Règlement européen sur la protection des données

Question d’actualités n°1 de Mme Martine SCHOEPPNER, conseillère consulaire (Munich), et conseillère à l’AFE (Allemagne, Autriche, Slovaquie, Slovénie, Suisse).

Nous sommes de plus en plus tributaires du numérique. La protection des données à caractère personnel et la libre circulation de celles-ci font l’objet du nouveau règlement européen R 2016/679 qui entre en vigueur le 25 mai 2018. De nombreux organismes, institutions, entreprises, associations etc.. sont concernés par ces nouvelles dispositions.

Il s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.

Pouvez-vous nous indiquer quelles sont les principales modifications ou adaptations qui entreront en vigueur ou procédures qui seraient mises en place et pourraient plus particulièrement concerner les Français de l’étranger et leur administration et quelles seront les autorités auxquelles ils pourront s’adresser en cas de litige : délégué à la protection, autorité de contrôle ?

Comme tous les organismes publics et privés gestionnaires de traitement de données personnelles, le MEAE doit se conformer avant le 25 mai 2018 aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD). Si ce règlement est déjà publié, le cadre national, législatif et réglementaire, n’est cependant pas encore achevé.

Le MEAE a fait le choix de placer la sécurité de ses systèmes d’information et des données traitées numériquement au cœur de ses priorités. Le MEAE agit déjà de manière conforme aux dispositions de la loi « informatique et liberté » du 6 janvier 1978 en matière de protection des données. Nombre de traitements ont ainsi déjà fait ou font actuellement l’objet de déclarations ou demandes d’autorisation auprès de la CNIL, ce qui garantit leur encadrement juridique.

De manière générale, le règlement introduit une évolution des pratiques et leur adaptation à l’évolution numérique, renouvelant ainsi le cadre national existant (loi du 6 janvier 1978). Il vise avant tout à responsabiliser davantage les personnes exploitant des traitements de données et à renforcer le droit des usagers. Afin de prendre en compte les nouveautés introduites par le règlement et de se conformer aux instructions ministérielles, notre administration se dote actuellement d’un registre des traitements exploités et met en place les procédures en ce qui concerne la sécurisation informatique et juridique de ces traitements.

Un Délégué à la protection des données sera également désigné. Ce dernier sera le garant de la conformité de notre administration au nouveau règlement et restera joignable via une adresse électronique générique dédiée et accessible au public.

Concernant plus particulièrement les Français de l’étranger, ceux-ci peuvent d’ores et déjà exercer auprès du MEAE leur droit d’accès, de rectification ou d’effacement selon les modalités prévues aux articles 39 et 40 la loi du 6 janvier 1978. Avec l’entrée en vigueur du règlement, ces droits seront complétés et élargis. Tout usager dont les données sont traitées par le MEAE et qui souhaite exercer ces droits pourra donc écrire à l’adresse générique qui sera déployée le 25 mai prochain. Le message sera alors transmis au Délégué à la protection des données, lequel entrera en contact avec le responsable de traitement (le directeur des Français à l’étranger, en l’occurrence) afin d’accéder à la demande formulée.

La Commission nationale de l’informatique et des libertés (CNIL) conserve son pouvoir de surveillance et de sanction en cas de manquement constaté.

ORIGINE DE LA REPONSE : MEAE/service des affaires juridiques internes