Le projet de règlement européen sur la protection des données personnelles poursuit son processus législatif à Bruxelles.
Dans ce document, on retrouve les principes fondamentaux qui sont déjà inscrits dans notre législation, mais aussi des principes nouveaux ou largement développés : consentement, informations à fournir aux personnes, droit à l’oubli, portabilité des données, profilage, privacy by design, notification des failles de sécurité, analyse d’impact, désignation du CIL, certification, …
Examinons en détail les articles qui traitent du consentement :
Le traitement n’est licite que si la personne concernée en a donné son consentement pour une ou plusieurs finalités spécifiques, ou s’il est nécessaire à l’exécution d’un contrat ou au respect d’une obligation légale, ou nécessaire aux intérêts légitimes du responsable de traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée.
Le consentement d’une personne s’exprime par toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne accepte, par une déclaration ou par un acte positif univoque, que des données à caractère personnel la concernant fassent l’objet d’un traitement.
La charge de prouver que la personne concernée a consenti au traitement de ses données à caractère personnel à des fins déterminées incombe au responsable du traitement.
C’est un véritable « opt-in » qui va désormais s’appliquer aux sites de commerce en ligne, mais aussi aux réseaux sociaux ou moteurs de recherche … même s’ils sont américains !
Comme vous le voyez, ces évolutions sont importantes : elles impactent les processus administratifs et commerciaux et auront des conséquences importantes sur les systèmes d’information.
Il est donc nécessaire d’effectuer les analyses d’impact sans attendre si vous voulez être en conformité lorsque le nouveau texte sera applicable.
Philippe SICARD
Consultant expert Informatique & Libertés