Expertise
Aborder le Règlement général sur la protection des données en 5 points

Aborder le Règlement général sur la protection des données en 5 points

Le 25 mai 2018, le Règlement général sur la protection des données entrera en vigueur. Mais comment préparer l’arrivée de cette nouvelle législation ? L’Avocat Olivier Iteanu fait le point.

Le Règlement général sur la protection des données (RGPD ou GDPR en anglais), est une loi de l’Union européenne qui va s’appliquer directement dans les 28 États le 25 mai 2018. C’est un texte fondamental qui s’annonce. Il touche aux données à caractère personnel et contient la promesse de régulariser une situation restée trop longtemps en défaveur des citoyens et des entreprises européennes. Mais le texte est complexe. Il contient 179 considérants et 99 articles. Il convient de l’aborder par touches, pour arriver à sa maîtrise. Pour commencer, nous proposons de faire connaissance avec ce texte publié au Journal officiel de l’Union européenne et en attente d’être appliqué dans quelques mois, par cinq points saillants.

1. Des sanctions enfin à la hauteur des enjeux

Depuis 2004, la Commission national informatique et liberté (CNIL) disposait d’un pouvoir de sanction limité à 150 000 euros. Une goutte d’eau pour certaines grandes entreprises du digital qui violent en permanence et systématiquement les droits des citoyens européens. Ils pourraient désormais déchanter avec des sanctions pouvant aller jusqu’à 4 % du chiffre d’affaires annuel mondial pour les infractions les plus graves.

2. Un changement de mentalité profond

Ce qui illustre le mieux ce point, est la disparition de la déclaration administrative préalable et obligatoire des traitements à la CNIL. Désormais, on entre dans l’ère de l’auto contrôle avec des concepts juridiques qui peuvent paraître obscurs comme la privacy by design ou by default et l’accountability. Mais les CNIL européennes ont déjà prévu des bonnes pratiques, des outils qui se diffuseront sur le marché pour les rendre vivant et réels.

3. De nouveaux droits et de nouvelles obligations

De nouveaux droits seront proclamés pour les citoyens européens. Au rang de ceux-ci on trouvera le droit à la portabilité, devant permettre de passer sans accroc d’un prestataire à un autre ou le droit dit à l’oubli ou au déréférencement sur les moteurs de recherches, déjà consacré par la jurisprudence européenne. Les nouvelles obligations quant à elles, seront pour le responsable de traitement. Ici, on trouve par exemple, l’obligation de notifier une violation de données personnelles à la CNIL dans les 72 heures de la connaissance de cette violation.

4. Un nouveau venu, le DPO

Le délégué à la protection des données (DPO) sera obligatoire pour le secteur public et dans le secteur privé pour les entreprises de toutes tailles qui exploitent un traitement de données personnelles dit à risque. Il est facultatif ailleurs. Le DPO sera le chef d’orchestre de la mise en conformité des organisations au RGPD. Chef d’orchestre signifie qu’il ne mettra pas lui-même en œuvre les mesures prises mais les supervisera et devra, de ce fait, être directement rattaché à la direction générale.

5. Tout n’est pas nouveau

Le Règlement général sur la protection des données n’est pas la révolution non plus. Il se trouve dans la droite ligne de la loi française informatique et libertés de 1978 qui a créé la CNIL. Les objectifs de la loi ancienne sont maintenus. Les notions clés, comme celle de donnée personnelle, toute donnée susceptible d’identifier une personne physique directement ou indirectement, sont très semblables. Enfin, le sens de l’histoire est respecté. Comme nous l’avons dit le mouvement tend à aller vers plus de droits pour les citoyens (les personnes concernées) et d’obligations pour les ficheurs (les responsables de traitement).
Préparons-nous donc à l’accueil de ce nouveau cadre réglementaire.