Le Règlement européen sur les données personnelles est publié : vous avez deux ans pour vous préparer !

11/05/16

Le règlement a été publié le 4 mai dernier et entrera en vigueur le 25 mai 2018 (avec une application anticipée partielle par la prochaine loi Lemaire, en particulier sur le droit à l’oubli).

Deux ans pour se préparer, cela peut sembler long, mais compte tenu de l’ampleur de la réforme, il s’agira d’un délai de rigueur. Et ce d’autant que le règlement ne badine pas avec les sanctions : jusqu’à 4% du chiffre d’affaires mondial en cas de non-conformité !

Voici les principaux changements pour les entreprises, PME et grand groupes.

 

I. Pourquoi cette réforme ?

Le législateur européen est parti d’un constat simple : dans une large mesure, la protection de la vie privée ne fonctionne pas correctement, et ce pour au moins trois raisons :

  • la directive de 1995 est appliquée de manière trop disparate dans les Etats-membres. En pratique, il n’y a pas vraiment d’harmonisation. C’est un frein au marché commun, et ce d’autant que, sous le régime de la directive de 1995,  les entreprises européennes sont obligées de se conformer aux législations de chaque Etat membre où elles sont établies.
  • les sanctions ne sont pas dissuasives (on se souvient d’un géant du Net américain condamné par la CNIL au maximum de la loi, 150.000 euros…)
  • le régime a vieilli, il n’est plus adapté à notre société numérique, faite de réseaux sociaux, d’applis mobiles, d’objets connectés et de big data.

 

II. Un changement de régime : toujours ètre prèt

En quelque sorte, le règlement inverse la logique de la protection des données : au lieu d’un régime de notification aux autorités de contrôle formel et peu efficient, le nouveau règlement impose aux sociétés d’ètre en mesure à tout moment de justifier du respect des règles de protection des données personnelles.

C’est ici que le dispositif mis en place devient très exigeant.

Tout d’abord, l’entreprise doit conduire des études d’impact des traitements envisagés en cas de risques élevés pour la vie privée des personnes concernées (exemple : projets e-santé), afin de minimiser l’impact de ceux-ci, et aussi d’ètre en mesure de prouver qu’elle est en conformité avec le règlement en cas de contrôle.

Toujours dans le souci de mieux préserver en amont les données personnelles, l’entreprise sera obligée de mettre en œuvre des politiques de privacy by design et de privacy by default dans les produits et services qu’elle met sur le marché.
Dès leur conception, le respect de la vie privée devra ètre pris en compte et rendu plus efficient (par exemple en permettant la pseudonymisation, plus respectueuse de la vie privée).
Nul doute qu’il s’agira ici d’un beau sujet de discussions et de négociations avec les autorités de contrôle…

Pour faciliter la mise en conformité, le règlement encourage la généralisation de labels, dont on ne sait à ce stade s’ils vaudront présomption de conformité.

 

III. Le guichet unique et l’universalité du règlement 

Les sociétés établies en Europe ne seront plus soumises qu’à une seule autorité de contrôle : celle du pays de leur principal établissement. Ainsi, un groupe dont le siège est en France, avec des filiales dans plusieurs autres pays européens, sera soumis au seul contrôle de la CNIL pour l’ensemble de ses traitements européens.

Parallèlement,  les sociétés non européennes devront se soumettre au règlement dès lors qu’elles offrent des produits et services à des résidents européens, à condition qu’elles aient manifestement eu l’intention de cibler le marché européen (langue du site web, prix en euro, etc.). Le règlement leur sera aussi applicable si elles « monitorent » le comportement de consommateurs européens, par exemple en utilisant des cookies ou des objets connectés.

 

IV. La prévention et la gestion des cyber-risques

En cas d’incidents graves compromettant la sécurité des données, les entreprises devront notifier ceux-ci aux autorités de contrôle (ANSSI et CNIL en France), et en informer les personnes concernées.

Cette obligation de notification vient s’ajouter à d’autres obligations de mème nature, par exemple en matière de signature électronique (règlement eIdas), de paiement électronique (Directive DSP2) ou d’entreprises d’importance vitale (en France et bientôt une directive européenne). En outre, à titre préventif, l’entreprise devra prendre les mesures organisationnelles et techniques nécessaires pour réduire les cyber-risques.

 

V. La portabilité

Les droits des personnes sont renforcés par le règlement, avec notamment la reconnaissance du droit à l’oubli déjà consacré par la Cour de Justice, et surtout avec l’émergence d’un droit à la portabilité de ses données personnelles, à l’instar du droit éponyme reconnu depuis des années dans les télécoms.
Ainsi, un réseau social devra rendre possible cette portabilité en cas de changement d’« opérateur » de services.

 

VI. Vers une indispensable gouvernance des données personnelles

Les données sont au cœur de notre économie digitalisée. Elles acquièrent une valeur considérable, en même temps qu’elles mobilisent toute l’attention des législateurs soucieux de préserver les libertés publiques.

Plus que jamais, une gouvernance des données, couplée à une politique volontaire de cybersécurité, est nécessaire, tant pour se conformer aux obligations légales, que pour sécuriser les fondations d’une transformation numérique réussie, et de la création de valeur qui en sera son corolaire.

Cette gouvernance, par nature transversale, réussira si elle implique réellement et de manière collaborative les responsables compétents (selon les cas) : directeurs juridiques, responsables conformité, directeur des systèmes d’information, directeur des ressources humaines

 

 

Nous sommes à votre disposition pour vous aider
à
analyser les impacts de ce règlement sur vos activités
et à mettre en œuvre les dispositifs adaptés à ces nouvelles mesures. 

N’hésitez pas à vous inscrire à notre petit-déjeuner
« Gouvernance des données personnelles et de la cybersécurité :
comment être en conformité ?
 »
qui aura lieu le jeudi 23 juin de 8h30 à 10h30.

Pour aller plus loin
 multimatieres args Array
(
    [post_type] => page
    [post__not_in] => Array
        (
            [0] => 14449
        )

    [posts_per_page] => -1
    [orderby] => date
    [order] => DESC
    [suppress_filters] => 
    [meta_query] => Array
        (
            [relation] => AND
            [0] => Array
                (
                    [key] => audience
                    [value] => public
                    [compare] => LIKE
                )

            [1] => Array
                (
                    [relation] => OR
                    [0] => Array
                        (
                            [key] => matieres
                            [value] => s:29:"Réglementaire et conformité";
                            [compare] => LIKE
                        )

                )

        )

)
 multimatieres args Array
(
    [post_type] => annuaire
    [post__not_in] => Array
        (
            [0] => 14449
        )

    [posts_per_page] => -1
    [orderby] => title
    [order] => ASC
    [suppress_filters] => 
    [meta_query] => Array
        (
            [0] => Array
                (
                    [relation] => OR
                    [0] => Array
                        (
                            [key] => matieres
                            [value] => s:29:"Réglementaire et conformité";
                            [compare] => LIKE
                        )

                )

        )

)