Le règlement a été publié le 4 mai dernier et entrera en vigueur le 25 mai 2018 (avec une application anticipée partielle par la prochaine loi Lemaire, en particulier sur le droit à l’oubli).
Deux ans pour se préparer, cela peut sembler long, mais compte tenu de l’ampleur de la réforme, il s’agira d’un délai de rigueur. Et ce d’autant que le règlement ne badine pas avec les sanctions : jusqu’à 4% du chiffre d’affaires mondial en cas de non-conformité !
Voici les principaux changements pour les entreprises, PME et grand groupes.
I. Pourquoi cette réforme ?
Le législateur européen est parti d’un constat simple : dans une large mesure, la protection de la vie privée ne fonctionne pas correctement, et ce pour au moins trois raisons :
II. Un changement de régime : toujours ètre prèt
En quelque sorte, le règlement inverse la logique de la protection des données : au lieu d’un régime de notification aux autorités de contrôle formel et peu efficient, le nouveau règlement impose aux sociétés d’ètre en mesure à tout moment de justifier du respect des règles de protection des données personnelles.
C’est ici que le dispositif mis en place devient très exigeant.
Tout d’abord, l’entreprise doit conduire des études d’impact des traitements envisagés en cas de risques élevés pour la vie privée des personnes concernées (exemple : projets e-santé), afin de minimiser l’impact de ceux-ci, et aussi d’ètre en mesure de prouver qu’elle est en conformité avec le règlement en cas de contrôle.
Toujours dans le souci de mieux préserver en amont les données personnelles, l’entreprise sera obligée de mettre en œuvre des politiques de privacy by design et de privacy by default dans les produits et services qu’elle met sur le marché.
Dès leur conception, le respect de la vie privée devra ètre pris en compte et rendu plus efficient (par exemple en permettant la pseudonymisation, plus respectueuse de la vie privée).
Nul doute qu’il s’agira ici d’un beau sujet de discussions et de négociations avec les autorités de contrôle…
Pour faciliter la mise en conformité, le règlement encourage la généralisation de labels, dont on ne sait à ce stade s’ils vaudront présomption de conformité.
III. Le guichet unique et l’universalité du règlement
Les sociétés établies en Europe ne seront plus soumises qu’à une seule autorité de contrôle : celle du pays de leur principal établissement. Ainsi, un groupe dont le siège est en France, avec des filiales dans plusieurs autres pays européens, sera soumis au seul contrôle de la CNIL pour l’ensemble de ses traitements européens.
Parallèlement, les sociétés non européennes devront se soumettre au règlement dès lors qu’elles offrent des produits et services à des résidents européens, à condition qu’elles aient manifestement eu l’intention de cibler le marché européen (langue du site web, prix en euro, etc.). Le règlement leur sera aussi applicable si elles « monitorent » le comportement de consommateurs européens, par exemple en utilisant des cookies ou des objets connectés.
IV. La prévention et la gestion des cyber-risques
En cas d’incidents graves compromettant la sécurité des données, les entreprises devront notifier ceux-ci aux autorités de contrôle (ANSSI et CNIL en France), et en informer les personnes concernées.
Cette obligation de notification vient s’ajouter à d’autres obligations de mème nature, par exemple en matière de signature électronique (règlement eIdas), de paiement électronique (Directive DSP2) ou d’entreprises d’importance vitale (en France et bientôt une directive européenne). En outre, à titre préventif, l’entreprise devra prendre les mesures organisationnelles et techniques nécessaires pour réduire les cyber-risques.
V. La portabilité
Les droits des personnes sont renforcés par le règlement, avec notamment la reconnaissance du droit à l’oubli déjà consacré par la Cour de Justice, et surtout avec l’émergence d’un droit à la portabilité de ses données personnelles, à l’instar du droit éponyme reconnu depuis des années dans les télécoms.
Ainsi, un réseau social devra rendre possible cette portabilité en cas de changement d’« opérateur » de services.
VI. Vers une indispensable gouvernance des données personnelles
Les données sont au cœur de notre économie digitalisée. Elles acquièrent une valeur considérable, en même temps qu’elles mobilisent toute l’attention des législateurs soucieux de préserver les libertés publiques.
Plus que jamais, une gouvernance des données, couplée à une politique volontaire de cybersécurité, est nécessaire, tant pour se conformer aux obligations légales, que pour sécuriser les fondations d’une transformation numérique réussie, et de la création de valeur qui en sera son corolaire.
Cette gouvernance, par nature transversale, réussira si elle implique réellement et de manière collaborative les responsables compétents (selon les cas) : directeurs juridiques, responsables conformité, directeur des systèmes d’information, directeur des ressources humaines…
Nous sommes à votre disposition pour vous aider
à analyser les impacts de ce règlement sur vos activités
et à mettre en œuvre les dispositifs adaptés à ces nouvelles mesures.
N’hésitez pas à vous inscrire à notre petit-déjeuner
« Gouvernance des données personnelles et de la cybersécurité :
comment être en conformité ? »
qui aura lieu le jeudi 23 juin de 8h30 à 10h30.
De Gaulle Fleurance a conseillé Circle dans le cadre de son enregistrement PSAN
De Gaulle Fleurance Avocats Notaires a accompagné, Circle, société mondiale de techno...
Michel Matas rejoint De Gaulle Fleurance en tant qu’associé en droit spatial, des communications électroniques et en droit économique (conseil et contentieux)
Michel Matas, avocat spécialisé dans les marchés nouvellement régulés et ancien direc...