Depuis sa création en 1995, le droit européen en matière de protection des données personnelles fait référence dans le monde entier. Les nouvelles technologies et la globalisation exigeaient cependant de définir de nouvelles règles du jeu. C’est chose faite avec le RGPD, applicable en mai prochain.
Le RGPD (Règlement européen Général pour la protection des Données Personnelles), introduit de nombreuses nouveautés en matière de protection des données personnelles. « C’est un texte qui va modifier en profondeur les règles applicables à l’environnement digital des entreprises », souligne Alain Bensoussan, avocat spécialiste des nouvelles technologies.
La réforme pose en effet de nouveaux grands principes auxquels les entreprises doivent vite se préparer.
1. Des sanctions potentielles très élevées pour les entreprises
Premier grand changement pour les entreprises : le montant des amendes encourues. D’éventuels manquements aux règles du RGPD exposeront à des sanctions pouvant aller jusque 4% de leur chiffre d’affaires global.
Du côté du législateur, on espère que ce fort niveau de risque permettra d’enclencher un changement fondamental en faisant de la protection des données personnelles un enjeu majeur pour toutes les entreprises.
2. Un principe clef : la responsabilité pour le traitement des données personnelles
Clef de voute de la réforme : la responsabilité des entreprises pour le traitement des données personnelles. C’est un renversement complet qui est opéré par le RGPD.
- Jusqu’à présent, avant de sanctionner une entreprise, la CNIL devait d’abord signaler le manquement constaté, émettre des recommandations et laisser le temps aux équipes d’ajuster leurs pratiques.
- Avec le RGPD, chaque entreprise a désormais l’obligation de mettre tout en œuvre pour s’assurer à son niveau de la conformité du traitement de leurs données personnelles. Et elle doit être capable à tout moment de le prouver. Cela passe notamment, pour les entreprises de plus de 250 salariés, par la tenue d’un registre répertoriant l’ensemble de leurs traitements de données personnelles ou encore la nomination d’un DPO (Data Protection Officer) chargé de contrôler la conformité en interne.
3. Prestataires : tous responsables !
Le RGPD créé une chaîne de coresponsabilité entre le responsable du traitement et ses sous-traitants. A partir de mai 2018, le responsable aura ainsi l’obligation de s’assurer que ces derniers respectent le nouveau cadre en matière de données personnelles dans leurs activités. Cela passera donc par l’ajout dans les contrats d’une ou plusieurs clauses précisant l’engagement du sous-traitant à tout mettre en œuvre pour la protection des données personnelles dans le cadre de ses missions.
4. Privacy by design et Privacy by default : intégrer nativement le plus haut niveau de protection
Autre obligation pour les entreprises : celle d’intégrer, dès la conception de nouveaux services ou de nouveaux produits, la protection de la vie privée dans leurs dispositifs techniques et leurs process. C’est le Privacy by design. Qui plus est, cette protection devra garantir par défaut le plus haut niveau de protection aux données personnelles recolletées (Privacy by default). « Pour les entreprises, c’est un des chantiers majeurs qu’implique le RGPD», souligne Alain Bensoussan.
5. Une conception restrictive de l’usage des données personnelles
Le RGPD prévoit par ailleurs qu’au moment de la collecte, une information claire et précise devra être donnée quant à l’usage qui sera fait de chaque donnée personnelle partagée. « Les clauses générales deviennent inapplicables, la finalité doit être déterminée, explicite et légitime », commente Alain Bensoussan.
Pourquoi la donnée est-elle collectée ? Combien de temps sera-t-elle conservée ? Sera-t-elle transférée à des tiers ? Le consentement ainsi obtenu sera ensuite réputé être exclusivement donné pour cette finalité précise. Charge également au responsable du traitement des données de s’assurer par la suite que les données seront systématiquement détruites dès la finalité accomplie.
6. De nouveaux droits pour les citoyens
Le RGPD renforce enfin les droits des citoyens sur leurs données personnelles. Ils pourront par exemple demander à ce qu’un accès à toutes leurs données personnelles leur soit donné dans un délai de un mois. Les entreprises doivent donc se préparer dès à présent à être en capacité de répondre très vite à ces demandes en mettant en place des procédures efficaces respectant ces nouvelles exigences.