RGPD : la protection des données personnelles en ligne de mire

Issue du règlement européen du 27 avril 2016, une nouvelle réglementation sur la protection des données personnelles entre en vigueur à compter du 25 mai 2018. Dans une optique d’harmonisation européenne et de renforcement de la législation, le RGPD – Règlement Général sur la Protection des Données – modifie les obligations des organismes privés et publics en matière de collecte et de traitement des données.

A qui s’appliquent les nouvelles obligations du RGPD ?

1^er objectif du nouveau règlement européen : uniformiser la législation au sein de l’Union Européenne. Dès le 25 mai 2018, le règlement général sur la protection des données – en anglais GDPR pour General Data Protection Regulation – s’applique :

• A l’entreprise ou au sous-traitant qui collecte et traite des données personnelles, dès lors que son établissement est basé sur le territoire de l’UE.
• Plus largement, à toute société européenne ou non dont les traitements visent des résidents européens – dans le cadre d’une offre de biens et services ou par le profilage.

L’ensemble des acteurs du marché doivent non seulement prévoir de soumettre leurs futurs traitements aux nouvelles obligations du RGPD, mais aussi s’assurer de la mise en conformité de leurs traitements actuels. A défaut, l’autorité de protection compétente – la CNIL en France – est habilitée à prononcer des sanctions, parmi lesquelles des amendes administratives jusqu’à 20 millions d’euros ou 4 % du CA.

Règlement général sur la protection des données : 8 points à retenir

Pour renforcer les droits des personnes en matière de données personnelles, le RGPD prend de nouvelles mesures :

1. Le consentement des personnes en pleine connaissance de cause. La nouvelle réglementation générale sur la protection des données impose aux responsables des traitements de fournir aux personnes une information claire et exhaustive, préalablement à la collecte de leurs données personnelles. Le consentement doit en outre être explicite et positif, c’est-à-dire résulter d’une action de la personne – à charge pour le responsable du traitement d’en rapporter la preuve, le cas échéant.
2. Les nouveaux droits des personnes. Au terme du règlement général sur la protection des données, les personnes disposent de nouvelles prérogatives : le droit à l’effacement remplace le droit à l’oubli, le droit à la portabilité des données personnelles est créé. Chaque individu doit pouvoir disposer librement de ses données personnelles, en exigeant leur suppression ou leur communication sous forme lisible par machine.
3. Les mineurs de moins de 16 ans. Le régime de protection est d’autant plus renforcé à l’égard des mineurs de moins de 16 ans : les informations fournies doivent être communiquées de manière compréhensible pour un enfant et le consentement du tuteur légal devient obligatoire.
4. Le concept de « Privacy by Design » impose aux organismes de collecte et de traitement des données de prévoir, dès la conception de leurs systèmes d’exploitation, les mesures de sécurité nécessaires à la protection des données. Le principe d’accountability leur impose en aval d’être en mesure de prouver la conformité de leurs systèmes sur simple demande. En contrepartie, les formalités préalables de déclaration des traitements auprès des autorités de protection nationales sont allégées.
5. Le nouveau règlement général sur la protection des données instaure l’obligation pour les organismes de traitement, sous conditions, de nommer un DPO – Délégué à la Protection des Données ou Data Protection Officer. Le DPO est en charge de veiller au respect du RGPD et de faire le lien avec l’autorité de contrôle ainsi qu’avec les personnes concernées par la collecte et le traitement des données.
6. Le responsable d’un traitement a l’obligation de notifier à l’autorité nationale toute brèche dans la sécurité de son système impliquant une fuite des données.
7. Les traitements à risque font l’objet d’une étude d’impact sur la vie privée.
8. Le RGPD impose aux organismes de collecte de données d’établir et de tenir à jour un registre des traitements.

L’ensemble de ces nouvelles mesures contraignantes sera à la charge des entreprises dès le 25 mai 2018.