Suite à l’adoption du nouveau règlement européen, applicable à compter du 25 mai 2018, la protection des données personnelles, communément appelée « Privacy », ne parlera plus qu’une seule langue. De quoi permettre aux entreprises multinationales ayant des filiales européennes de bénéficier d’un cadre juridique unifié.
Enfin, la protection des données personnelles, communément appelée « Privacy », ne parlera qu'une seule langue au niveau européen. Suite à l'adoption du Règlement UE n°2016/679 (RGPD), applicable à compter du 25 mai 2018, le processus d'harmonisation en cette matière au sein de l'Union Européenne a été complété. Les législations nationales transposant la directive européenne (95/46/CE) seront donc (partiellement) remplacées par la règlementation directement applicable introduite par le RGDP, étant précisé que des dispositions spécifiques d'intégration de celui-ci en droit interne complèteront le cas échéant le dispositif.
Côté italien, le décret législatif n. 196/2003 (Code en matière de protection des données personnelles) sera congédié après quinze ans de service. Le 21 mars 2018, le conseil des Ministres a en effet approuvé un projet de décret législatif contenant des dispositions d'application du RGPD qui prévoit l'abrogation de ce Code.
Filiales européennes : un cadre juridique unifié
Les entreprises multinationales pourront donc bénéficier d'un cadre juridique unifié leur permettant d'adopter des procédures en matière de protection des données personnelles au niveau du groupe qui pourront être aisément mises en places dans toutes leurs filiales européennes. Il faudra néanmoins rester vigilent car certaines différences pourraient subsister. Aussi, en Italie, les mesures adoptées par l'autorité nationale en matière de protection des données personnelles (« Garante Privacy ») en application du décret législatif n.196/2003 resteront en vigueur, notamment celles en matière de Spam, vidéosurveillance ou données sensibles en matière de santé. Il sera donc nécessaire de toujours vérifier la conformité des procédures du groupe à l'ensemble de la règlementation italienne.
Le RGPD apporte un renforcement important à la protection des données personnelles des personnes physiques (indépendamment de leur nationalité et lieu de résidence) en introduisant un certain nombre de changements auxquels les entreprises et les professionnels établis dans l'Union Européenne (ou offrant des produits ou des services à des clients personnes physiques qui se trouvent dans l'UE) devront se conformer avant la date limite du 25 mai 2018.
Ne vous inquiétez-pas outre mesure ! Si votre entreprise avait bien respecté l'ensemble des obligations prévues sous l'ancien régime du décret législatif n. 196/2003, une bonne partie du travail a déjà été réalisée.
Et alors, quelles sont les principales évolutions introduites par le RGPD par rapport à la réglementation déjà existante ? Comment les entreprises et les professionnels libéraux doivent-ils se préparer ?
Comment informer et obtenir le consentement au traitement ?
Le RGPD reprend la majorité des obligations déjà applicables en Italie concernant la collecte des données, mais il faudra désormais fournir davantage d'informations (telles que la durée de conservation, l'existence d'une prise de décision automatisée, le droit d'introduire une réclamation auprès de l'autorité de contrôle) formulées en des termes clairs et simples. Attention, des communications trop longues seront réputées non conformes ! Il est en outre précisé qu’au cas où les données ne seraient pas collectées auprès de la personne concernée, ces informations devront être fournies dans un délai ne dépassant pas un mois. Venant aux conditions de licéité du consentement, elles correspondent aux dispositions actuellement en vigueur et aux éclaircissements fournis à cet égard par l'autorité italienne en matière de protection des données personnelles.
Plus de droits pour les personnes concernées
Les personnes concernées disposeront de nouveaux droits et notamment de celui (i) à l’oubli (c’est-à-dire le droit d’exiger du responsable du traitement l’effacement de leurs données à caractère personnel, y compris en ligne) ; (ii) le droit à la portabilité des données (qui permet d’obtenir la transmission des données personnelles d’un responsable à un autre sans que celui-ci puisse s’y opposer) ; (iii) le droit à la limitation du traitement ; (iv) le droit de ne pas faire l'objet d'une décision fondée exclusivement sur un traitement automatisé ainsi que (iv) le droit d'accès à toute une série d'informations supplémentaires.
Fonctions et responsabilités : qui fait quoi ?
Le responsable du traitement, soit la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement, pourra désormais avoir un frère jumeau : c'est le cas des responsables conjoints (liés par un protocole d'accord interne). A ses côtés et le cas échéant, sur la base d'un contrat, pourra intervenir le sous-traitant (qui traite les données personnelles pour le compte et sur instructions du responsable du traitement) et ne peut, à son tour, se prévaloir d'autres sous-traitants sans consentement écrit du responsable. Exit donc la personne en charge du traitement (particularité italienne n'ayant jamais existé au niveau européen). Par contre, new entry du délégué à la protection des données (en anglais Data Protection Officer ou « DPO »), qui dispose de compétences juridiques et techniques très poussées ainsi que d'autonomie financière et de ressources économiques. Le DPO, qui peut être interne ou externe à l'entreprise (y compris un avocat), est chargé de faire respecter la réglementation en question. Il est indépendant et en tant que tel, est l'interlocuteur privilégié de l'autorité compétente. Sa désignation n'est obligatoire que dans certains cas spécifiques (organismes du secteur public, sociétés traitant des données sensibles et/ou en masse) mais elle est fortement recommandée dans les autres cas.
Plus de responsabilités pour les entreprises (accountability) et mesures de sécurité
Plus de droits pour les personnes concernées et inversement, plus de responsabilités pour les entreprises (ce que l'on appelle « accountability » et qui représente le noyau dur du RGPD).
En particulier, les entreprises ayant au moins 250 salariés ou celles qui traitent des données sensibles ou qui effectuent des traitements pouvant entrainer des risques pour les droits et libertés des personnes concernées, sont tenues de mettre un place un registre des traitements devant contenir, entre autres, les coordonnées du DPO, la description des catégories de personnes concernées et des données collectées, les finalités du traitement, les destinataires des données ou encore les transferts vers les pays tiers....
Enfin, de nouvelles mesures de sécurité devront être mises en place par toutes les entreprises :
- Les principes de privacy by design / privacy by default qui impliquent, le premier, de mettre en œuvre des techniques d’organisation permettant de se conformer au RGPD dès la création et le second, de garantir que seules les données personnelles strictement nécessaires au regard de chaque finalité spécifique soient traitées ;
- L’analyse d'impact (consistant en l'identification des traitements susceptibles d'engendrer un risque élevé pour les personnes concernées) ;
- La notification en cas de violation des données, dans un délai de 72 heures, à l’autorité compétente, soit en Italie le Garante per la protezione dei dati personali.
Aussi, beaucoup d'activités sont à accomplir d'ici le 25 mai prochain : il faut sans doute se dépêcher, mais sans créer d'alarmes notamment pour qui était déjà en règle avec la règlementation italienne.
Avec la collaboration de Nicola Lattanzi, Avocat au Barreau de Milan