Dernière mise à jour: 10 novembre 2017
La Roumanie, en tant que membre de l’Union Européenne, devra mettre en application à partir du 25 mai 2018 le Règlement UE n° 679/2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cet acte, qui abrogera l’ancienne Directive n° 95/46/CE, est censé assurer une règlementation unitaire au niveau des pays membres, en remplaçant les dispositions nationales dans ce domaine.
Pour mémoire, le cadre législatif roumain dans ce domaine est assuré actuellement par la Loi n° 677/2001 concernant la protection des données à caractère personnel, ainsi que par les décisions rendues par l’Autorité Nationale pour la Surveillance du Traitement des Données à Caractère Personnel (« ANSPDCP »).
A partir du 25 mai 2018, les entreprises des pays membres devront se conformer aux dispositions du nouveau Règlement et adapter leurs stratégies commerciales, ainsi que leurs politiques, procédures, logistique et documents commerciaux. Parmi les nouveautés :
• Toutes les procédures internes doivent être réévalués y compris concernant le consentement des personnes dont les données personnelles vont être récoltés
• Le traitement de toutes les données doit être noté, ce qui ne se fait pas à ce jour
• L’apparition d’un responsable DPO, que les sociétés doivent engager ou externaliser
• L’obligation de rapporter les incidents de sécurité, etc.
Nous vous présentons ci-après les nouveautés les plus importantes par rapport à la législation roumaine actuelle.
Elimination de la notification préalable de l’autorité à l’égard du traitement des données
La règle en vigueur actuellement selon la loi roumaine, est qu’il faut notifier l’Autorité Nationale pour la Surveillance du Traitement des Données à Caractère Personnel avant tout traitement de données à caractère personnel.
Après l’entrée en vigueur du Règlement européen, cette obligation de notification n’existera plus. Ainsi, l’operateur pourra procéder au traitement des données à tout moment, à condition d’observer les dispositions légales applicables.
La base légale du traitement des données
A présent, afin de traiter des données à caractère personnel, il faut obtenir « le consentement » de la personne concernée. A titre d’exception, il est aussi possible de procéder au traitement des données en l’absence de ce consentement, s’il y a une obligation légale de l’opérateur dans le cadre de l’exécution d’un contrat, l’intérêt légitime de l’opérateur, etc.
Le Règlement consacre toutes les bases légales, sans prévoir une règle et des exceptions, toutes ayant le même régime et le même pouvoir. Ainsi, on pourra traiter les données en vertu des bases légales ci-après :
- Consentement de la personne;
- Afin d’exécuter un contrat;
- Si l’opérateur de données a une obligation légale de traiter lesdites données;
- S’il existe un intérêt légitime de l’opérateur, sauf pour le cas où les droits et libertés fondamentales de la personne concernée prévalent;
- La protection de la vie et de l’intégrité physique;
- La mise en œuvre de certaines mesures d’intérêt public.
Le Consentement
Selon la Loi roumaine n° 677/2001 en vigueur, le consentement peut être exprimé par une action ou bien par une inaction.
Selon le Règlement, le consentement est une manifestation de la libre volonté, spécifique, informée et non-ambiguë de la personne concernée, par laquelle celle-ci accepte, par une déclaration ou par une action sans équivoque, le traitement de ses données à caractère personnel.
Ainsi, le consentement devra être exprimé par une action ou déclaration et devra viser toutes les activités de traitement et le but du traitement. L’opérateur devra informer la personne concernée sur toutes les activités de traitement et le but du traitement et devra demander son consentement. De même, l’opérateur sera tenu de pouvoir faire la preuve de l’existence du consentement de la personne concernée.
Le délégué à la protection des données (DPO)
Tandis que l’actuelle loi roumaine ne connait pas une telle institution ou obligation pour l’opérateur, le Règlement prévoit expressément l’obligation pour la société de nommer un « délégué à la protection des données » (DPO). La nomination d’un tel responsable est obligatoire, si l’une des conditions suivantes est remplie:
1. Le traitement est effectué par une autorité ou un organisme public, sauf les juridictions judiciaires agissant dans l’exercice de leur fonction juridictionnelle
ou
2. les activités principales de l’opérateur ou de la personne mandatée par l’opérateur consistent en des opérations de traitement qui, par leur nature, domaine d’application et/ou objectifs, nécessitent une surveillance à grande échelle, périodique et systématique des personnes concernées ;
ou
3. les activités principales de l’opérateur ou de la personne mandatée par l’opérateur consistent en un traitement à grande échelle de certaines catégories spéciales de données ou des données à caractère personnel concernant des condamnations pénales et des infractions.
Le DPO peut être un salarié (membre du personnel) de la société ou de la personne mandatée par l’opérateur ou bien il peut réaliser ces tâches en vertu d’un contrat de services.
De même, il est possible de nommer un seul DPO au niveau d’un groupe d’entreprises, à condition qu’il soit facilement accessible pour chaque entreprise.
Le délégué à la protection des données doit, à son tour, remplir plusieurs conditions:
- avoir des connaissances spécialisées en droit et dans les pratiques applicables dans le domaine de la protection des données (le Règlement n’impose pas une certaine formation professionnelle);
- être indépendant (il ne reçoit pas d’instructions concernant la réalisation de ses attributions), mais il peut aussi cumuler une autre fonction dans le cadre de l’opérateur (aussi longtemps que son indépendance est assurée) ;
- ne pas être sanctionné ou licencié en liaison avec ses attributions (cependant, il peut être sanctionné/licencié au motif qu’il ne les a pas réalisées) ;
- respecter les obligations de confidentialité/le secret professionnel.
Les principales attributions du DPO sont d’informer et de fournir des conseils à l’opérateur, ainsi qu’aux employés chargés du traitement concernant les obligations leur incombant, réaliser les audits afférents, agir en tant que personne de contact en relation avec les autorités/personnes concernées.
Les registres (l’inventaire) des traitements
Le Règlement introduit l’obligation pour la société de tenir des registres du traitement de données qu’elle a effectués et de soumettre ces registres à l’autorité de surveillance, sur demande de celle-ci.
Important ! Les entreprises de moins de 250 employés ne sont pas obligées de tenir ces registres, sauf les exceptions ci-dessous :
- le traitement est susceptible à générer un risque pour les droits et les libertés des personnes concernées ;
- le traitement n’est pas occasionnel ;
- le traitement inclut des catégories spéciales de données ou des données à caractère personnel concernant des condamnations pénales et des infractions.
Evaluation de l’impact du traitement des données
A partir de la date d’entrée en vigueur du Règlement, les sociétés doivent réaliser obligatoirement une évaluation de l’impact du traitement des données si ce traitement, notamment les traitements utilisant les nouvelles technologies, est susceptible de générer un risque élevé pour les droits et libertés des personnes physiques.
L’évaluation doit être faite avant le traitement proprement dit des données et doit contenir une description des opérations qui seront faites, le but/l’intérêt légitime de l’opérateur, l’évaluation de la nécessite et la proportionnalité du traitement par rapport à son objectif, l’évaluation des risques pour les droits et les libertés des personnes concernées, ainsi que les mesures préconisées pour la gestion/diminution des risques.
En effet, il sera nécessaire que chaque opérateur réalise une pré-évaluation du traitement, afin d’identifier s’il sera nécessaire de réaliser une telle évaluation de l’impact.
La notification des incidents de sécurité
Les incidents de sécurité des données à caractère personnel doivent être notifiés à l’autorité compétente dans un délai de maximum 72 heures de la date de sa prise de connaissance.
Sanctions
Le Règlement prévoit un système de sanctions complexe, applicable par l’autorité compétente, qui va du simple avertissement jusqu’à l’application d’amendes dont le montant peut varier jusqu’à 20 Millions d’EUR ou jusqu’à 4% du Chiffre d’Affaires mondial total annuelle d’une société.
****
Nous espérons que ces informations vous ont été utiles et vous disons … à la semaine prochaine!
Cabinet GRUIA DUFAUT
Avocats (Paris & Bucarest)
www.gruiadufaut.com