Feuillet Hebdo de la Revue Fiduciaire
Données personnelles, un sujet d'actualité
Le règlement européen sur la protection des données personnelles (RGPD) entrera en vigueur le 25 mai 2018 (voir FH 3693, § 8-1). Ce règlement précise que la protection des données personnelles nécessite de prendre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque » (règlement 2016/679 du 27 avril 2016, art. 32).
En réalité, la loi « Informatique et libertés » impose déjà cette obligation : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès » (loi 78-17 du 6 janvier 1978, art. 34).
Si le RGPD ne crée pas ici une règle nouvelle, il alourdit la sanction encourue en cas de nonrespect de la règle. Ainsi, à compter du 25 mai 2018 le responsable du traitement de données personnelles qui n'aura pas pris les mesures nécessaires pour garantir leur sécurité encourra une amende allant jusqu'à 10 M€, voire jusqu'à 2 % de son chiffre d'affaires annuel mondial (règlement 2016/679 du 27 avril 2016, art. 83, § 4). Actuellement, le plafond de la sanction pécuniaire est de 3 M€ (loi 78-17 du 6 janvier 1978, art. 47), ce qui n'est déjà pas rien. La Commission nationale de l'informatique et des libertés (CNIL) propose sur son site (www. cnil.fr) un guide afin d'aider les professionnels à obtenir la sécurité des données personnelles exigée par la loi et prochainement par le règlement. Les mesures conseillées sont intéressantes