Les principales innovations du règlement européen

Adopté le 14 avril 2016, le Règlement européen sur la protection des données personnelles entrera en vigueur le 24 mai 2018. Suivant la logique de son créateur, le G29, le règlement tend vers l’harmonisation de la protection des données personnelles au niveau européen. D’où le choix logique de ne pas donner naissance à une nouvelle directive. Le règlement abrogera donc la directive 95/46/CE en 2018. En vigueur depuis 1995, elle avait été créée dans l’idée de protéger les citoyens des administrations publiques qui avaient accès à leurs données personnelles. Or, dans une société où Internet est omniprésent et où le secteur privé a accès à ces données, le G29 se devait de repenser la règlementation.

La volonté d’harmonisation se traduit par plusieurs mesures qui apportent un net avantage aux entreprises.

Tout d’abord les procédures sont largement simplifiées et suppriment les formalités préalables, qui n’existaient par ailleurs pas dans certains Etats, Pays-Bas ou Allemagne pour ne citer qu’eux. Ces formalités préalables sont remplacées par de nouveaux outils comme le code de conduite, la certification ou les études d’impact qui visent à établir la conformité à la loi dès le début du traitement des données. Toutes ces mesures à prendre afin d’être en règle consistent en l’accountability qui est selon les termes de la CNIL « l’obligation pour les entreprises de mettre en œuvre des mécanismes et des procédures internes permettant de démontrer le respect des règles relatives à la protection des données ». En résumé, les responsables de traitement n’auront plus à s’occuper de formalités préalables mais devront s’assurer que toutes les mesures ont été prises et qu’ils sont en capacité de le prouver s’ils veulent éviter d’être sanctionnés pour violation du règlement.

Autre innovation simplifiant largement les entreprises, notamment les multinationales, le règlement prévoit un « guichet unique ». Ainsi pour toute difficulté rencontrée lors d’un traitement de données transnational, un seul organisme sera compétent. Les délais de réponse en seront par conséquent largement raccourcis. Quant à la désignation de cet organisme principal, sera compétent celui de l’Etat où est situé le siège social de l’entreprise.

Pour faciliter la mise en place de ces différentes actions le règlement impose à toutes les entreprises du secteur public ainsi qu’à celles du privé traitant des données personnelles de nommer un Délégué à la protection des données (Data Protection Officer ou DPO en anglais). Ce nouveau métier a pour principales missions d’informer, conseiller et de contrôler. En effet il doit informer et conseiller le responsable du traitement pour que ce dernier respecte bien les dispositions règlementaires. Sa responsabilité est donc forte puisqu’il se doit de contrôler chaque aspect du traitement et de mettre en place les différents outils pour y parvenir.

L’innovation majeure concernant les entreprises et probablement la plus intéressante pour elles reste celle de la coresponsabilité dans les situations de sous-traitance. En effet, précédemment, lorsqu’un acteur réalisait un traitement de données personnelles en passant par un sous-traitant, il était l’unique responsable en cas de violation de la loi. Désormais le sous-traitant doit lui aussi s’assurer de la protection des données personnelles et sera également responsable de la violation. Par conséquent il devra nommer un DPD.

Le règlement affirme sa volonté de renforcer la protection des données personnelles avec toutes les nouvelles obligations destinées au responsable du traitement. Afin de s’assurer du bon respect des dispositions, le règlement met en place des nouvelles sanctions bien plus sévères. La sanction donnée par le Code pénal en cas de violation de la loi était d’une peine de cinq d’emprisonnement et de 300 000€ d’amende. La peine d’emprisonnement n’étant en pratique jamais prononcée, l’entreprise fautive n’avait qu’à payer l’amende. Pour les plus grandes entreprises, la somme demandée n’était pas réellement dissuasive. Le règlement créé donc une amende administrative pouvant aller de 2% à 4% du chiffre d’affaires annuel mondial de l’entreprise. La somme pouvant représenter plusieurs milliards, cette menace constitue un véritable argument pour les DPD souhaitant convaincre les responsables de traitement de respecter la loi. D’autant plus que dans le cas de groupes d’entreprises, il est possible que la filiale violant la loi voit la sanction correspondre non pas à son chiffre d’affaires mais bien à celui de la maison-mère.

La finalité principale du règlement est la protection des données personnelles, en ce sens il renforce les droits du citoyen en le replaçant au cœur de la gestion du traitement de ses données. Seul imposer l’exigence du consentement permet de donner plus de poids au concerné.

Pour y parvenir, le responsable du traitement va devoir l’informer de manière « claire, intelligible et aisément accessible » (chapitre II, art. 7). Ainsi la personne concernée doit savoir au moment où elle donne son consentement, quel est le but de la collecte de ses données personnelles. Le règlement dispose très clairement au sein de son article 7 que le consentement doit être aussi facile à donner qu’à retirer. Par conséquent, le responsable du traitement ne saurait refuser au concerné qu’il se désengage en lui affirmant que le consentement donné une fois l’est pour toute la durée du traitement.

Bien évidemment le rôle de la personne concernée par le traitement ne peut s’arrêter à donner son consentement et à pouvoir le retirer librement. Durant le traitement, il peut vouloir limiter, transférer ou rectifier ses données. En ce sens, le règlement lui affirme de nouveaux droits au sein de son chapitre III.

Parmi ces droits, le droit à la portabilité fait son apparition (art. 20). Ainsi la personne concernée pourra demander le transfert de ses données d’un prestataire à un autre, sans que le prestataire initial ne s’y oppose. Trois critères sont requis dans le texte : les données doivent être personnelles, avoir été fournies par la personne concernée qui en a explicitement donné son consentement. En pratique les entreprises évitaient la portabilité des traitements car celle suppose de financer des développements. De même, la personne souhaitant changer de prestataire pouvait se trouver découragée de recommencer une nouvelle saisie de ses données et donc restait cliente de son prestataire initial. Le règlement apporte ainsi ici une mesure rassurante pour le fonctionnement du marché et de la libre-concurrence.

Le droit à l’oubli est consacré à travers le droit à l’effacement (art. 17). Ce droit permet à l’intéressé de demander au responsable du traitement que ses données personnelles soient supprimées. Cette capacité rejoint un autre droit, celui de retirer son consentement à tout moment. En effet, dire au responsable du traitement que l’on ne souhaite plus qu’il exploite nos données est une chose, lui demander de supprimer ces données en est une autre.

La personne concernée peut également très bien accepter que le responsable du traitement traite ses données personnelles mais il peut en limiter l’utilisation ou bien s’opposer au traitement de ses données pour certains cas précis.

Le règlement conserve les mêmes grands principes et leur assure une meilleure effectivité par ses nombreuses innovations.

Je partage