Le Règlement Général sur la Protection des Données personnelles RGPD (ou GDPR en anglais) a définitivement été adopté ce 14 Avril 2016.

Il entrera en vigueur 20 jours après sa publication au Journal officiel de l'UE et l’essentiel de ses dispositions sera directement applicable dans tous les Etats membres deux ans après cette publication, probablement au mois de mai 2018.

Le RDPD apporte des changements significatifs auxquels les entreprises doivent se préparer, notamment un niveau de sanction élevé dans un domaine qui n’est pas encore pris très au sérieux.

La portée de ce nouveau règlement

Dixit le communiqué du Parlement européen (qui était de dernier organe européen à se prononcer sur le texte) : « Le vote du Parlement finalise plus de quatre ans de travaux sur une réforme complète des dispositions européennes relatives à la protection des données. La réforme remplacera la directive actuelle sur la protection des données - qui date de 1995 alors qu'Internet était encore à ses débuts - par un règlement général donnant aux citoyens plus de contrôle sur leurs propres informations privées dans un monde numérique de téléphones intelligents, de médias sociaux, de services bancaires sur Internet et de transferts mondiaux ».

Mais la réglementation s’accompagne surtout d’un énorme bâton, « dans le but de décourager la violation des règles », sous la forme du montant élevé de sanctions que pourront infliger les autorités de protection des données personnelles de chaque pays de l’UE.

Autre texte

Le paquet sur la protection des données inclut par ailleurs une directive relative aux transferts de données à des fins policières et judiciaires que les Etats membres devront transposer en droit national dans les deux ans.

Les principales dispositions du RGPD

Champ d’application territorial étendu – Le RGPD s’applique tant aux responsables de traitement qu’aux sous-traitants (« data processors ») situés en dehors de l'UE lorsque leurs traitements de données personnelles sont liés à l’offre de biens ou de services dans l'UE (même si elle est gratuite), ou au suivi du comportement des personnes au sein l'UE.

Notification des violations de données personnelles (« Data Breach Notification ») - Sauf s’il n’y a pas de risques pour les droits et libertés des individus, les violations de données doivent être notifiées à l'autorité de contrôle sans délai et, si possible, au plus tard dans les 72 heures. Les personnes concernées doivent également être notifiées dans les meilleurs délais à moins que des mesures de protection aient été mise en œuvre ou que des mesure ultérieures soient prises pour garantir que le risque le plus élevé pour les individus ne se matérialise pas.

Consentement - Le consentement au traitement des données doit être « libre, spécifique, éclairé et univoque » (sans ambiguïté), ce qui signifie un accord par une déclaration ou action positive claire. La personne concernée doit avoir eu véritablement le choix de donner ou non son consentement et doit être en mesure de le retirer ou de le refuser sans porter préjudice.

Responsabilité (« Accountability ») – Un registre détaillé des traitements de données personnelles doit être conservé à la fois par les responsables de traitement et les sous-traitants (« data processors ») et doit pouvoir être mis à la disposition des autorités de contrôle. Les obligations au titre du RGPD (telles que la minimisation des données) doivent être intégrées dès le début des opérations et des projets impliquant le traitement des données personnelles, dès la conception et par défaut (« privacy by design and by default »), et les analyses d'impact sur la vie privée doivent être effectuées pour les traitements à hauts risques.

Sous-traitants (« data processors ») - Pour la première fois, les prestataires de services et autres qui traitent des données personnelles pour le compte d'autres entreprises auront des obligations directes de protection des données, telles que mettre en œuvre des mesures de sécurité des données, aviser le contrôleur sans retard des violations de données et prendre des mesures adéquates pour protéger les données personnelles transférées hors de l'Espace Economique Européen.

Sanctions importantes - Le RGPD permet aux autorités de contrôle (comme la CNIL) d'imposer des amendes administratives pouvant aller jusqu'à 20 M € ou 4% du chiffre d'affaires annuel mondial total, si ce dernier montant est plus élevé, par exemple, pour une violation des principes fondamentaux. D'autres infractions peuvent entraîner une amende pouvant aller jusqu'au montant le plus élevé entre 10 M € ou 2% du chiffre d'affaires annuel mondial total.

La mise en conformité avec le RGPD va représenter un travail de préparation considérable, pour toutes les entreprises, tout particulièrement pour celles auxquelles la réglementation européenne de protection des données s’appliquera pour la première fois, mais aussi pour toutes les entreprises qui pensaient que le non respect de ce type de réglementation ne représentait pas un grand risque.

Un point de départ serait de procéder à un état de lieu ou audit des données personnelles traitées dans l’entreprise, afin de commencer à établir des registres clairs sur les données traitées, les finalités pour lesquelles elles sont utilisées, les flux dont elles font l’objet et les lieux où elles sont hébergées. Ceci permettra d'évaluer la nature et la portée de la conformité qui sera requise, lorsque la nouvelle règlementation entrera en vigueur.