1. À partir de quand est-ce que le nouveau Règlement général sur la protection des données sera applicable ?
Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l`égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la Directive 95/46/CE (Règlement général sur la protection des données) est publié au Journal officiel de l`Union européenne le 4 mai 2016.
Le règlement général introduit de nombreux changements importants à l’égard du cadre juridique actuel et définit des exigences plus élevées vers les sujets du système de la protection de données personnelles, ce qui est la raison de son application retardée, respectivement à partir du 25 mai 2018.
2. Est-ce que le Règlement sera applicable aux administrateurs qui traitent des données personnelles en dehors de l’Union européenne ?
Oui, le nouveau règlement étend le champ d`application territoriale des règles de l`UE sur la protection des données personnelles. Par conséquent, elles s’appliqueront aux administrateurs qui ne sont pas établis dans l`UE, mais qui traitent des données personnelles des citoyens se trouvant sur le territoire de l`UE. Ceci s’appliquera aux cas où les activités de traitement des données par ces administrateurs sont liées à:
• La fourniture de biens et de services à des particuliers situés dans l`UE, indépendamment du fait que la personne concernée est tenue de payer ou pas;
ou
• L`observation de leur comportement, dans la mesure où ce comportement reste dans le cadre de l`UE.
3. Qu’est-ce des « coadministrateurs »?
La notion « coadministrateurs » signifie que deux ou plusieurs administrateurs définissent ensemble les buts et les moyens de traitement des données personnelles. La personne physique à laquelle se rapportent ces données (personne concernée), pourrait exercer ses droits dans le domaine de la protection des données personnelles à l’égard et contre chacun des administrateurs. Les coadministrateurs sont obligés à définir d’une manière transparente leurs responsabilités respectives en ce qui concerne l’exécution des obligations et des engagements qui leur incombent en vertu du règlement.
4. Quelles sont les obligations des administrateurs et des personnes qui traitent des données personnelles à l’égard du règlement général ?
Le Règlement général sur la protection des données personnelles introduit un certain nombre d’obligations pour les administrateurs et les personnes qui traitent des données personnelles, dont certaines sont entièrement nouvelles et inconnues au cadre juridique actuel. Ce sont notamment :
• Traitement des données conforme aux principes de protection des données personnelles prévus dans le règlement. L’administrateur est tenu d’être en mesure de le prouver (comptabilité);
• Garantie pour la protection des données au stade de la conception et par défaut;
• Détermination d’un responsable de la protection des données personnelles dans les cas explicitement spécifiés par le règlement, la tenue d’un registre des activités de traitement dont il est responsable;
• Notification de l`autorité de surveillance et de la personne concernée dans le cas d’une violation de la sécurité des données personnelles, et documentation de toute violation de la sécurité des données personnelles, y compris les faits relatifs à la violation, ses conséquences, les mesures prises pour y remédier;
• L`évaluation de l`impact sur la protection des données;
• Organisation d‘une consultation préalable avec l’autorité de surveillance avant le traitement, lorsque l`analyse de l‘impact indique que ce traitement constituera un risque élevé si l’ADP ne prend pas les mesures appropriées pour y remédier
• Mise en œuvre de mesures techniques et organisationnelles appropriées afin d’assurer la sécurité des données. Le règlement fixe également des mesures de sécurité techniques et organisationnelles spécifiques, telles que:
– Pseudonymisation;
– Cryptage;
– Garantie de confidentialité, d`intégrité, de disponibilité et de durabilité des systèmes et des services pour le traitement;
– Rétablissement en temps opportun de la disponibilité et de l`accessibilité des données personnelles en cas d’incident physique ou technique;
– Tests réguliers, évaluation de l`efficacité des mesures techniques et organisationnelles;
– Coopération avec l`organe de contrôle de protection des données personnelles lors de l‘exécution des obligations découlant du règlement.
5. Quand est-ce que l’administrateur et processeur des données sont obligés à déterminer un responsable de la protection des données personnelles?
La détermination d‘un responsable de la protection des données personnelles est obligatoire lorsque:
• Le traitement est effectué par un organe public ou une autorité, sauf s’il s’agit d’une cour dans l’exercice de ses fonctions judiciaires;
• Les activités principales de l’administrateur ou du processeur de données consistent dans des opérations de traitement qui, par leur nature, portée et / ou objectifs, nécessitent une surveillance régulière et systématique et à grande échelle des personnes concernées;
• Les activités principales de l‘administrateur ou du processeur de données consistent dans le traitement à grande échelle de catégories particulières de données et de données personnelles relatives à des violations et des condamnations pénales.
6. Quels droits des personnes concernées faut-il que l’administrateur respecte en vertu du Règlement général sur la protection des données?
Selon le règlement, la personne concernée (la personne à laquelle se rapportent les données) dispose du:
• droit à l’information;
• droit d`accès à ses propres données personnelles;
• droit de correction (si les données sont inexactes);
• droit d’annulation des données personnelles propres (dit « droit à l’oubli »);
• droit de limiter le traitement de données qu’un administrateur ou un processeur effectue;
• droit à la portabilité de données personnelles entre les administrateurs;
• droit à la portabilité de données personnelles entre les administrateurs;
• droit d’objection au traitement des données personnelles;
• droit de ne pas être soumis au traitement automatisé, y compris le profilage, qui produit des effets juridiques ou d’autres effets importants à l’égard de la personne concernée;
• droit à la protection judiciaire et administrative, à condition que les droits de la personne concernée ont été violés.
7. Est-ce que le nouveau règlement introduit un contrôle plus strict sur les processeurs de données personnelles ?
Oui! Le processeur est obligé de respecter toutes les normes et règles pour la protection des données personnelles. En outre, il est solidairement responsable avec l’administrateur des dommages causés. Le règlement introduit l`obligation pour le processeur d`obtenir le consentement de l`administrateur à chaque fois qu’il accorde le traitement à un sous-traitant. Le consentement de l`administrateur devrait être donné au préalable, à l’écrit, sous la forme d’une autorisation de portée limitée ou générale. Si l’autorisation est de portée générale, le processeur est tenu d`informer l`administrateur à chaque fois qu’un changement visant à inclure ou à substituer d`autres données à traiter survient.
8. Les administrateurs de données personnelles en Bulgarie devraient-ils toujours s’enregistrer auprès de la Commission ?
Non, l`obligation d`enregistrement sera supprimée à partir du 25 mai 2018.
9. De quelle manière est-ce que le contrôle de conformité avec le nouveau cadre juridique sur la protection des données personnelles s’effectuera ?
La seule autorité de contrôle en matière de protection des données personnelles de la République de Bulgarie est la Commission de protection des données personnelles. En tant que telle, la Commission exercera un contrôle sur la conformité avec les dispositions du règlement. Elle a le droit d’examiner des plaintes déposées par des personnes physiques, le droit d’effectuer des inspections des administrateurs et des processeurs, d’émettre des avis, des prescriptions et des sanctions pécuniaires. Le nouveau règlement augmente de façon significative le montant maximal des amendes et des sanctions pécuniaires – jusqu`à 10 millions d`euros, soit 2% du chiffre d`affaires annuel de la société pour l`année précédente (à prendre le chiffre plus élevé).
10. Est-ce que les administrateurs de données personnelles sont obligés de respecter le nouveau règlement s’ils traitent exclusivement des données personnelles pseudonymisées ?
En général – oui! Les données personnelles pseudonymisées ne sont pas exclues du champ d`application du nouveau règlement général. La pseudonymisation signifie que le traitement de données personnelles s’effectue d`une telle manière qu’il est impossible que ces données soient liées à une personne concrète sans utiliser des informations supplémentaires, et ceci, à condition qu`elles soient conservées séparément et qu’elles soient soumises à des mesures techniques et organisationnelles afin de garantir que les données personnelles ne sont pas liées à une personne physique identifiée ou identifiable.
Pour ces particularités des données pseudonymisées le règlement prévoit des règles un peu plus strictes à l’égard de leur traitement. De cette manière, les administrateurs devraient être encouragés à utiliser cette technique.
