Nul n'est censé ignorer la loi ! Le Règlement général de protection des données (RGPD), adopté en avril 2016 par le Parlement européen, doit entrer en vigueur au plus tard fin mai 2018. Remplaçant la directive sur la protection des données de 1995, il uniformise tous les textes préalablement en vigueur dans l’UE relatifs à la protection des données personnelles. Surtout, il prévoit désormais des sanctions d'une extrême sévérité en cas de manquement.
Un de ses principaux objectifs est d’aboutir à un renforcement – par les entreprises – de la protection des données personnelles des citoyens, que ces derniers soient des clients, des utilisateurs ou des salariés… Les entreprises européennes et leurs sous-traitants sont concernés ainsi que les entreprises qui, basées en dehors de l’Union européenne, traitent les données de citoyens européens.
Protection des données personnelles : de multiples nouveautés pour les citoyens
Plusieurs points nouveaux en faveur des citoyens font leur apparition dans ce règlement européen.
- Le droit à la "portabilité des données" : n’importe quel citoyen pourra demander à un fournisseur de services que les données qu'il lui a fournies soient réutilisées par une entreprise tierce ou qu’elles soient simplement transmises à cette société,
- Abandon du consentement présumé : il faudra désormais recueillir un accord explicite du citoyen avant de pouvoir traiter ses données personnelles. La charge de la preuve de l’obtention de ce consentement repose sur l’entreprise. Le citoyen concerné pourra à tout moment revenir sur son consentement,
- Droit à l’oubli : le droit à l'effacement des données à caractère personnel d’un citoyen est conforté par ce texte. Concrètement, l’exercice du droit à l’oubli signifie la suppression des données personnelles et l’arrêt de leur traitement lorsque ces données « ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière, lorsque les personnes concernées ont retiré leur consentement au traitement ou lorsqu'elles s'opposent au traitement de données à caractère personnel les concernant »,
- Accessibilité des données : chaque citoyen pourra demander à une entreprise de lui fournir l’intégralité des données que cette dernière possède sur lui. Le règlement impose également la mise à disposition d’une information claire, intelligible et aisément accessible aux personnes concernées,
- Droit à réparation des dommages matériels ou moraux : toute personne ayant subi un dommage matériel ou moral du fait d'une violation du règlement a le droit d'obtenir du responsable du traitement ou du sous-traitant réparation du préjudice subi,
- Introduction du principe des actions collectives : à l’instar de ce qui est prévu par la législation relative à la protection des consommateurs, les associations de protection des droits et libertés des personnes auront la possibilité d’introduire des recours collectifs en matière de protection des données personnelles.
De nouvelles obligations pour les entreprises
Les formalités pour les entreprises sont allégées par le RGPD. Exit les formalités déclaratives des traitements de données à envoyer à la CNIL ! Un contrôle a priori des traitements suffit désormais, l’entreprise devant procéder à une analyse d’impact préalable à tout traitement de données personnelles.
Cette analyse doit tenir compte de la nature, du contenu, du contexte et des finalités du traitement. Elle vise essentiellement à prévenir les risques d’atteinte à la vie privée des citoyens. Si les formalités sont allégées, le Règlement général de protection des données prévoit cependant un certain nombre de nouvelles obligations pour les entreprises :
- La tenue d’un registre des activités de traitement effectuées sous la responsabilité de l’entreprise,
- L’obligation de notifier les incidents de sécurité aux autorités compétentes (la CNIL en France),
- L’obligation, en cas de violation de la sécurité des bases de données à caractère personnel, de communiquer cette violation aux personnes concernées,
- La nomination d’un délégué à la protection des données ou DPO (Data Privacy Officer), dans certains cas, notamment quand il s’agit d’un organisme public ou quand les traitements de données exigent un suivi régulier et systématique à grande échelle des personnes concernées.
RGPD : des sanctions ultra sévères
Des amendes ou sanctions sévères sont prévues en cas d’infraction par les entreprises. L’amende maximale s’élève désormais à 20 millions d’euros ou 4% du chiffre d’affaires mondial annuel (la valeur la plus élevée étant retenue).
Ces sanctions peuvent surprendre par leur sévérité. Elles font peser sur les entreprises un risque considérable car la production de données par les entreprises croît de façon exponentielle. Chaque service est producteur de données, qu’il s’agisse du call center, du marketing, du commercial mais aussi de la finance et des ressources humaines. Les sources d’erreurs et de manquement à la législation sont donc multiples.
La mise en conformité avec le nouveau règlement ne s’improvisera pas. Elle aura un impact important sur les processus qu’il faudra documenter et revoir. Un audit juridique approfondi de la politique de protection des données personnelles est aussi nécessaire. L’entreprise doit s'assurer qu'elle stocke les bonnes données et qu’elle informe bien ses différents publics. L’impact sur les systèmes d’information est également majeur. La sécurité informatique est plus que jamais cruciale car les fuites de données auront désormais des conséquences financières majeures. Les systèmes doivent aussi servir de garde-fou, en permettant des contrôles appropriés à chaque étape du traitement des données.
Keley Data, en association avec Data Experts, un groupement d’avocats spécialisés dans la donnée, a mis en place une méthodologie de mise en conformité de l’entreprise en matière de protection des données personnelles. Cette approche doit aussi permettre de faire le point sur le capital data de l’entreprise et d’évaluer clairement les opportunités qui l’accompagnent. Elle doit aussi bien évidemment permettre de réduire un risque juridique majeur qu’il faudra gérer d’ici quelques mois.…
Liens utiles :
http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679