Nul n’est censé ignorer la loi ! Ce célèbre adage s’applique au GDPR (General Data Protection Regulation), appelé RGPD (Règlement général sur la protection des données) en France, le nouveau texte européen de référence sur la protection des données à caractère personnel. Dont le volet répressif est suffisamment lourd pour que vous ne preniez le risque de vous dispenser de le mettre en pratique. Et vite...
Après plus de quatre années de négociations et pas moins de 3 999 amendements, le Règlement européen sur la protection des données personnelles a finalement été voté le 27 avril 2016, et publié le 4 mai 2016 dans le Journal officiel de l'Union européenne. Souvenez-vous de son libellé : « Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ». Tout est dit, ou presque, et il va rythmer la vie de nos entreprises et de nos organisations.
La GDPR va affecter les entreprises qui traitent des données personnelles en Europe, ainsi que les entreprises dont l’activité s’étend sur l’Europe. C’est pourquoi nous vous proposons de le décrypter dans cette première expertise. Et nous avons pour cela adopté une approche en quatre points pour en faciliter la compréhension.
Un cadre harmonisé et extra-territorial
En matière de protection des données personnelles, l’Europe était fragmentée, chaque pays disposant de ses lois et règlementations nationales. Avec la France en figure de proue avec sa loi Informatique et Libertés, et son gendarme la CNIL. Avec le GDPR, l’Europe impose un cadre unique et harmonisé à la protection des données personnalisées, applicable à tous les états membres.
Un cadre extra-territorial également, applicable à tous les ressortissants de l’Union européenne, ainsi qu’à toutes les organisations qui traitent des données provenant d’organisations européennes. Il s’appliquera donc aux entreprises non-européennes qui proposent des biens et des services en Europe, ou qui pratiquent du profilage de résidents européens.
Au delà des contraintes imposées par le règlement, son application est une chance concurrentielle pour nos entreprises. En effet, harmonisé et extra-territorial, le GDPR place tout le monde, entreprises privées et c’est nouveau organisations publiques, sur un pied d’égalité : il s’applique à tous dans l’UE. Il met ainsi fin aux particularismes régionaux, voire à l’absence de réglementation, qui pouvaient favoriser des pratiques peu concurrentielles.
Les principes de conception, de consentement et de protection
Aux Etats-Unis, les entreprises sont libres d’exploiter les données auxquelles elles ont accès, et c’est à la personne dont les données personnelles figurent dans les bases de données de faire la démarche de demander à ce que leurs données soient exclues de ces pratiques. Le règlement européen vient renforcer la vision européenne de la protection de la donnée personnelle en confirmant le principe du consentement : les entreprises doivent l’obtenir du citoyen/client. Et cela dès la conception des données, ce que les anglo-saxons nomment « privacy by design ». Et même avant avec la nouvelle règle de la sécurité par défaut qui impose aux entreprises de disposer d’un système d’information sécurisé.
En découlent la nécessité pour l’entreprise de prendre en compte la protection des données personnelles dès la conception du produit ou service. Ainsi que la possibilité pour le citoyen européen de contrôler ses données privées, avec un certain nombre de règles, comme le droit à l’oubli, c’est à dire le droit à l’effacement qui impose à l’entreprise l’obligation d’effacer les données à caractère personnel sous plusieurs motifs, et cela dans les délais les plus brefs. Le citoyen européen peut également s’opposer au profilage via des traitements automatisés.
Autre point important lié au consentement, les personnes pourront obtenir communication, dans un format lisible et structuré, des données personnelles le concernant. C’est le droit à la portabilité des données personnelles, car au-delà de la communication des données il autorise leur transfert vers d’autres acteurs, sous réserve que cela soit techniquement possible.
Nomination d’un DPO
Dérivé du CIL (Correspondant Informatique et Libertés), le DPO (Data Protection Officer) ou Délégué à la protection des données est une personne qui se voit confier la mission d’être associé aux questions relatives à la protection des données personnelles dans les entreprises privées comme les organisations publiques. Par rapport au CIL, sa mission se trouve étendue : conseiller les instances de l’entreprise, contrôler le respect du règlement, représenter l’entreprise auprès des autorités de contrôle…
Le DPO aura en particulier la charge de quatre missions délicates : l’élaboration d’un code de conduite pour l’application des règles de protection des données personnelles (conseillé mais non obligatoire dans les textes) ; la notification en cas de fuite de données ‘grave’ (le texte n’explicite pas ce terme…) auprès des autorités nationales de protection des données, avec la responsabilité probable d’en informer nominativement chacune des victimes ; l’évaluation d’impact sur les activités qui peuvent avoir des conséquences en matière de protection des données, avec la prise de mesures visant à réduire les dommages potentiels ; la veille, en particulier sur les interprétations du Règlement européen qui ne manqueront pas d’arriver avec la création du Comité européen de la protection des HPEdonnées (European Data Protection Board), mais aussi sur les compléments aux textes européens que les autorités locales ne manqueront pas d’ajouter au GDPR.
Le volet répressif et dissuasif
Le GDPR/RGPD s’accompagne de la possibilité offerte aux autorités de régulation de sanctionner, et de façon lourde, les organisations qui ne respecteront pas le règlement européen. Et en la matière, l’UE frappe un grand coup, qui peut être compris comme un avertissement que l’on imagine principalement destiné aux géants américains des IT (Apple, Google, Facebook, Microsoft…), mais qui s’appliquera également à nos entreprises.
Qu’on en juge : en cas de non respect du GDPR, les régulateurs auront le pouvoir d'infliger des sanctions financières allant jusqu'à 4 % du chiffre d'affaires mondial annuel de l’entreprise, limitées à un plafond d’un montant maximum de 20 millions d'euros. Voilà une mesure lourde qui mérite que l’on s’intéresse de très près à ce dossier
Le GDPR sera applicable à partir du 25 mai 2018 et sera « obligatoire dans tous ses éléments et directement applicable dans tout État membre ».
Image d’entête 74505337 @ iStock roshi11