Le Parlement européen a adopté en 2016 de nouvelles dispositions concernant la protection des données personnelles.
Ce Règlement Général sur la Protection des Données (RGPD en français et GDPR en anglais) renforcera les droits des citoyens européens et le contrôle sur leurs données personnelles.
Il entrera en vigueur le 25 mai 2018 et s’appliquera à chaque entreprise (TPE, PME, grands groupes) qui collecte de la donnée sur ses clients.
Chaque semaine, nous vous proposons de découvrir les principes, les nouveautés, les enjeux et les méthodes de mise en œuvre de cette réforme fondamentale. Vous aurez ainsi toutes les clés en main pour bien comprendre ce nouveau Règlement et préparer au mieux son application.
Pour commencer, nous vous proposons une présentation complète du RGPD.
Le RGPD va remplacer tous les précédents textes nationaux, comme notamment la loi informatique et libertés. Mais, comme dans la précédente législation, le règlement repose sur les principes de loyauté, de licéité (n’être contraire à aucune disposition légale) et de transparence des traitements.
Les trois notions de base sont :
- un Traitement de données, qui est la porte d’entrée vers l’application du règlement,
- les Données à caractère personnel, qui sont envisagées de façon très large,
- et un Responsable du Traitement qui est la personne qui va devoir mettre en œuvre les obligations du Règlement et assumer la responsabilité de sa bonne application.
Le texte distingue les données particulières (appelées auparavant « sensibles »), qui font objet d’un régime beaucoup plus strict quant à la possibilité d’opérer des traitements à leur sujet, des données « simplement » personnelles.
Le traitement doit être légal !
Dans tous les cas, le traitement doit être légal, c’est-à-dire qu’il doit :
- Avoir le consentement de la personne concernée,
- Être nécessaire à l’exécution d’un contrat,
- Respecter une obligation légale,
- Servir à protéger des intérêts vitaux d’une personne,
- Servir à exécuter une mission d’intérêt public,
- Relever de l’exercice de l’autorité publique,
- Être réalisé aux fins d’intérêts légitimes.
Tous ces cas seront détaillés dans un prochain article.
Toutes les données personnelles sont concernées
Pour échapper à l’application du règlement, il faut que les données ne soient pas personnelles (c’est-à-dire toutes les autres données pour lesquelles une nouvelle législation est aussi en discussion à Bruxelles), soient anonymes (ce qui est à distinguer des données pseudonymisées) ou ne concernent pas des personnes vivantes.
Des droits des personnes renforcés
Pour les personnes dont les données vont faire l’objet de traitements (les personnes concernées), le Règlement maintient les droits existants dans la législation précédente, qui sont globalement connus du grand public : le droit d’être préalablement informé, le droit de consentir, le droit d’accès, le droit de rectification et le droit d’opposition.
Mais, surtout, il en ajoute de nouveaux car les personnes concernées vont, dès l’entrée en vigueur du nouveau Règlement, bénéficier :
- D’un renforcement de l’information fournie lorsque leur consentement est réclamé,
- D’un encadrement très strict du profilage (profiling),
- De la création d’un droit général à l’oubli,
- D’un droit à la limitation des traitements,
- D’un droit à la portabilité,
- Et il est créé une protection spécifique pour les mineurs.
Le Règlement a pour but de fournir une législation qui soit à la fois la même pour toute l’Union Européenne et qui crée un régime de traitement des données personnelles adapté à l’état actuel des techniques et de l’innovation.
Une nouvelle logique d’autocontrôle
Pour cela, le Règlement met fin à l’obligation obsolète de déclaration préalable des traitements et instaure un régime fondé sur la notion d’accountability. Il s’agit d’un formalisme interne qui doit être mis en œuvre dans une logique d’autocontrôle et de documentation. C’est la notion principale du nouveau Règlement à laquelle nous consacrerons une grande partie du troisième article de cette série.Pour justifier du respect de l’accountability, les Responsables de Traitement devront documenter leur activité dans un Registre des Traitements qui sera obligatoire pour les entreprises ou organisations de 250 salariés et plus. Pour les entreprises de moins de 250 salariés, la tenue de ce registre sera obligatoire seulement si le traitement :
- Comporte un risque pour les droits et des libertés des personnes concernées,
- N’est pas occasionnel,
- Ou porte notamment sur les catégories particulières de données.
Même hors de ces cas, il sera extrêmement conseillé, pour tous, d’en tenir un.
De nouveaux impératifs pour la création des traitements
Les autres notions nouvelles sont la Privacy by design, qui consiste à intégrer la protection de la vie privée dans la conception des outils technologiques, et la Privacy by default, dont l’objet est de garantir pour chaque collecte, par défaut, le plus haut niveau possible de protection des données. Elles devront être respectées pour la création et l’exploitation de chaque traitement.
Apparaissent aussi les notions de minimisation et l’obligation de réaliser des analyses d’impact pour les traitements à risque qui sont des éléments fondamentaux du nouveau régime des traitements de données personnelles et qui seront étudiées en détail dans un prochain article.
Un nouveau métier : Data Protection Officer
Outre la mise en œuvre du Registre des Traitements, les Responsables de Traitement devront, dans certains cas, obligatoirement, ou pourront, pour les autres, par choix, nommer un DPO (Data Protection officer). Il s’agit d’une nouvelle fonction pour laquelle le Règlement crée un cadre légal spécifique et précis ; protecteur pour ceux qui s’en empareront.
Les régimes de la cotraitance et de la sous-traitance des Traitements seront désormais clairement fixés et apparaissent des obligations d’informer les titulaires de droits des failles de sécurité et de répondre à des demandes de portabilité des données.
Des amendes importantes et surtout une nouvelle logique de sanction
Des amendes administratives très importantes sont créées puisque, lors de la violation des obligations, qui sont les plus importantes de ce nouveau Règlement, elles pourront aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.
Mais c’est surtout la logique de la répression qui change car le montant de la sanction devra être adapté au regard du respect par l’entreprise des règles d’accountability, de sa bonne foi ainsi que de son esprit de collaboration avec l’autorité.
Les sanctions, qui s’inscrivent dans une échelle de progressivité, feront donc l’objet d’âpres négociations. La notion de Droit Européen de Recours effectif est très présente au profit des titulaires de droits. Les voies de recours sont réorganisées pour les Responsables de Traitement qui seront poursuivis ou sanctionnés.
Enfin, le nouveau Règlement prévoit une réorganisation complète des institutions en charge de la mise en œuvre de cette législation et il modifie aussi en profondeur les règles de transfert ou d’échange de données hors de l’Union Européenne. Des certifications et des labels vont être créés afin d’attester de la conformité au Règlement.
Au final, une opportunité de reprendre la main et de valoriser le patrimoine immatériel
Le RGPD est l’occasion de repenser tous les processus de traitement de données de l’entreprise et de se les réapproprier, de mettre les bases de données à jour, d’adopter de bonnes pratiques, de renforcer la sécurité et la qualité des systèmes d’information.
Au-delà des contraintes, des coûts et des opérations nécessaires à la transition vers le respect des obligations de ce nouveau régime légal, c’est une opportunité de prendre conscience de la valeur de son ensemble informationnel et de créer de nouvelles sources de rentabilité à partir des données.
La semaine prochaine nous définirons plus en détail les notions principales du nouveau Règlement.