d’affaire mondial consolidé de l’entreprise en question ou alors 20 millions d’euros.
  • Les règles fixées dans le règlement s’appliqueront directement (sans transposition) dans les 28 États membres de l’UE afin d’éviter la fragmentation engendrée par les différents lois nationales, comme c’est le cas actuellement avec la directive.
  • Il n’y aura plus de déclaration à partir de 2018. Les autorisations des activités pouvant avoir des conséquences importantes en matière de protection des données personnelles disparaitront au profit d’une évaluation préalable d’impact de ces activités.
  • La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant. Le responsable du traitement a alors l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais.
  • Au niveau interne, l’entreprise devra répondre à une obligation de documentation sur la protection des données personnelles. De plus, les entreprises devront désigner un délégué à la protection des données (« Data Protection Officer »). Ce dernier, désigné auprès de la CNIL, pourra bénéficier d’une mise à niveau sur les obligations incombant à l’entreprise auprès de la CNIL. Il devra notifier à la CNIL les éventuelles failles de sécurité, veiller au respect du règlement et faire office de contact avec la CNIL.
  • Les entreprises devront respecter les 2 nouveaux principes suivants :

 

  • « Privacy by design »

Les données devront être protégées dès la conception des produits, services et systèmes exploitant des données à caractère personnel.

  • « Privacy by default »

Toute organisation devra disposer d’un système d’information sécurisé.

Finalement, c’est non seulement le paysage technologique qui change, mais aussi les usages ainsi que le cadre juridique et culturel.

Le Médiateur se sent doublement concerné par cette évolution de la loi. D’une part, il continuera de veiller à ce que les requérants bénéficient d’une protection maximale de leurs données personnelles en proposant, si nécessaire, des recommandations aux entités du Groupe ENGIE, s’il est saisi d’un litige en la matière.

D’autre part, il appliquera ces règles à son propre système d’information, qui lui sert pour effectuer le suivi des saisines qu’il reçoit. En effet, depuis la mise en place, au printemps 2015, de ce logiciel de CRM, il a veillé à respecter toutes les règles de la présente loi informatique et libertés. A titre d’exemple, la médiation met à jour sa déclaration CNIL à chaque fois qu’elle rencontre une évolution dans son système d’information. De plus, la médiation veille à ce que les données personnelles des requérants soient supprimées 2 ans après que l’on a fini de traiter leur dossier, conformément à la directive. Enfin, si un requérant demande à ce que ses données personnelles soient supprimées, la médiation agit dans ce sens.

Il est, a priori, d’ores et déjà conforme aux nouvelles exigences et s’appliquera, de toutes les façons, à les respecter, quelles que soient les futures évolutions de ses process, de ses outils…

————————————————————————————————————————————

[1] Directive 95/46/CE.

[2] Règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, abrogeant la directive 95/46/CE.



Le site mediateur-engie.com utilise des cookies pour réaliser des statistiques d’audience afin de proposer des contenus et services adaptés aux intérêts de ses visiteurs. En utilisant notre site, vous acceptez l’utilisation des cookies. More information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

En savoir plus