Règlement sur la protection des données à caractère personnel[1] : plus qu’un an pour se mettre en conformité !
Le règlement général sur la protection des données à caractère personnelle (« RGPD »)[2] adopté le 27 avril 2016 par l’Union européenne, marque une nouvelle étape dans la protection des données personnelles.
En agissant par le biais d’un règlement, l’Union européenne fait le choix d’un texte à effet direct, sans besoin d’adopter une loi nationale pour le transposer. Le RGDP sera ainsi directement applicable sur l’ensemble du territoire de l’Union européenne à partir du 25 mai 2018. Par ailleurs, le RGPD procède d’une approche nouvelle dite de responsabilisation ou accountability, au travers de laquelle les responsables de traitements (et les sous-traitants) sont responsabilisés et doivent rendre des comptes quant aux mesures prises pour assurer la protection des données à caractère personnel, le tout en contrepoids d’une simplification des formalités et procédures en vigueur.
Alors que les entreprises doivent d’ores et déjà entamer un travail de mise en conformité, il est utile de rappeler, à un an de la date d’entrée en vigueur du RGPD, les mesures phares de la nouvelle règlementation de protection des données.
- Les dispositions liées à la responsabilisation des responsables de traitement
- Quel est le sort des formalités avec le RGPD ?
Avec la mise en œuvre du principe de responsabilisation, le RGPD conduit à la suppression des formalités préalables auprès des autorités nationales de protection des données personnelles de contrôle[3].
Malgré quelques exceptions, le RGPD allège le système en supprimant les obligations de déclaration ou de demandes d’autorisation préalable à la mise en œuvre de traitements de données à caractère personnel. En contrepartie, le responsable de traitement devra documenter sa conformité au RGPD, par exemple par le biais de son Délégué à la protection des données, des études d’impacts, et d’autres instruments prévus par le RGPD.
- La création du « Délégué à la protection des données » ou DPO[4]
Le DPO remplace le Correspondant Informatique et Libertés (« CIL ») qui existait déjà sous l’empire de la loi Informatique et Libertés. Le RGPD prévoit que la désignation d’un DPO est obligatoire (1) lorsque le responsable de traitement est un organisme public, (2) lorsque l’activité du responsable de traitement ou du sous-traitant « exige un suivi régulier et systématique à grande échelle des personnes concernées » ou (3) lorsque l’activité du responsable de traitement ou du sous-traitant consiste en un « traitement à grande échelle » de données particulières telles que par exemple des données de santé.
- L’introduction des concepts de « privacy by design » et « privacy by default »
Le concept nouveau de « privacy by design » introduit par le RGPD impose aux entreprises de mettre en œuvre des mesures techniques et organisationnelles appropriées aux enjeux et aux droits des personnes dont les données sont traitées dès la conception et donc dès la désignation des moyens du traitement. Le concept de « privacy by default » revient lui à prévoir, dès la conception, un niveau de protection élevé par défaut, en laissant ainsi à chaque personne, lorsque cela est possible, le soin de paramétrer le niveau de protection à la baisse de sa propre initiative.
- La réalisation d’études impact sur la vie privée
Le RGPD prévoit également l’obligation pour les responsables de traitement, avant la mise en œuvre d’un traitement de données à caractère personnel, de réaliser une étude d’impact sur la vie privée.
Cette mesure, qui correspond à l’application du principe de responsabilisation, consiste à analyser et identifier avec méthode, pour chaque traitement mis en œuvre, les risques engendrés sur les données personnelles afin de mettre en place les mesures adéquates pour assurer la protection des données et en préserver la sécurité.
- Renforcement des droits des personnes
- Droits des personnes et obligation d’information
Les principes de la loi Informatique et Libertés du 6 janvier 1978 restent applicables (droit d’opposition, de rectification, de suppression etc.).
En revanche, le consentement des personnes sera plus souvent requis et l’obligation d’informer les personnes est élargie à de nouvelles hypothèses.
- La création d’un droit à la portabilité des données personnelles
Le droit à la portabilité, constitue l’une des grandes innovations du RGPD. Il s’agit de permettre aux personnes de recevoir les données à caractère personnel les concernant qu’elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine et de transmettre ces données à un autre responsable du traitement sans que le responsable du traitement initial y fasse obstacle.
L’objectif principal de cette disposition est de faciliter le passage d’un prestataire de service à un autre et donc d’améliorer la concurrence en fluidifiant le marché.
- La consécration du droit à l’oubli
Par ailleurs, le RGPD se réapproprie une innovation développée par la jurisprudence de la Cour de justice de l’Union européenne[5] en prévoyant un droit à l’oubli.
La personne concernée pourra ainsi prétendre au droit à l’effacement de ses données dès qu’elle pourra justifier d’un des motifs prévus par le RGPD. Sont admis par exemple le fait que la personne s’oppose au traitement de ses données à des fins de prospection ou de profilage, le fait que les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées, ou encore lorsque la personne souhaite retirer son consentement et qu’il n’existe pas d’autre fondement juridique au traitement en question.
- Autres dispositions notables renforçant la protection des données personnelles
- Guichet unique et coordination entre autorités nationales
Autre innovation qui va vers la simplification du système européen de protection des données : le guichet unique ou le « one stop shop ».
Désormais, une autorité « chef de file » sera compétente pour un groupe d’entreprise, cette autorité étant celle où le groupe a son établissement principal, charge à cette autorité d’exprimer une vision européenne unique pour la situation qui lui est soumise.
Il est par ailleurs constitué un Comité européen de la protection des données (« CEPD »), composé de membres des autorités de protection de chaque état membre, investi d’un rôle de coordination, de conseil et de reporting pour l’application du RGPD. Le CEPD remplacera le groupe de l’article 29[6].
- Notification de violation de données personnelles
Le RGPD met en place un mécanisme de notification à l’autorité de contrôle compétente par le responsable de traitement des violations de données à caractère personnel par le responsable de traitement dans les 72 heures après avoir eu connaissance d’une telle violation.
Le sous-traitant doit, quant à lui, notifier au responsable de traitement toute violation dont il a connaissance, et ce, dans les meilleurs délais.
Si la violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour la personne concernée, le responsable de traitement devra l’informer de cette violation dans les meilleurs délais.
- Renforcement des sanctions applicables
Souvent critiquées pour leur manque d’efficacité ou leur caractère peu dissuasif, les sanctions encourues en cas de violation des règles de protection des données sont renforcées.
Ainsi, les autorités de contrôle pourront prononcer des amendes administratives « effectives, proportionnées et dissuasives » et qui pourront s’élever jusqu’à 20.000.000 d’euros, voire, pour une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
De plus, il est à noter que ces sanctions administratives seront sans préjudice du droit à réparation des personnes dont les droits ont été violés.
***
Les entreprises disposent donc de douze mois pour se mettre en conformité avec le RGPD.
Bien que le travail de réorganisation structurelle, d’identification des traitements de données et des zones de risques, de mise en œuvre des mesures correctives etc. peut paraître lourd, les entreprises peuvent également saisir cette étape comme l’occasion d’élaborer des politiques internes et des procédures saines, améliorant la gestion des données, la transparence et au final tirer bénéfice de cette mise en conformité.
[1] Règlement (UE) 2016/679 du Parlement et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[2] Ou GDPR pour la version anglais (General Data Protection Regulation).
[3] En France, la CNIL (Commission Nationale de l’Informatique et des Libertés)
[4] Data Protection Officer
[5] CJUE, 13 mai 2014, aff. C-131/12, Google Spain
[6] Ou G29, groupe créé par l’article 29 de la directive 95/46/CE sur la protection des données personnelles et regroupant les différentes autorités nationales de protection des données.
Farid Bouguettaya – Avocat associé, Artemont.
Farid Bouguettaya dispose d’une grande expérience des questions soulevées par le digital et l’innovation. Il intervient sur des problématiques relatives au droit des nouvelles technologies (internet, e-commerce, données personnelles, contrats informatiques), ainsi qu’en droit des médias et propriété intellectuelle. Sa pratique couvre également la rédaction et la négociation de contrats commerciaux et le droit économique (consommation, publicité, relations commerciales) et dispose d’une très bonne connaissance de la règlementation européenne sur ces différents sujets.
Artemont est un cabinet d’avocats intervenant en droit des affaires pour une clientèle de dirigeants, de sociétés et d’institutionnels à la fois en droit privé et public des affaires, en conseil comme en contentieux.
Le cabinet offre une combinaison de compétences et de connaissances sectorielles en technologies/médias, propriété intellectuelle, corporate, droit économique, public des affaires, pénal des affaires ou encore immobilier et urbanisme, afin d’accompagner ses clients en conseil et contentieux.