Le nouveau règlement européen sur les données personnelles

Le 25 mai prochain entre en vigueur le nouveau règlement européen sur les données personnelles. Étienne Mangeot accompagne les entreprises dans la mise en œuvre de ce nouveau cadre légal et intervient sur le sujet dans le cadre de conférences de la CCI 57 et d’enseignements à l’Université de Lorraine. Le juriste lorrain décrypte le dispositif.

Un rappel sur la loi Informatique et Libertés ?

Elle existe depuis le 6 janvier 1978 et réglemente la liberté de traitement des données personnelles, indissociable de l’activité informatique. Elle encadre les conséquences potentiellement dérivantes de cette dernière. La genèse de la loi informatique et libertés remonte à la fin des années 60. En 1973, le projet de loi SAFARI fait un tollé, vu comme une entrave à la liberté. Si la France est l’une des premières nations européennes à s’être dotée d’une loi informatique, elle sera l’une des dernières, en 2004, à transposer une directive européenne, remplaçant le terme «informations nominatives» par «données à caractère personnel».

À quand remonte la création de la CNIL ?

En même temps que la loi susmentionnée. La Commission nationale de l’informatique et des libertés fut le premier organisme à avoir été qualifié d’autorité administrative indépendante. En quatre décennies, nous sommes passés d’une intention de surveillance du citoyen à une logique de protection des données d’ordre privé.

Quel changement le 25 mai prochain ?

Le Règlement Général sur la Protection des Données – RGPD – devient le nouveau texte de référence en matière des données protections personnelles, faisant loi dans tous les états membres de l’Union européenne. En France, il remplacera la loi informatique et libertés. On ne pourra pas y déroger.

Cela concerne les entreprises ?

Oui. Le RGPD est la réponse de l’Union européenne aux pratiques des géants du web, comme Amazon, Facebook, Google… Mais, il impactera l’ensemble des artisans, commerçants, professions libérales, TPE, PME-PMI, grands groupes, collectant, même occasionnellement, des données concernant des personnes physiques, identifiées ou identifiables. C’est le cas d’une majorité d’entreprises, ne serait-ce qu’à travers un fichier clients par exemple.

Quelles sont les nouveautés de ce RGDP ?

Les entreprises seront déchargées de plusieurs contraintes. Les démarches auprès de la CNIL vont en partie disparaître. En contrepartie, les entreprises seront davantage responsabilisées et devront obligatoirement tenir un registre complet de leurs traitements de données à caractère personnel, réaliser dans certains cas des études d’impact, voire se doter d’un Délégué à la Protection des Données, communiquer toute violation des données. Elles auront tout intérêt à jouer le jeu de la transparence et de la conformité. Jusqu’à aujourd’hui, les sanctions pouvaient aller à 150 000 euros. Avec le RGDP, ce sera jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires. Vis-à-vis des consommateurs, les entreprises auront de nouvelles obligations : droit à la portabilité, consentement différencié entre adultes et mineurs. Le RGDP engage aussi la responsabilité des sous-traitants de données.

Pourquoi se préparer à l’entrée en vigueur prochaine ?

C’est la loi ! Il n’y aura pas de période de transition : toutes les entreprises devront être en conformité le 25 mai. C’est l’occasion de se doter de bonnes pratiques en matière de protection des données et d’en faire un atout. À l’heure du big data et du cloud, les consommateurs sont de plus en plus sensibles à l’utilisation qui est faite de leurs informations personnelles et pleinement conscients que c’est le respect de leur vie privée qui est en jeu.  Ils seront de plus en plus nombreux à se tourner vers des entreprises leur garantissant un bon niveau de protection sur le sujet. Les entreprises peuvent être renseignées sur le RGDP par le site de la CNIL, les services de l’État, les chambres consulaires, la Direccte, les juristes.