RGPD : Une révolution européenne en matière de protection des données
Le Règlement Général sur la Protection des Données (RGPD) (en anglais : General Data Protection Regulation, GDPR) sera applicable à partir du 25 mai 2018. Il constitue la nouvelle référence européenne concernant la protection des données à caractère personnel. Son rôle est de définir les droits des individus et les devoirs de ceux traitant leurs données au sein de l’Union Européenne ainsi qu’à l’extérieur. Les entreprises vont donc devoir très vite mettre en place de nouvelles pratiques pour s’adapter à ce nouveau règlement.
Rappel des dates
25 janvier 2012 : La Commission Européenne présente une proposition de règlement sur la protection des données. 2015 : Le Conseil Européen s’accorde sur un texte avec le Parlement Européen. 24 mai 2016 : Le règlement entre en vigueur. 25 mai 2018 : Le RGPD devient applicable. Pourquoi ce nouveau règlement a été mis en place ? Le RGPD vise à moderniser la lois informatique et liberté de 1978, les lois de 1995 (Directive européenne n°95/46/CE) et les décisions-cadres de 2008 sur la protection des données. Les avancées technologiques, étant à leur apogée avec une croissance très forte depuis plusieurs décennies, posent un nouveau challenge à la protection des données personnelles. Le développement d’une nouvelle économie autour des réseaux sociaux et du Big Data a vu le jour et a créé un flux incroyable de données à travers le monde. Les autorités de chaque Etat seront désormais unies autour d’une même réglementation pour faciliter et améliorer la lutte contre le crime international au sein de l’UE.
Quels sont les principaux changements à attendre ?
Le RGPD définit des axes à suivre pour assurer la conformité ainsi que les sanctions pouvant s’appliquer.
- Consentement clair requis pour traiter les données remplaçant les anciennes conditions d’utilisation longues et inintelligibles
- Limitation du recours aux traitements automatisés pour arrêter des décisions, comme dans le cas du profilage
- Droit d’accès pour modifier et supprimer des données collectées, ainsi que le droit à l’oubli
- Garanties lors des transferts de données personnelles
- Notification de violation des données personnelles (vous pouvez vérifier sur https://haveibeenpwned.com/ en attendant)
- Mieux informer l’utilisateur sur le traitement des données et leur(s) éventuel(s) transfert(s)
Afin de veiller au respect de ces points, les autorités publiques et les entreprises traitant massivement de la donnée devront nommer un Délégué à la Protection des Données (ou Data Protection Officer, DPO). Il faut s’attendre à des sanctions très sévères en cas de non-respect de la loi. En effet l’amende peut s’élever à 20 millions ou 4% du CA annuel mondial.
Pour qui cette règlementation va avoir un impact ?
Bien entendu ce sont d’abord les citoyens européens qui devraient voir leurs données à caractère personnel mieux protégées. Ils devraient bénéficier de plus de services et de communications plus claires de la part des entreprises. Au niveau international, chaque Etat de l’UE devra nommer une autorité de surveillance indépendante en charge de recevoir les plaintes. Pour maintenir une cohérence dans l’UE concernant l’application de la réglementation, l’ensemble des représentants de ces autorités constituera la Commission Européenne de la Protection des Données. Elle remplacera le groupe de travail dit « Comité de l’Article 29 ».
Le RGPD promet aux entreprises une concurrence égale entre les pays de l’UE – mêmes règles pour tout le monde – et hors UE pour les biens et les services offerts dans l’UE. C’est donc une évolution majeure puisque les pays situés en dehors de l’UE mais traitant des données concernant des citoyens européens sont désormais concernés. On peut néanmoins douter de l’application du règlement dans certains pays où leurs propres lois vont prévaloir. Sans compter ceux où la protection des données est inexistante… Les entreprises concernées vont rapidement devoir se conformer aux nouvelles règles en matière de supervision des données. Elles auront à mettre à jour leur SI pour être en conformité et offrir aux utilisateurs les services auxquels ils ont désormais droit. C’est un challenge difficile qui attend les sociétés européennes !
Différents impacts pour les entreprises sont à noter :
- Réorganisation des processus, renforcement de la gouvernance en collaboration avec un DPO
- Remise à niveau des sites web (mentions légales, opt-in, opt-out, acceptation des cookies, exportation/modification/suppression des données personnelles, séparation du stockage des données personnelles)
- Formation et accompagnement des architectes et développeurs logiciels afin d’assurer la conformité des applications avec le règlement : prise en en compte dès la conception « privacy by design », savoir gérer la pseudonymisation des données, connaissance précise de la définition de « donnée à caractère personnel », et audit de code à mettre en place
- Accompagnement juridique pour valider la conformité avec le RGPD, essentiel au démarrage Faire la cartographie de ses données. La plupart des entreprises disposent à peine d’une cartographie à jour de leur SI, désormais savoir où se situent et circulent les données sera une obligation.
- Mise à jour des outils RH : les candidats et même les salariés, en interne, bénéficieront également de ces nouveaux droits, il faudra donc que les processus RH entrent en conformité avec les nouvelles règles.
Le Règlement Général sur la Protection des Données s’annonce donc comme une petite révolution pour les entreprises, européennes ou non, traitant les données de citoyens européens. En France, la CNIL, en charge de la protection de données, devra accompagner les entreprises dans leurs démarches de modernisation. De nombreuses questions vont se poser quand commencera son application le 25 mai prochain. Les entreprises françaises seront-elles prêtes ? Vont-elles pouvoir faire face aux charges supplémentaires ? Comment les bons joueurs seront mis en avant et les mauvais dénoncés ? Comment l’Etat français adaptera ces lois ? Les utilisateurs bénéficieront ils vraiment d’une meilleure protection de leurs données?
Sources :
https://www.cnil.fr/fr/les-textes-fondateurs
https://ec.europa.eu/info/law/law-topic/data-protection_en
https://www.eugdpr.org/eugdpr.org.html
http://www.consilium.europa.eu/fr/policies/data-protection-reform/
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
http://www.cil.cnrs.fr/CIL/spip.php?article2602