{"id":8822,"date":"2016-03-07T14:06:12","date_gmt":"2016-03-07T13:06:12","guid":{"rendered":"https:\/\/www.solucominsight.fr\/?p=8822"},"modified":"2019-12-31T10:23:19","modified_gmt":"2019-12-31T09:23:19","slug":"8822","status":"publish","type":"post","link":"https:\/\/www.riskinsight-wavestone.com\/en\/2016\/03\/8822\/","title":{"rendered":"Nouveau r\u00e8glement Europ\u00e9en sur la protection des donn\u00e9es personnelles : quels impacts suite \u00e0 la version du trilogue ?"},"content":{"rendered":"

MIS A JOUR du 14\/04\/2016 :\u00a0 Le Parlement europ\u00e9en vient d’adopter d\u00e9finitivement le r\u00e8glement Europ\u00e9en sur la protection des donn\u00e9es personnelles qui \u00e9tait en d\u00e9bat depuis 4 longues ann\u00e9es. Il sera applicable d’ici 2 ans.
\n<\/em><\/strong><\/p>\n

Le trilogue informel d\u00e9but\u00e9 en juin dernier semble finalement avoir port\u00e9 ses fruits. En effet, dans son communiqu\u00e9 du 15 d\u00e9cembre 2015<\/a>, la Commission Europ\u00e9enne a annonc\u00e9 qu\u2019un accord a \u00e9t\u00e9 conclu entre elle-m\u00eame, le Conseil de l\u2019Union Europ\u00e9enne et le Parlement Europ\u00e9en. Le texte est donc pr\u00eat \u00e0 \u00eatre promulgu\u00e9, ne reste plus qu\u2019au Parlement et au Conseil d\u2019adopter formellement le texte (voir la proc\u00e9dure d\u2019adoption d\u2019un r\u00e8glement europ\u00e9en<\/a>). Nous avions pr\u00e9c\u00e9demment parcouru le contenu des derni\u00e8res propositions en date afin d\u2019en d\u00e9crypter les 3 impacts majeurs<\/a>,<\/a> nous vous proposons aujourd\u2019hui d\u2019en faire de m\u00eame sur la version finale du r\u00e8glement.<\/em><\/p>\n

QUEL CHANGEMENT POUR LES ENTREPRISES\u00a0?<\/h1>\n

Premier point important \u00e0 noter, le r\u00e8glement n\u2019impose pas les m\u00eames obligations aux multinationales<\/strong> et aux PME<\/strong> de moins de 250 employ\u00e9s (cf. Commission Recommendation 2003\/361\/EC of 6 May 2003<\/a>)\u00a0: ces derni\u00e8res, sous certaines conditions (absence de traitements sensibles et r\u00e9alisation de traitements de donn\u00e9es occasionnels) se voient dispens\u00e9es de l\u2019obligation de tenir un registre des traitements<\/strong>.<\/p>\n

Responsabilisation ou \u00ab Accountability\u00a0\u00bb<\/h2>\n

Le r\u00e8glement fait disparaitre l\u2019obligation de d\u00e9claration des traitements<\/strong> mais impose la tenue d\u2019une documentation<\/strong> permettant au responsable de traitement de prouver sa conformit\u00e9<\/strong> d\u00e9taillant : les coordonn\u00e9es du responsable de traitement, la liste des traitements de donn\u00e9es avec leur finalit\u00e9, les cat\u00e9gories de personnes concern\u00e9es, les personnes pouvant acc\u00e9der aux donn\u00e9es, les transferts internationaux, la date de suppression des donn\u00e9es et les mesures de s\u00e9curit\u00e9 associ\u00e9es. Le Data Privacy Officer<\/strong> (DPO), s\u2019il est nomm\u00e9, sera le garant de ce registre.<\/strong> Cependant, pour les traitements identifi\u00e9s comme sensibles \u00e0 la suite d\u2019une l\u2019analyse d\u2019impact, le responsable de traitement devra consulter son autorit\u00e9 de r\u00e9f\u00e9rence avant de le mettre en \u0153uvre. Cette autorit\u00e9 pourra lui imposer des mesures \u00e0 mettre en place.<\/strong><\/p>\n

Le DPO ne sera pas g\u00e9n\u00e9ralis\u00e9 \u00e0 toutes les entreprises et contrairement \u00e0 ce qui avait \u00e9t\u00e9 propos\u00e9, il n\u2019y aura pas de seuil relatif au nombre d\u2019employ\u00e9s<\/strong> ou de personnes concern\u00e9es par le traitement. L\u2019obligation de nommer un DPO sera limit\u00e9e<\/strong>\u00a0:<\/p>\n